Saiba o que é phishing e o que fazer para se prevenir

Tenho certeza de que você já viu ou ouviu o termo phishing em algum lugar da internet. Acertei?

Mas você sabe que isso é um dos ataques mais perigosos e antigos da internet? E que desde meados dos anos 90 vem assolando a web.

A palavra phishing remete a pescar (do inglês fishing) ou seja – alguém (mal intencionado, obviamente) lança a isca  – que é uma mensagem de phishing – buscando fisgar a vítima e obter dela informações importantes como:

• Login e senha do e-mail ou outra página pessoal;
• Dados bancários;
• Documentos de identificação – RG, CPF etc.

Deu pra ver como esse assunto é sério. Os ciberataques vêm ganhando força num ritmo cada vez mais acelerado e, pensando nisso, o conteúdo de hoje vai trazer informações importantes sobre o phishing, como o golpe funciona, como evitar ser “fisgado”, os principais tipos de phishing e como se proteger.

O que é phishing?

Phishing configura o crime de enganar alguém para obter informações confidenciais e funciona como uma verdadeira pescaria – pois existem várias maneiras de fisgar uma vítima.

A tática de phishing mais comum é aquela em que as vítimas recebem um e-mail ou uma mensagem de texto que imita uma pessoa ou organização na qual confiam (pode ser um colega de trabalho, o banco do qual são clientes, um órgão governamental etc) e quando a vítima abre o e-mail ou o SMS encontra uma mensagem assustadora que a leva a deixar o bom senso de lado infringindo medo. 

Geralmente a mensagem exige que a vítima acesse determinado website e execute uma ação de caráter imediato ou pode sofrer algum tipo de consequência.

Caso o usuário morda a isca e clique no link, é direcionado para a imitação de um website legítimo que pede para fazer login com nome de usuário e senha. Se a pessoa fornece esses dados, suas informações de acesso são enviadas aos ladrões que utilizam isso para roubo de identidades, de contas bancárias e ainda podem vender os dados no mercado negro.

Distinto de outros golpes e ameaças on-line, como códigos maliciosos ou vírus, o phishing não exige conhecimento técnico sofisticado, sendo  o tipo mais simples de ciberataque e, por isso, o mais perigoso e eficiente pois ataca a parte mais vulnerável que é a mente humana.

Os phishers não exploram vulnerabilidades técnicas do sistema operacional do dispositivo que a pessoa usa, portanto – seja Windows, iPhones, Macs ou Androids, nenhum sistema operacional está 100% seguro contra phishing – a eficiência da segurança não é questão aqui. 

Pois os criminosos recorrem ao phishing quando não encontram vulnerabilidades técnicas, pois para que perder tempo derrubando sistemas complicados de segurança se é possível induzir a pessoa a lhe entregar os dados na maior tranquilidade?

Isso mostra que o elo mais fraco da segurança de um sistema de segurança não é uma possível falha técnica, mas sim o ser humano que não verifica de forma cuidadosa de onde vem a mensagem.

Então aqui já vem a primeira dica: NUNCA clique em links que sejam duvidosos ou forneça suas informações! Cheque várias vezes e só faça isso se tiver certeza absoluta.

Tipos de phishing

Esse golpe possui inúmeras variedades – cujo denominador de todas elas é o uso de um pretexto falso para adquirir valores, dados ou documentações. Os tipos mais comuns de phishing são:

Blind phishing

Figurando entre os phishings mais comuns, é um disparo em massa de e-mails, sem técnica pré-definida, que espera que dessa massa de envios, alguém morda a isca e caia no golpe.

Clone phishing

Aqui é clonado um e-mail legítimo – onde são adicionados anexos e links perigosos. A mensagem também é disparada para várias pessoas abrindo caminho para os hackers acessarem um banco de informações.

Os criminosos copiam um e-mail legítimo recebido anteriormente que tenha um link ou anexo e em seguida substituem os links ou arquivos em anexo pelo conteúdo malicioso de forma que lembre a mensagem verdadeira. A vítima então clica no link ou abre o anexo e seus sistemas são recrutados – o phisher pode inclusive falsificar a identidade da pessoa para fazer outras vítimas pensarem que ele é um remetente confiável.

