Se você usa seu e-mail com frequência, muito provavelmente já teve de lidar alguma vez com SPAM. Essas inconvenientes mensagens podem chegar à sua caixa de entrada em nome de alguma empresa sem você sequer ter feito cadastro em seu site de compras ou assinado sua newsletter. E, muitas vezes, elas pedem que você clique em um link para aproveitar alguma promoção, conferir algum produto ou conteúdo.
Algumas dessas mensagens não passam de uma estratégia de e-mail marketing mal feita. Mas é bom tomar muito cuidado, pois eventualmente ela pode se tratar, na verdade, de um golpista se passando por uma empresa real para tentar roubar suas informações, ou até o seu dinheiro. Esse tipo de prática é chamado de spoofing attack e pode causar muitos problemas, não apenas para consumidores, mas também para a sua empresa.
Quer saber mais sobre esses crimes e como evitá-los? Então continue neste artigo. Vamos lhe contar tudo!
No que consiste um spoofing attack
Spoofing attack é um termo em inglês que, em tradução livre, significa ataque de falsificação. Ele é usado para se referir a um tipo de golpe aplicado no meio virtual, no qual um hacker usa recursos tecnológicos para falsificar dados e se passar por uma empresa ou por outra pessoa.
O criminoso pode, por exemplo, se apropriar do domínio de um site ou e-mail para se comunicar com a vítima, ou até mesmo do endereço de IP, ou protocolo de internet, que é a identificação de um computador conectado à rede. Dessa forma, ele consegue ter acesso a aplicativos de comunicação de uma pessoa, como o WhatsApp e o Telegram, e enviar mensagens ou até mesmo fazer ligações em nome dela.
Como o spoofing attack pode afetar empresas
Quando um criminoso assume a identidade de uma empresa para aplicar um golpe a seus clientes ou parceiros, ele está usando da imagem dessa empresa e da confiabilidade que as pessoas têm nela para fins maliciosos, e isso prejudica a todos os envolvidos.
Em primeiro lugar, os clientes e/ou colaboradores tomados como alvo, que terão suas informações roubadas e utilizadas da forma como o golpista bem entender. E, por consequência, a empresa. Uma vez que isso acontece, aquela confiança que as pessoas depositavam nela será abalada.
Na verdade, essa empresa será duplamente impactada, já que o problema teve origem na violação no seu sistema de segurança da informação, o que significa que talvez seja hora de pensar em formas de fortalecer seus protocolos para evitar mais problemas como esse no futuro.
Prejuízos desse tipo são graves, podem levar a uma grande perda de clientes. Além disso, reparar o estrago dá um baita trabalho. Muitas vezes, isso requer um investimento em estratégias administrativas e de comunicação para gestão de crise, além de bastante tempo e paciência.
Um caso conhecido de spoofing attack
Um exemplo de spoofing attack relativamente famoso foi o da fraude orquestrada por dois criminosos russos, Danil Potekhin e Dmitrii Karasavidi. O crime começou em 2017. Os golpistas foram presos somente em 2020, depois de já terem acumulado mais de US$ 16 milhões de forma ilegal, fazendo vítimas em vários países.
Esse caso mostra bem como esses golpistas podem ser meticulosos na hora de aplicar um golpe. Potekhin e Karasavidi criaram domínios que imitavam sites de empresas de câmbio de criptomoedas. Os sites falsificados eram tão parecidos com os originais, que enganaram facilmente muitos clientes.
Os clientes dessas exchanges de criptomoedas acessavam os sites falsos e informavam seu login e sua senha. Os golpistas pegavam essas informações e acessavam as contas reais dos clientes nos sites das empresas. Com esse acesso, eles usavam diversos artifícios para roubar o dinheiro dessas pessoas.
Spoofing attacks via e-mails
Uma abordagem bastante utilizada por hackers que usam spoofing attacks é usar o domínio do e-mail de uma empresa e entrar em contato com possíveis clientes ou parceiros se passando por ela. Isso acontece da seguinte forma.
O golpista, ao redigir um e-mail, altera o endereço do remetente para fazer com que essa mensagem pareça estar sendo mandada por uma determinada empresa. Esse procedimento é relativamente fácil de fazer. Considere que é como escrever uma carta para alguém, mas, antes de mandar pelo correio, coloca o nome de outra pessoa no espaço do envelope onde você deve informar o remetente (e não o seu próprio nome).
Além disso, o criminoso pode potencializar ainda mais esse ataque caso ele consiga hackear a conta de e-mail de algum cliente de uma plataforma renomada para o envio de e-mails. Isso funciona da seguinte forma: quando alguém manda um e-mail para você, o seu servidor de gerenciamento para envio de e-mails, isto é, o seu SMTP, normalmente segue alguns protocolos de segurança para impedir que a sua caixa de entrada receba mensagens indesejadas. Se o hacker usar uma conta com domínio de uma plataforma renomada, aumentam as chances de o e-mail nocivo chegar para você sem ser considerado como um spam.
A mensagem enviada pelo golpista é feita de forma a se parecer com uma proposta de parceria da empresa, ou então com um e-mail transacional ou e-mail marketing contendo um link de acesso a algum conteúdo, produto ou desconto especial. Ao acessar esse link, a vítima está, na verdade, fazendo o download de um malware, uma espécie de vírus usado para roubar informações contidas em seu computador.
Como evitar spoofing attacks
Apesar de perigosos, os spoofing attacks não são infalíveis. Tomando alguns cuidados é possível evitar esse tipo de problema. Um dos recursos que agem contra esse tipo de prática é o SMTP, o servidor de gerenciamento de e-mail que acabei de mencionar. Esses servidores não são todos iguais, e a eficiência de seu protocolo de segurança pode variar. Mas no geral eles ajudam a identificar possíveis e-mails fraudulentos.
Para evitar que a sua empresa seja usada para cometer golpes contra os seus clientes, você também pode orientá-los sobre quais abordagens a empresa utiliza para se comunicar com eles, ajudando-os a identificar possíveis ameaças.
Esperamos que este artigo tenha sido útil para você. Se quiser se aprofundar mais nesse assunto ou conferir outros conteúdos, certamente vai encontrar o artigo ideal aqui no blog, então continue navegando.
