Os ataques virtuais tornam-se mais sofisticados na medida em que a tecnologia se desenvolve. Se, por um lado, ela traz benefícios, por outro, ela é explorada para criar formas de operar criminosamente.
Precisamos, portanto, trabalhar para garantir maior segurança. Seja no e-commerce ou no nosso dia a dia.
Isso pode ser feito por meio de recursos tecnológicos desenvolvidos para conferir proteção aos sistemas e a todo o seu conteúdo.
Vamos falar sobre uma das formas de criminalidade mais comuns no mundo cibernético.
Leia o texto na íntegra para conferir o que é phishing e ficar por dentro das melhores formas de se proteger dos ataques. Boa leitura!
O que é phishing?
Vamos começar explicando o que é phishing. É um crime que consiste em enganar suas vítimas para compartilhamento de informações confidenciais como por exemplo, números e senhas de cartões de crédito
O nome vem de um termo inglês que significa “pescaria”.
É um nome bem apropriado, pois o criminoso cibernético procura “fisgar” alguém usando e-mails ou mensagens de texto que imitam uma empresa ou uma pessoa.
Na verdade, pode se passar por um banco, um colega de trabalho, um órgão governamental ou qualquer instituição, por exemplo.
Podemos responder, em palavras bem simples, a pergunta “o que é phishing?” da seguinte maneira: é o mais simples tipo de ataque cibernético, mas também o mais perigoso.
A Lei dos Crimes Cibernéticos (Lei nº 12.737), sancionada em 2012, no Brasil, dispõe sobre as infrações cometidas no meio digital, o que envolve casos de phishing.
Como funciona o ataque de phishing?
Como já explicamos, o criminoso envia um e-mail ou um texto para sua vítima.
Ao abrir, encontra uma mensagem que assusta e instiga acessar algum website e executar uma ação imediata ou a arcar com algum risco.
O usuário “morde a isca” quando clica no link e na página de destino, são solicitados nome de usuário e senha para fazer login.
Se seguirem o passo a passo recomendado, as informações de acesso serão remetidas aos criminosos e usadas com o intuito de roubar contas de banco e identidades, bem como para vender dados pessoais no chamado “mercado negro”.
O phishing não exige um conhecimento técnico muito avançado.
Pois, ele é considerado simples e, ao mesmo tempo, bastante perigoso porque ataca a mente humana, que é o mais poderoso — e o mais vulnerável — computador do mundo.
Os praticantes desse crime cibernético fazem uso da engenharia social e não procuram explorar vulnerabilidades do sistema operacional.
Pois, geralmente, eles apelam para o phishing justamente porque não conseguem encontrar vulnerabilidades no sistema.
Quais são os tipos de phishing mais comuns?
Você já viu o que é phishing e como ele funciona. O fundamento do crime é criar um falso pretexto para obter informações que sejam vantajosas para o criminoso.
Alguns dos principais tipos de ataques de phishing são os seguintes.
Spear phishing
A maior parte dos ataques caracteriza-se pelo envio de e-mails em grande quantidade para o maior número de potenciais vítimas.
Já o spear phishing ataca um alvo específico, uma empresa ou pessoa em especial que em geral, existe um conteúdo customizado para a vítima.
O criminoso cibernético faz um reconhecimento antes do ataque para identificar nomes, endereços de e-mails, cargos ocupados e outras informações relevantes obtidas através de pesquisas na internet.
Dessa forma, combinam as informações obtidas com outros dados encontrados sobre a pessoa ou a organização.
Ao lado dessas informações, podem ser adicionadas outras que sejam importantes, relativas ao trabalho, ao relacionamento profissional, resultando em um e-mail atrativo para a vítima.
O spear phishing é uma ameaça grave a empresas, pessoas físicas e instituições do governo. Os prejuízos podem ser enormes.
Clone phishing
Nesse caso, os phishers clonam um e-mail autêntico anteriormente recebido que contém um anexo ou um link.
Que é trocado por conteúdo malicioso com a intenção de que a vítima não perceba.
As vítimas acabam clicando no link ou abrindo o anexo que, em geral, permite que os sistemas sejam vasculhados.
O criminoso pode falsificar a identidade da pessoa para que outras acreditem que ele é um remetente de confiança, pertencente à mesma empresa.
Phone phishing
As tentativas de crime de “pescaria” que usam telefone são conhecidas também como “vishing” ou voice phishing.
Nesse caso, o criminoso liga e se apresenta como representante de alguma empresa enganando a vítima
Durante a conversa, ele gera um vínculo com a vítima, falando sobre algum tipo de problema e insistindo para que a pessoa resolva o quanto antes através do fornecimento de seus dados bancários.
