Essa não é uma conversa de pescador: 3 em cada 10 brasileiros já foram alvo de phishing, segundo dados recentes da Febraban-Ipespe. Se você já foi vítima ou teve o seu e-commerce envolvido em uma dessas tentativas, sabe do que eu tô falando.
Sem mais delongas, esse conteúdo vai te ajudar a identificar uma tentativa de phishing e também a evitar que o seu e-commerce seja envolvido em um ataque desses.
Aqui você vai saber:
- O que é phishing?
- Como funciona um ataque phishing?
- Principais tipos de fraude envolvendo phishing
- 5 dicas para evitar phishing no seu e-commerce
- O que fazer se for vítima de phishing?
- Mantenha-se sempre atualizado
- Teste seus conhecimentos com a Konduto
O que é phishing?
Phishing, que significa pescaria em inglês, é o nome dado à ação de criminosos que criam armadilhas para fisgar uma vítima quando ela clicar em algum link ou arquivo e, assim, pegar informações pessoais dela.
Atualmente, o phishing é uma das fraudes mais comuns na Internet, afetando pessoas e marcas de diferentes formas. A principal diferença desta para outras fraudes é que no phishing, a vítima é induzida ao erro, já que é ela mesma quem fornece as informações aos golpistas.
Ou seja: uma pessoa fraudadora usa o nome do seu e-commerce para gerar danos aos seus clientes ou até mesmo prospects. Continue comigo para entender melhor o assunto.
Como funciona um ataque phishing?
Agora que você sabe que um ataque de phishing tem como base conduzir a vítima a ceder informações, é hora de entender que a estratégia geral de um golpe desses tem alguns pontos em comum, independentemente do tipo de phishing – que eu te explico no próximo tópico.
As táticas mais comuns de um phishing são:
- A estratégia principal de um phishing é se passar pela comunicação oficial do seu e-commerce ou de outra instituição conhecida, como os bancos.
- Um golpe de phishing sabe como chamar a atenção das pessoas: é aquela promoção imperdível ou algo que desperte muito a curiosidade do seu cliente.
- Para induzir de forma mais convincente, as mensagens de phishing dão um falso reforço de segurança e até mesmo utilizam do medo da vítima. Ou seja, a mensagem informa que se os procedimentos orientados não forem feitos, pode gerar consequências sérias, que variam de acordo com a marca envolvida no golpe. Se for uma loja virtual, por exemplo, pode ameaçar que o cliente não conseguirá fazer futuras compras caso não siga os passos indicados pela fraude.
- Já o envio de dados por parte da vítima é feito principalmente por meio de páginas falsas, que são muito parecidas com o site do seu e-commerce. Outras formas são a instalação de códigos maliciosos no navegador do cliente, elaborados para coletar informações sensíveis, e também o preenchimento de formulários contidos na mensagem ou em páginas Web – prática muito comum em phishing com isca de recadastramento.
Principais tipos de phishing
A informação fundamental que você precisa saber é que cada tipo de phishing se refere a uma mídia ou a uma tática utilizada. Então, confira os principais tipos de fraude envolvendo o phishing.
Blind Phishing
Os falsos e-mails ou mensagens, inclusive via WhatsApp. É o tipo mais comum. Ocorre quando uma pessoa fraudadora envia uma mensagem muito parecida com a de uma empresa real.
Um exemplo desse tipo de phishing que pode atrapalhar muito o seu e-commerce, é quando um hacker envia um e-mail convocando uma atualização de cadastro se passando pela sua loja virtual. Isso gera um dano ao seu cliente (ou prospect) e também à sua marca, que fica associada a uma fraude.
Smishing
Quando o phishing é enviado via SMS. Por ser muito barato e fácil de fazer, esse tipo de phishing também acontece muito no Brasil. As mensagens aqui costumam gerar urgência – como dizer que a pessoa está com uma dívida, ou causam euforia – como ganhar um sorteio.
Vishing
Quando o phishing é feito via mensagem de voz. Bem recorrente aqui no país, esse tipo de golpe é realizado via ligação telefônica em que, se passando por uma empresa, a pessoa fraudadora induz a vítima a informar dados pessoais ou digitá-los. A ligação de voz é mais uma das formas de gerar urgência na vítima.
