O que é phishing?

Existem muitos tipos de golpe que acontecem pela internet. A maioria deles começa com phishing.

Trata-se de um tipo de ciberataque muito comum, que acontece por meio de um link enviado para “fisgar” a vítima. Se a vítima clica no link enviado, ela é direcionada a um site falso, que tem por objetivo acessar as informações da pessoa.  

De acordo com um relatório da Kaspersky, um em cada cinco brasileiros sofreu pelo menos uma tentativa de ataques do tipo em 2020. Além disso, esses crimes cresceram mais de 120% durante a pandemia.

Descubra a seguir como identificar um ataque de phishing.

O que é phishing?

Antes de mais nada, é importante destacar que a palavra phishing é uma alusão à palavra “fishing”, que em inglês quer dizer “pescaria”.

Nesse sentido, o phishing é um tipo de crime que consiste em “jogar iscas para pescar informações” da vítima, entre elas:

• o nome completo;
• os documentos de identificação como identidade e CPF;
• as contas bancárias;
• as senhas e códigos de segurança.

Tal prática ocorre por meio do envio de um link que pode chegar por e-mail, por sms, por aplicativos de conversa ou pelas redes sociais.

Para isso, os fraudadores, conhecidos como phishers, assumem a identidade de instituições que inspiram confiança na vítima como:

• bancos;
• operadoras de cartão de crédito, telefonia e televisão a cabo;
• provedores de e-mail;
• órgãos do governo (especialmente, a Receita Federal);
• correios;
• delegacias;
• companhias aéreas;
• lojas virtuais;
• grandes redes varejistas e outras entidades respeitáveis.

Enfim, o phishing pode ser definido como qualquer tipo de fraude por meios de telecomunicação, que usa truques de engenharia social para obter dados privados das vítimas.

Como o phishing funciona?

Todos os ataques de phishing seguem o mesmo padrão. O golpista envia um texto direcionado, com o objetivo de convencer a vítima a clicar em um link, baixar um anexo, enviar as informações solicitadas ou, até mesmo, concluir um pagamento real.

Nesse sentido, os ataques de phishing possuem algumas estratégias comuns:

• o ataque é realizado por meio de comunicações eletrônicas como e-mail ou telefone;
• o golpista finge ser um indivíduo ou organização de confiança;
• o objetivo é obter informações pessoais confidenciais como credenciais de login ou números de cartão de crédito.

Ademais, alguns hackers/phishers criam perfis falsos em redes sociais, como o Facebook e o Instagram, e investem tempo na construção de um relacionamento com possíveis vítimas para ativar uma armadilha após estabelecida a confiança.

É importante acrescentar que, com o advento das redes sociais, os phishers passaram a ter a possibilidade de acessar muito mais informações pessoais sobre seus alvos. Logo, conseguem adaptar com precisão os ataques à vida de seus alvos. 

Quais são as consequências do phishing?

As principais consequências desse tipo de fraude são:

• roubo de informações pessoais – os fraudadores utilizam os dados para emitir documentos falsos e realizar transações comerciais diversas, especialmente, atos de estelionato;
• roubo de senhas bancárias e de informações de cartões de crédito – os phishers realizam saques e transferências de valores e efetuam compras em nome do titular da conta ou cartão.

Também pode te interessar: 

Entenda a nova lei que endurece crimes cibernéticos
Internet cortada? Saiba o que fazer!
WhatsApp clonado: o que fazer?

Quais são os principais tipos de phishing?

Existem diversas formas de ataques phishing. De acordo com um relatório divulgado pela Kaspersky, uma empresa internacional de segurança virtual fundada em 1997, o Brasil foi líder mundial em phishing em 2020. 

Vale ressaltar, que o país ficou à frente de Portugal, França, Tunísia e Guiana Francesa, que completam a lista dos cinco territórios com maior índice de roubo de dados no ano passado.

Conheça a seguir quais são as estratégias mais comuns de ataques phishing.

Phishing Scam

Os golpes de phishing scam são tentativas dos criminosos de induzir a vítima a fornecer informações pessoais como números de contas bancárias, senhas e números de cartão de crédito, por meio da abertura de links ou arquivos contaminados. 

Essas informações serão utilizadas para acessar a conta da vítima indevidamente e roubar dinheiro e realizar transações. 

O contato pode ser feito via telefone, e-mail, mensagem de texto ou pelas redes sociais.

Vishing

Abreviação de “phishing de voz”, vishing é a versão em áudio do phishing na internet. 

Nessa modalidade fraudulenta, o golpista tenta convencer as vítimas por telefone a divulgar informações pessoais que possam ser usadas posteriormente para roubo de identidade. 

Um exemplo é o envio de mensagens sobre um cartão que foi bloqueado, por exemplo, e que será necessário ligar para um determinado número para pedir a liberação. Algumas vezes, também pode ser uma ligação direta para a casa ou celular da vítima. 