Pharming

Envenenamento do DNS (Domain Name System) em massa – quando o alvo digita a URL de algum site da internet, o link está “contaminado” e conduz a uma página maliciosa – na qual os dados são roubados.

Phishing por ransomware

Essa atividade é bastante perigosa e comum, sendo feita por instalações no sistema ou no dispositivo da vítima, que quando clicar no link solicitado, é inserido um malware no aparelho que faz o bloqueio dos arquivos deste, cobrando resgate para restabelecer o acesso a esses dados.

Scam

Essa é uma violação que pode ser feita via telefone, redes sociais, SMS ou e-mail. Cujo intuito é a obtenção de dados pessoais como: número do cartão de crédito, conta bancária, senhas. Esse método também fisga o peixe por links ou documentos danificados.

Smishing

Realizado por mensagens SMS a um telefone celular, que estimulam na vítima a tomada de decisões de forma rápida – por emoções de medo. A mensagem contém um link clicável ou número de telefone para retorno. 

Um exemplo comum de smishing é a mensagem SMS que parece vir da instituição bancária da qual você é cliente, informando que sua conta foi comprometida e que você precisa responder imediatamente, ou que você tem uma dívida gigantesca. 

O invasor pede para que a pessoa verifique o número da conta bancária e outros dados, de forma que o golpista recebe as informações, adquirindo o controle disto.

Para se proteger confira esse post sobre boas práticas de segurança para celulares e tablets.

Spear phishing

Muito utilizado para atingir um público de vítimas específicas: pessoas influentes em órgãos públicos ou grandes organizações. Como no golpe constam informações sobre a função da pessoa e outras questões que auxiliam na construção da mensagem, passando veracidade e evitando desconfianças. 

O nome remete à pesca com isca especial, que permite pagar um peixe específico – ou seja, spear phishing tem um alvo específico com um conteúdo personalizado para as vítimas. 

Nesse golpe os hackers vasculham a internet para buscar informações e faz um reconhecimento pré-ataque para descobrir:

• Nomes;
• Cargo na empresas;
• Nomes e relações profissionais;
• Endereço de e-mail;
• Funcionários da empresa;

E quaisquer outras informações que atraiam o peixe específico, pois o phisher cria um e-mail de veracidade plausível, que parece ter sido enviado por alguém da organização, solicitando um pagamento de quantia significativa para determinada questão, mas na verdade, o link é malicioso e envia o dinheiro para o golpista.

Vishing

Aplicação de golpes por mecanismos de voz: mensagens, ou telefonemas avisando, por exemplo, que o cartão de crédito foi bloqueado e é necessário fazer contato com certo número para a liberação deste. 

Eles assustam a vítima com algum tipo de problema que precisa resolver imediatamente fornecendo os dados da conta ou pagando uma taxa – podem pedir inclusive que a vítima  faça uma transferência bancária ou use cartões pré-pagos para não haver rastreio.
O golpe do vishing possui a mesma finalidade que outros tipos de phishing – os invasores buscam informações pessoais ou corporativas de caráter confidencial, mas o ataque é realizado por voz – explicando o “v” do nome.

Whaling

Do inglês – significa “caçando baleias” – e configura um ataque direcionado a pessoas famosas ou grandes executivos –  que atua disfarçado sob o disfarce de notificações internas da empresa ou até mesmo intimações judiciais.
São alvos desses ataques geralmente CEOs, CFOs ou qualquer CXX de um setor ou negócio específico. O e-mail de whaling pode apresentar indícios de que a empresa enfrenta consequências legais e de que é necessário clicar no link para maiores informações. Mas esse link leva a uma página na qual serão solicitados dados essenciais sobre a empresa (ID fiscal, números de contas bancárias, etc).

Phishing de e-mail

Este é o tipo mais comum de phishing e está em uso desde os anos 90. Mas a boa notícia é que esses ataques em geral são fáceis de detectar, pois o e-mail geralmente contém erros ortográficos e/ou gramaticais.

Os bandidos enviam e-mails para todo e qualquer endereço eletrônico que obtenham, e o conteúdo da mensagem geralmente informa que houve um comprometimento da conta e que é preciso responder os dados clicando no link mostrado.

Phishing de sextortion

Esse golpe ocorre quando o criminoso envia um e-mail que parece ter vindo de você mesmo, no qual ele afirma ter acesso à sua conta de e-mail e ao seu computador e possuir vídeos comprometedores gravados da vítima.

