{"id":272086,"date":"2023-02-04T10:14:00","date_gmt":"2023-02-04T07:14:00","guid":{"rendered":"https:\/\/howto.mediadoma.com\/?p=272086"},"modified":"2025-03-15T04:43:47","modified_gmt":"2025-03-15T01:43:47","slug":"o-que-e-phishing-de-consentimento-e-por-que-e-perigoso","status":"publish","type":"post","link":"https:\/\/howto.mediadoma.com\/pt-pt\/o-que-e-phishing-de-consentimento-e-por-que-e-perigoso\/","title":{"rendered":"O que \u00e9 phishing de consentimento e por que \u00e9 perigoso?"},"content":{"rendered":"\n

Phishing \u00e9 uma t\u00e1tica de cibercrime muito popular usada por agentes de amea\u00e7as em todo o mundo. Ao longo dos anos, o phishing se diversificou em uma variedade de tipos diferentes, incluindo o phishing de consentimento. Mas como exatamente o phishing de consentimento funciona e \u00e9 uma amea\u00e7a para voc\u00ea?<\/p>\n

O que \u00e9 phishing de consentimento?<\/h2>\n

O phishing de consentimento \u00e9 uma t\u00e1tica de phishing que requer algum n\u00edvel de autentica\u00e7\u00e3o para ser bem-sucedida. Esses ataques envolvem o uso de aplicativos maliciosos para serem bem-sucedidos, sendo os aplicativos OAuth uma escolha particularmente popular. Vamos analisar um exemplo de phishing de consentimento com um aplicativo OAuth prejudicial para entender como o processo funciona.<\/p>\n

Como costuma acontecer com o phishing em geral, os ataques de phishing de consentimento come\u00e7am com um e-mail, em que o invasor afirma ser uma entidade oficial. Como o phishing de consentimento \u00e9 usado para acessar contas de armazenamento em nuvem<\/a>, usaremos o Google Workspace como exemplo. Observe que as contas que j\u00e1 foram conectadas s\u00e3o alvo de phishing de consentimento.<\/p>\n

Digamos que um invasor envie um e-mail para um alvo alegando ser um funcion\u00e1rio do Google. Nesse e-mail, o invasor informar\u00e1 ao alvo que ele precisa fazer login em sua conta do Google Workspace para realizar algum tipo de fun\u00e7\u00e3o. Por exemplo, o alvo pode ser informado de que precisa fazer login para verificar sua identidade.<\/p>\n

O invasor fornecer\u00e1 um link em seu e-mail, que, segundo ele, leva \u00e0 p\u00e1gina de login do Google Workspace. Se o alvo n\u00e3o tiver conhecimento do golpe, ele poder\u00e1 clicar no link.<\/p>\n

Este \u00e9 o ponto em que o phishing de consentimento difere do phishing de credenciais t\u00edpico. Na pr\u00f3xima etapa do ataque, o agente da amea\u00e7a usar\u00e1 um aplicativo malicioso hospedado por um provedor leg\u00edtimo para acessar os dados da v\u00edtima. Quando a v\u00edtima clicar no link malicioso, ela ser\u00e1 direcionada para uma p\u00e1gina de permiss\u00f5es, onde ser\u00e1 solicitada a concess\u00e3o de determinado acesso ao provedor.<\/p>\n

Como a v\u00edtima acredita estar lidando com uma p\u00e1gina leg\u00edtima, \u00e9 prov\u00e1vel que ela conceda essas permiss\u00f5es. No entanto, neste momento, o invasor recebeu acesso \u00e0 conta do Google Workspace da v\u00edtima.<\/p>\n

Mas por que um invasor deseja acessar a conta de armazenamento em nuvem de algu\u00e9m?<\/p>\n

Os efeitos do phishing de consentimento<\/h3>\n

No jogo do cibercrime, os dados podem ser inestim\u00e1veis. Existem v\u00e1rios tipos de informa\u00e7\u00f5es que um invasor pode aproveitar para seu pr\u00f3prio benef\u00edcio, como informa\u00e7\u00f5es de pagamento. Mas \u00e9 improv\u00e1vel que uma conta na nuvem contenha esses dados. Ent\u00e3o, qual \u00e9 o objetivo do phishing de consentimento?<\/p>\n

Muitos invasores tendem a direcionar contas de armazenamento em nuvem organizacionais para acessar dados da empresa. Esses dados podem ser \u00fateis de v\u00e1rias maneiras.<\/p>\n