Que pague uma taxa ou solicita a transferência através de depósito bancário na conta de um terceiro.
Geralmente, os criminosos pedem pagamentos via PIX ou cartões pré-pagos para evitar que sejam rastreados.
Existe um tipo de phishing muito semelhante ao vishing.
Se trata do smishing ou SMS phishing, o qual realiza a mesma forma de Scam por meio de mensagens SMS, enviando um link malicioso induzindo a vítima para clicar.
Blind phishing
É o tipo de phishing mais aplicado onde o criminoso envia a mensagem em massa por e-mail, sem estratégias definidas, mas com o objetivo de que alguma vítima irá cair no golpe e clicar no link.
Whaling
Nesse caso, a “pescaria” visa a capturar não “peixes”, mas “baleias”.
“Whale” é um vocábulo inglês que significa “baleia”. Os ataques whaling aparecem camuflados como notificações internas ou intimações da Justiça.
Isso quer dizer que os criminosos desejam atacar vítimas de grande porte.
Grandes multinacionais, executivos que ocupam cargo muito alto nas organizações ou personalidades relevantes (presidente de uma companhia, por exemplo).
Pharming
Esse tipo de phishing consiste no envenenamento do sistema que converte os números dos IPs (identificação do computador) em nomes de domínios (DNS).
É um crime que atinge os usuários em grande escala. Todas as vezes em que a pessoa procura um site na internet, digitando a URL, o DNS opera, resolvendo o nome do domínio para o número do IP do servidor.
Caso o DNS esteja comprometido, a URL levará a pessoa a uma página fake, na qual sofrerá o ataque do phisher.
Phishing nas Redes Sociais
As redes sociais também estão vulneráveis aos ataques de phishers.
Através de campanhas imperdíveis — inexistentes, é claro. Outra estratégia é colocar mensagens como: “alguém te marcou em uma foto, clique aqui para conferir”.
Assim, os criminosos conseguem capturar os dados nas redes sociais.
Eles adotam uma identidade falsa, criando contas fakes e assumindo a identidade de uma determinada empresa ou pessoa.
Para isso, eles podem modificar somente alguns caracteres, os quais geralmente não são notados pelos usuários das redes sociais. Veja um exemplo:
- @amazonhelp (conta verdadeira);
- @amazon_help (conta fake).
Como se proteger de ataques de phishing em 7 dicas?
Considerando os diversos tipos de phishing, é fundamental conhecer estratégias para se defender dos ataques.
Os veículos de comunicação constantemente informam os casos de golpes na internet para que a população fique em alerta sobre os riscos e os crimes mais comuns.
Veja agora algumas dicas para se manter prevenido!
1. Avalie o e-mail
Esta é uma dica simples, mas muito importante! É necessário que o usuário analise as informações e as possíveis intenções do e-mail recebido.
Uma leitura dinâmica, mas cuidadosa, permite identificar se o conteúdo é ou não malicioso.
Geralmente os e-mails, possuem erros ortográficos grotescos e coisas que se olharmos com atenção percebemos que se trata de e-mails falsos.
Portanto, fique atento!
2. Use antivírus
Há muitos antivírus de boa qualidade no mercado.
Eles são boas opções para se proteger contra phishing. Podemos destacar antivírus como Avira, AVG, Avast, Kaspersky e outros que também estão disponíveis em versões grátis.
Mas lembre-se, as versões gratuitas não garantem uma eficácia na proteção contra Malwares e Phishing, mas a contratação da ferramenta paga disponibiliza mais opções de segurança.
3. Instale um firewall
O firewall estabelece uma barreira de acesso à página. É um software que analisa o tráfego de entrada para verificar a origem e se existem registros do acesso em algumas blacklists.
4. Utilize o MFA (Múltiplo Fator de autenticidade)
O MFA é um processo relacionado a várias maneiras de autenticação onde é feita uma verificação múltipla que permite confirmar se o usuário que está tentando acessar é realmente uma pessoa autorizada, o que aumenta o nível de segurança.
5. Utilize plugins anti-phishing no navegador
Também é possível instalar plugins anti-phishing no navegador. Sempre que alguém acessar um site, as ferramentas irão analisar se existem registros ou indícios de vulnerabilidades.
Entre os plugins mais famosos, estão Stop Phishing, Netcraft Extension, Anti-Phishing & Authenticity Checker, entre outros.
6. Use um Certificado de Segurança SSL
Outra sugestão bastante oportuna para não cair em golpes de phishing é analisar se um domínio tem o selo de segurança certificador.