Scam
Quando contém um link ou arquivo contaminado. Esse tipo de phishing pode ser enviado de diferentes formas, seja por telefone, e-mail, mensagem de texto ou redes sociais.
Spear Phishing
Quando o ataque é direcionado a pessoas específicas. Esse é um caso mais raro, mas muito profissional de fazer phishing. Os alvos podem ser um grupo de funcionários do seu e-commerce, por exemplo.
A pessoa fraudadora levanta dados sobre o grupo e envia uma mensagem com tais informações de forma que transmita confiança, assim, consegue acessar um banco de dados específico para, em seguida, praticar outras fraudes por meio da sua loja virtual.
Whaling
Outro tipo de phishing direcionado, aqui o alvo são pessoas de cargos altos ou pessoas famosas. Visando conseguir dados confidenciais, o whaling vem disfarçado de notificações judiciais, queixas de clientes ou algum tipo de questão empresarial. O termo remete à baleia, em inglês, porque visa um peixe grande.
Pharming
Quando o phishing ataca o servidor DNS do seu e-commerce. Esse é um dos tipos de phishing mais perigosos porque quando um servidor da sua loja virtual é comprometido, mesmo quem acessa o site por meio de um dispositivo protegido e sem nenhum malware pode se tornar uma vítima.
Ou seja, o pharming é um dos ataques mais prejudiciais que o seu e-commerce pode sofrer.
5 dicas para proteger seu e-commerce de um ataque phishing
Proteger a sua loja virtual do phishing requer duas táticas principais: prevenção à fraude e informação ao cliente.
Se por um lado não há como evitar que pessoas fraudadoras enviem mensagens falsas no nome da sua marca, há, sim, como diminuir as chances disso acontecer e até mesmo mostrar ao cliente como identificar uma mensagem falsificada. Vamos às dicas para proteger seu e-commerce do phishing.
1- Invista na segurança da sua loja virtual
- Escolha uma plataforma segura para o seu e-commerce, ela será a base fundamental para tudo.
- Tenha o certificado SSL, pois é muito importante para que o cliente identifique que está em um ambiente seguro.
- Teste constantemente a segurança do seu site, sem deixar nenhuma brecha em aberto.
Lembrete: o Fabio Assolini já deu o alerta no Fraud Day 2020 de que se você deixar uma brecha no site do seu e-commerce, a pessoa fraudadora vai encontrá-la.
- Tenha processos e sistemas de pagamentos seguros. Desde um bom gateway, passando por um sistema antifraude eficiente, até chegar às verificações contínuas para evitar fraudes.
2- Tenha boas práticas de comunicação
- Mantenha uma comunicação constante e eficiente, que possua um certo padrão, independentemente do tema. Assim, o seu cliente terá facilidade de identificar quando uma mensagem for muito diferente do que seu e-commerce costuma enviar.
- Nunca use de iscas apelativas. Lembra que uma das táticas do phishing é despertar a urgência e a curiosidade das pessoas? Então, evite isso. Ou saiba fazer de uma forma que tenha a ver com a sua identidade.
- Tenha contas verificadas no Instagram, no WhatsApp e onde mais puder. Essa é uma segurança a mais para os clientes saberem com quem estão falando.
- Escolha uma ferramenta segura de automação de marketing, para que os dados dos seus clientes não sejam vazados ou compartilhados indevidamente.
3- Cuide bem da sua marca
- Tenha uma marca forte, a ponto de, caso ela seja envolvida em algum golpe, seja possível reverter e não sofrer danos à imagem do seu e-commerce. Esse é um dos principais estragos causados por um phishing, pois mesmo que ninguém da sua loja virtual esteja envolvido nele, a vítima associa a fraude à sua loja. Quando se tem uma marca forte, esse dano é bem menor, além de já possuir canais de comunicação bem estruturados para contornar a situação.