Em primeiro lugar, o invasor pode vender os dados organizacionais em um mercado da dark web<\/a>. Esses cantos il\u00edcitos da Internet s\u00e3o muito populares entre os cibercriminosos, pois grandes lucros podem ser obtidos com a venda de dados. Os cibercriminosos tamb\u00e9m podem roubar dados da empresa e exigir um resgate por seu retorno, o que pode ser mais lucrativo do que simplesmente vender esses dados na dark web. Isto \u00e9, se eles n\u00e3o fizerem isso tamb\u00e9m\u2026<\/p>\n

Como evitar o phishing de consentimento<\/h2>\n

\"O<\/a><\/p>\n

O phishing de consentimento geralmente \u00e9 usado contra organiza\u00e7\u00f5es e n\u00e3o contra indiv\u00edduos (\u00e9 por isso que o Google Workplace \u00e9 um bom exemplo<\/a> ; \u00e9 ideal para empresas). Portanto, \u00e9 importante que os l\u00edderes da empresa eduquem seus funcion\u00e1rios sobre como funciona o phishing de consentimento. Muitas pessoas n\u00e3o est\u00e3o familiarizadas com o phishing e os sinais de alerta que devem ser observados, portanto, mostrar aos funcion\u00e1rios como identificar um poss\u00edvel e-mail fraudulento pode ser inestim\u00e1vel para a seguran\u00e7a da empresa.<\/p>\n

Al\u00e9m disso, pode valer a pena ter uma lista de aplicativos pr\u00e9-autorizados que um determinado funcion\u00e1rio pode acessar em seus dispositivos de trabalho. Isso pode eliminar a chance de qualquer membro da equipe conceder permiss\u00f5es a um aplicativo malicioso sem saber.<\/p>\n

O emprego de outras medidas de seguran\u00e7a tamb\u00e9m pode ser ben\u00e9fico, como filtros antispam e autentica\u00e7\u00e3o de dois fatores (2FA)<\/a>.<\/p>\n

Proteja seus dados sabendo o que procurar<\/h2>\n

O phishing de consentimento e o phishing em geral podem ter consequ\u00eancias devastadoras. Esse tipo de ataque cibern\u00e9tico \u00e9 preocupantemente eficaz em enganar as v\u00edtimas. No entanto, existem maneiras de detectar o phishing de consentimento e par\u00e1-lo. Por meio de educa\u00e7\u00e3o e vigil\u00e2ncia, voc\u00ea pode proteger seus dados de forma eficaz, mantendo-os fora das m\u00e3os de agentes mal-intencionados.<\/p>\n

Fonte de grava\u00e7\u00e3o: www.makeuseof.com<\/a><\/div><\/p>\n","protected":false},"excerpt":{"rendered":"

Por meio desse golpe de phishing inteligente, os cibercriminosos obt\u00eam acesso aos dados encontrados em aplicativos de armazenamento em nuvem. Ent\u00e3o, como funciona o phishing de consentimento?<\/p>\n","protected":false},"author":1,"featured_media":233131,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","_wp_rev_ctl_limit":""},"categories":[988],"tags":[3061],"class_list":["post-272086","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-seguranca","tag-affiai-pt-pt"],"_links":{"self":[{"href":"https:\/\/howto.mediadoma.com\/pt-pt\/wp-json\/wp\/v2\/posts\/272086","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/howto.mediadoma.com\/pt-pt\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/howto.mediadoma.com\/pt-pt\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/howto.mediadoma.com\/pt-pt\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/howto.mediadoma.com\/pt-pt\/wp-json\/wp\/v2\/comments?post=272086"}],"version-history":[{"count":1,"href":"https:\/\/howto.mediadoma.com\/pt-pt\/wp-json\/wp\/v2\/posts\/272086\/revisions"}],"predecessor-version":[{"id":319213,"href":"https:\/\/howto.mediadoma.com\/pt-pt\/wp-json\/wp\/v2\/posts\/272086\/revisions\/319213"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/howto.mediadoma.com\/pt-pt\/wp-json\/wp\/v2\/media\/233131"}],"wp:attachment":[{"href":"https:\/\/howto.mediadoma.com\/pt-pt\/wp-json\/wp\/v2\/media?parent=272086"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/howto.mediadoma.com\/pt-pt\/wp-json\/wp\/v2\/categories?post=272086"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/howto.mediadoma.com\/pt-pt\/wp-json\/wp\/v2\/tags?post=272086"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}