Isso garante a segurança na hospedagem do site, ou seja, as trocas de informações entre servidor e usuário transcorrem com segurança garantida.
É recomendável também, conferir se a URL do site é iniciada com HTTPS, e não somente com HTTP, pois o “S” ao final representa segurança.
O protocolo HTTPS significa “Hyper Text Transfer Protocol Secure”, cuja tradução é “Protocolo de Transferência de Hipertexto Seguro”.
Embora o HTTPS não seja uma garantia efetiva de que o site seja seguro (como acontece com a Certificação SSL), os sites autênticos utilizam esse protocolo porque ele é mais seguro.
Já os sites HTTP são mais vulneráveis aos ataques criminosos, mesmo quando são autênticos.
O que é SSL e qual é a importância do certificado de segurança para o e-commerce?
7. Confira exemplos de phishing para ficar atento
Vamos mostrar, nesta parte, alguns exemplos de phishing em dois blocos.
No primeiro, apresentaremos alguns exemplos reais, pontuais e no segundo, trazemos exemplos genéricos que também servem de alerta.
7.1 Exemplos pontuais
Nada melhor que conhecer alguns exemplos reais para entender melhor o que é phishing e como ele interfere na segurança das empresas:
7.1.1 O ataque ao Google e ao Facebook
No ano de 2017, um phishing scam levou os setores de contabilidade do Facebook e do Google a realizarem uma transferência de dinheiro em um total que ultrapassou 100 milhões de dólares.
O dinheiro foi transferido para contas de um criminoso em instituições bancárias do exterior.
7.1.2 O misterioso Dr. Bakare Tunde
O Scam nigeriano teve uma versão interessante no ano de 2016. Anorak, website britânico que veicula notícias, recebeu um e-mail de um misterioso Dr. Bakare Tunde.
Esse personagem seria gerente de projeto de astronomia da Agência Nacional de Pesquisa e Desenvolvimento da Nigéria.
O doutor dizia que um primo seu, chamado Abacha, seria major da Força Aérea Tunde e estaria aprisionado em uma estação soviética espacial há mais de 25 anos.
Mas as autoridades russas montariam um voo para enviar o preso de volta ao seu país, desde que recebessem três milhões de dólares.
Os remetentes teriam que enviar os dados das contas bancárias para que fosse feita a transferência do valor pedido. O Dr. Bakare Tunde, por sua vez, pagaria 600 mil dólares de taxa.
Tal cenário justifica, portanto, a importância de se manter sempre em alerta, precavido contra os diferentes golpes de criminosos cibernéticos.
7.1.3 E-mail com proposta de dinheiro
Um e-mail phishing foi enviado para a caixa de entrada do e-mail de um brasileiro.
Entre as características identificadas nesse e-mail, destacamos:
- título atraente;
- e-mail suspeito, de remetente estrangeiro e desconhecido;
- o destinatário não é identificado, o que gera suspeitas sobre ter sido enviado em massa;
- durante o texto, alguns trechos são envolventes, chamando a atenção da pessoa que lê.
Em resumo, um advogado conta a história de um engenheiro químico que morreu e deixou uma herança no valor de 10,8 milhões de dólares.
O advogado pede, então, informações pessoais para que se faça o contato com o titular da conta de e-mail e para que, assim, ele receba o dinheiro.
7.1.4 E-mail com senso de urgência
Outro exemplo de phishing vale-se de senso de urgência para instigar a pessoa a clicar no link onde o criminoso assume o lugar de um banco.
Já no cabeçalho, é possível identificar sinais de golpe, porque tanto o remetente quanto o destinatário estão camuflados.
Dá a entender que o titular da conta de e-mail enviou e recebeu o e-mail ao mesmo tempo.
O conteúdo do e-mail fala de mudanças em um software e de urgência na atualização, apresentando um link em que o usuário deve clicar para atualizar o produto.
Há ainda o senso de obrigatoriedade e ameaça. Ou seja, caso a pessoa não clique no link e atualize o software, sua conta será bloqueada.
7.1.5 O ataque a John Podesta
John Podesta, gerente da campanha presidencial de Hillary Clinton, em 2016, foi vítima de um golpe de phishing.
Sua conta do Gmail foi invadida e, depois, divulgada nas redes sociais.
O golpe aplicado foi bastante trivial, pois o ataque de phishing notifica que a senha do e-mail precisava ser modificada porque estava comprometida.
Foi enviado um um link para a alteração onde John Podesta caiu no golpe, clicando nele.
7.2 E-mails genéricos
Vejamos agora alguns exemplos mais gerais, que são muito usados.