Eles podem afirmar que você esteve assistindo a vídeos adultos no computador com a câmera ligada e gravando – e exigem pagamento para não expor o vídeo para familiares e/ou amigos – geralmente eles exigem que a soma seja em Bitcoin.

Phishing em mecanismo de pesquisa

Também conhecido como envenenamento de SEO ou cavalo de Troia de SEO – os golpistas  trabalham para colocarem-se no topo de uma pesquisa usando um determinado site de busca – levando a vítima a clicar no link exibido para ser redirecionado para o  site criminoso. 

Ao acessar o site, os agentes de ameaças roubam as informações quando a pessoa interage com o site ou insere seus dados. Esses sites criminosos podem se passar por qualquer tipo de domínio – mas os mais escolhidos para o golpe são de bancos, transferências de valores, e sites de compras.

Principais perigos do phishing, como se proteger e mais!

Com tantos tipos de phishing, também são grandes os riscos deste tipo de golpe. Sendo justamente aqui que os criminosos atuam – confiando no engano e fazendo um senso de urgência para concretizar as ações de phishing. Eventos como a pandemia dão aos golpistas grandes oportunidades para atrair mais vítimas.
Geralmente, os ataques de phishing usam o medo ou a sensação de urgência para despistar o julgamento da vítima.

Como identificar um ataque de phishing?

Reconhecer a tentativa de phishing não é fácil, mas com algumas dicas, disciplina e bom senso é possível driblar esses golpes.

Entre os sinais de tentativa de phishing, podemos destacar:

• E-mails contendo uma oferta boa demais para ser verdade – aquele “negócio da China” – dizendo que você ganhou na loteria, ou outros item de grande valor;
• Reconhecer o remetente, mas trata-se de alguém com quem você não costuma conversar – então, mesmo que o nome seja familiar, suspeite – especialmente se o conteúdo do e-mail estiver relacionado com questões comuns de trabalho. O mesmo vale se você estiver em cópia de e-mail para pessoas que você nem conhece ou a colegas de unidades de negócios que sejam estranhas;
• A mensagem soa assustadora, com um tom alarmista ou pesado que cria um senso de urgência, colocando você na parede – para agir imediatamente;
• A mensagem contém anexos estranhos ou até mesmo inesperados – então podem conter malwares, ransomwares ou outras ameaça;
• A mensagem contém links meio apagados – então evite clicar nos hiperlinks integrados. Primeiro passe o cursor sobre o link para ver a URL verdadeira e busque erros de ortografia no website que lhe parece familiar porque isso indica que é falso, então digite a URL de forma direta e não clique no link.

Como se proteger de golpes envolvendo phishing?

• Não clique em links de fontes desconhecidas;
• Fique atento a janelas pop-up;
• Nunca forneça informações pessoais por e-mail a desconhecidos;
• Verifique a ortografia dos URLs nos links da mensagem antes de clicar ou inserir informações sigilosas;
• Tenha cuidado com redirecionamentos de URL, em que você é levado a um site praticamente igual a uma página conhecida;
• Caso receba um e-mail de fonte conhecida, mas que pareça suspeito, entre em contato com a pessoa para confirmar a verdade acerca do assunto;
• Não poste dados pessoais nas redes sociais;
• Lembre-se de que as organizações responsáveis não solicitam dados pessoais pela internet.

Diferença entre phishing e spam

A diferença é simples: phishing é um ataque criminoso com intenção de obter dados confidenciais das vítimas, enquanto o spam não tem intuito fraudulento – apenas o disparo em massa de mensagens ou e-mails.

O spam (também chamado lixo eletrônico) é utilizado por muitas empresas para envio em grande quantidade de seus conteúdos – enquanto o phishing, apesar de também utilizar disparo em massa, sua intenção é enganar as vítimas.

O spam apenas lota e desorganiza sua caixa de entrada – mas sem risco ou prejuízo ao destinatário – já o phishing é uma ação criminosa.

Proteja-se contra o phishing!

O mercado disponibiliza muitos softwares anti-phishing, filtros anti-spam, e atualmente muitos sites usam mecanismos que limpam a página, bloqueando o acesso dos golpistas e notificando quando ocorrem tentativas de fraudes.

Então, fique atento e proteja-se!