- Monitore o que dizem sobre o seu e-commerce na internet e nas redes sociais. Com o monitoramento constante, você consegue identificar quando uma pessoa fraudadora utiliza o nome da sua loja virtual de maneira inapropriada. Assim, fica mais fácil achar campanhas maliciosas e solicitar a remoção de conteúdos com potencial de fraude antes mesmo que eles tenham a chance de atingir algum cliente seu.
4- Dialogue sobre segurança com seus clientes
- Reforce no site quais são os seus meios de contato oficiais. É assim que o seu cliente irá verificar se aquele SMS veio de um número da sua loja ou não.
- Explique como o seu cliente pode identificar um e-mail verdadeiro do seu e-commerce. Isso dará maior segurança ao público da sua marca.
- Estimule as pessoas a comunicarem caso recebam alguma mensagem suspeita no nome da sua loja. Assim, você poderá emitir um alerta a outras pessoas e evitar um dano maior à sua marca.
5- Seja proativo no combate ao phishing
- Registre domínios parecidos com o seu: uma das táticas mais comuns dos golpistas é enviar um link com uma url muito parecida com a sua, trocando uma letra, por exemplo. E você pode evitar que isso ocorra registrando antes deles esse domínio.
- Cuide da segurança da sua empresa e equipe: seja fornecendo um antivírus bom, seja orientando sua equipe sobre medidas preventivas de segurança. Nutre a turma para que ninguém caia em um golpe direcionado a eles.
PLUS: a dica mais importante para evitar uma fraude no seu e-commerce
O último ponto que eu preciso te alertar é que assim como as fraudes de phishing estão em constante mudanças, você também precisa ter atenção para acompanhar isso. A melhor forma é se inteirando do assunto, como está fazendo agora, e estudando mais sobre o combate à fraude.
Fui vítima de phishing: o que fazer agora?
Você não está sozinho nessa, infelizmente muitas pessoas são vítimas de phishing diariamente. Os criminosos possuem táticas e mecanismos muito sofisticados para enganar as pessoas. Por isso, não se sinta culpado se você acabou caindo em golpe.
Há algumas medidas que podem ser tomadas para evitar problemas ainda maiores. Veja o que você deve fazer caso tenha sofrido um ataque phishing:
Troque as senhas
Se você foi vítima de phishing pode ser difícil saber até onde a invasão chegou. Portanto, troque todas as senhas o mais rápido possível, antes que mais informações sejam vazadas.
Lembre-se de alterar principalmente as senhas do e-mail, aplicativo do banco e redes sociais. Na hora de cadastrar novas senhas, não repita a mesma combinação para todos os logins.
Denuncie
O segundo passo deve ser denunciar a fraude. No Brasil, esse tipo de crime é caracterizado como estelionato, previsto no Artigo 171 do Código Penal. Além disso, notifique as empresas envolvidas, seja uma loja, o banco ou a administradora do seu cartão de crédito. Assim elas poderão tomar as medidas necessárias para evitar que mais pessoas sejam enganadas.
Desconecte-se
Desconecte os seus dispositivos da internet até que o problema seja solucionado. Em casos de ataques de ransomware, por exemplo, ao desconectar, você pode evitar uma maior propagação do malware.
Manter-se informado é o melhor caminho
A Konduto realiza constantemente estudos e eventos para que você esteja à frente dos golpistas, prevenindo ao máximo e atuando com a gente no antifraude. Confira a lista de materiais complementares que separei para você:
- Raio X da Fraude 2022: um panorama completo da fraude no Brasil, com dados importantes e detalhes do comportamento de pessoas golpistas.
- Tipos de fraude: como evitar e faturar mais na Black Friday: conheça os principais tipos de fraude contra o e-commerce em uma das datas mais movimentadas do ano.
- Pix, da promessa de revolução aos desafios na segurança: ebook completo com o que você precisa saber para ter o Pix como forma de pagamento segura no seu e-commerce.
- Cases de antifraude: nesse link você acessa diferentes histórias de empresas digitais que obtiveram sucesso no combate à fraude. Ideal para você se inspirar.
Teste seus conhecimentos com a Konduto
Agora que você já está bem informado sobre como evitar golpes e fraudes como phishing, que tal testar seus conhecimentos com o nosso super Quiz? Será que você sabe tudo sobre phishing? Faça o teste e descubra!