7.2.1 Loteria premiada
Alguns criminosos enviam testemunhos de ganhadores de viagens, de prêmios, de celulares ou de automóveis. Desconfie sempre de coisas fáceis demais. Não clique.
Os sorteios e as campanhas podem ser consultados em sites específicos, dos próprios anunciantes. Verificar antes é bem melhor que clicar e ser “fisgado”.
7.2.2 Ameaças
Certas frases de efeito são “iscas” de phishing. Por exemplo: “sua conta está bloqueada…”; “seu serviço será suspenso…”, sempre com a opção de clicar em algum link.
É muito importante verificar com a instituição relacionada antes de clicar nas mensagens, pois as empresas sérias não dão prazos curtos e não fazem abordagens desse tipo
Muitas delas, inclusive, alertam seus clientes explicando os meios que usam para se comunicar e fazer notificações.
7.2.3 Ofertas muito lucrativas
Outro exemplo de phishing é o envio de ofertas lucrativas, muito instigantes, ou alegações como “a restituição de seu imposto de renda foi liberada no valor de R$ 25 mil”, por exemplo.
A atratividade da mensagem faz com que o usuário clique no link e caia no golpe.
Existe um “caso” cômico, muito conhecido, que sempre vale a pena ser lembrado nesse sentido e serve para nos alertar contra os espertos que usam o próprio desejo da vítima de obter coisas fáceis contra ela.
É o caso do homem que comprou o Pão de Açúcar, no Rio de Janeiro, por um valor muito baixo.
Claro que quem ganhou foi quem “vendeu” o Pão de Açúcar por um valor atrativo, pois a vítima apenas perdeu o dinheiro que deu ao golpista, julgando estar fazendo um grande negócio.
7.2.4 Links externos
Os e-mails ou as mensagens apresentam links externos para que a pessoa clique neles e seja direcionada para uma página que vai capturar seus dados pessoais.
Mas, uma forma de verificar o link é, antes de clicar, passar o mouse sobre o link e conferir a URL.
Mesmo assim, é perigoso, pois os hackers costumam registrar domínios muito semelhantes aos domínios originais das empresas das quais assumem o lugar.
Outra forma de verificação é clicando com o botão direito do mouse, copiar o link e colar no Word ou bloco de notas.
Pois desse modo, será possível visualizar para onde a pessoa está sendo direcionada, ainda que alguns usem o encurtador de URL para camuflar o verdadeiro link.
7.2.5 Mensagens cuja resposta deve ser urgente
Os phishers também costumam estimular o senso de urgência na vítima, pois eles indicam que, caso a pessoa não faça o quanto antes o que está sendo pedido, ela perderá uma grande oportunidade.
7.2.6 Arquivos maliciosos
E-mails de desconhecidos já são suspeitos.
Portanto, fica o alerta aos anexos da mensagem, pois alguns gatilhos usados para levar a pessoa a clicar nos links maliciosos são: comprovante de depósito, proposta de trabalho, multa, extrato de conta dentre outros.
7.2.7 Remetentes desconhecidos
Suspeite sempre de remetentes que não conhece. Essa dica também é válida para grandes empresas e instituições bancárias com as quais você não mantém relacionamento.
O que você evita quando se protege contra o phishing?
Para encerrar nosso texto, vamos falar sobre problemas que toda pessoa (seja física ou jurídica) consegue evitar sempre que entende o que é phishing e se protege contra ele:
- roubo de dinheiro da sua conta bancária;
- cobranças indevidas em cartões de crédito;
- perda de acesso a arquivos relevantes e, em alguns casos, comprometedores, como vídeos, fotos e arquivos de texto;
- postagens fakes em redes sociais usando os perfis da vítima;
- criminosos cibernéticos usando a identidade da vítima para contatar seus amigos ou seus familiares, colocando-os em risco;
- informações utilizadas para ter acesso a contas importantes, o que gera roubos de identidade e prejuízos financeiros.
Agora você já sabe o que é phishing, um perigo que não tem prazo para acabar!
Os criminosos conseguem divulgar esse crime com facilidade.
Além disso, por mais estranho que pareça, muitas pessoas ainda não conhecem o suficiente sobre a ameaça — ou mesmo desconhecem.
Enfim, ainda há um grande número de pessoas que são alvos fáceis para os criminosos cibernéticos que praticam o phishing.
Conteúdos que podem te interessar:
➞ Segurança digital: o que é, vantagens e como utilizá-la a favor do seu negócio
➞ Dicas de Segurança e Privacidade de Dados no E-commerce
➞ O que é Cibersegurança e como proteger seu negócio das ameaças virtuais