Vale destacar, que muitas chamadas automatizadas são tentativas de vishing.

Smishing

O Smishing é o phishing feito via SMS. 

Geralmente, são mensagens que geralmente constrangem o usuário, como a notificação de uma dívida, ou que impulsionam a tomar decisões imediatas pela emoção, como a realização de sorteios, distribuição de prêmios ou um valor alto a receber.

Para isso, a mensagem de texto solicita clicar em um link ou baixar um aplicativo.

Todavia, é nesse momento que usuário baixa um malware no telefone, que os golpistas atuam, roubando as informações pessoais da vítima.

Pharming

O Pharming é um tipo bem perigoso de phishing, pois ele ataca o servidor DNS (sistema que traduz os números dos IPs, Protocolos de Internet, em nomes de domínio), principalmente de empresas. 

Em síntese, o ataque ocorre com a instalação de um “cavalo de tróia” (um tipo de malware que, frequentemente, está disfarçado de software legítimo) em algum computador ou diretamente em uma rede. 

Dessa forma, qualquer endereço de site, mesmo que pareça confiável, pode levar a páginas fraudulentas sem que o usuário desconfie. 

O objetivo é coletar informações de várias pessoas ao mesmo tempo.  

Ransomware

Ocorre a partir da instalação de programas maliciosos e vulnerabilidades em máquinas e sistemas da vítima.

Logo, a vítima também recebe links fraudulentos, mas a intenção do cibercriminoso não é direcioná-la para uma página falsa, mas instalar algum tipo de malware ou spyware no dispositivo, dando acesso ou controle ao criminoso.

Nesse tipo de ação, é muito comum o sequestro de dados, que só são restituídos ao titular após o pagamento de resgate.

Spear phishing

Enquanto no phishing tradicional o golpe é aplicado a partir do envio de mensagens em massa, no spear phishing os alvos são específicos.

Nessa modalidade, o foco do golpe é direcionado para pessoas influentes dentro de organizações e órgãos públicos. 

Para isso, os criminosos costumam levantar diversas informações sobre a pessoa e suas funções, de modo a dissimular melhor as mensagens e dificultar qualquer suspeita.

Clone phishing

Nessa modalidade, os criminosos clonam um e-mail legítimo, enviado por uma pessoa ou por uma empresa, substituindo links e anexos por conteúdo malicioso.

Feito isso, essa mensagem clonada é encaminhada a diversos destinatários. 

Assim, ao clicar em links maliciosos, diferentes prejuízos podem ocorrer em razão do acesso dos criminosos a sistemas e informações. 

Qual a diferença entre phishing e spam?

A principal diferença é que os spammers não têm a intenção de prejudicar o usuário, uma vez que o spam é lixo eletrônico, ou seja, apenas um monte de anúncios indesejados. 

Já os golpes de phishing têm como objetivo central roubar os dados do usuário e utilizá-los de forma criminosa.  

Como identificar um ataque de phishing?

Existem algumas questões que podem ser avaliadas antes de clicar em um link recebido e correr o risco de entregar seus dados para criminosos na internet. Entre elas:

• o recebimento de mensagens não solicitadas;
• mensagens com erros ortográficos ou de digitação;
• e-mails desconfigurados e com imagens de baixa qualidade;
• presença de links externos no corpo das mensagens para que você clique;
• mensagens com propostas “urgentes” e “imperdíveis;
• premiações de concursos que você não participou;
• ameaças com frases de efeito como “seu serviço será suspenso se…” ou “sua conta foi bloqueada, clique aqui para verificar”;
• alertas de antivírus que nem sequer estão instalados.

Como se proteger de phishing?

Existem algumas medidas que podem ser tomadas para se proteger de um possível ataque de phishing. Entre eles:

• esteja atento ao acessar links de páginas suspeitas, verificando se o endereço ao qual o site será direcionado parece genuíno e seguro. Ao desconfiar de um e-mail, acesse o link inserindo manualmente o endereço do website em seu navegador;
• confira se links recebidos por e-mail ou SMS foram enviados por remetentes confiáveis. Lembre-se de conferir se a grafia utilizada também está correta;
• caso desconfie de que está visitando uma página que não pertence a uma instituição real, não insira informações pessoais, especialmente as confidenciais como dados bancários;
• no caso de solicitação de algum dado confidencial, verifique se a URL da página começa com “HTTPS” e não apenas como “HTTP.” Em sites com endereço HTTPS, a comunicação é criptografada, aumentando significativamente a segurança dos dados;
• procure não abrir e-mails de remetentes com os quais você não está familiarizado;
• instale um antivírus/firewall de qualidade no computador e no celular e mantenha-o atualizado;
• sempre cheque a privacidade das redes sociais, e, se possível, deixe as postagens configuradas para “apenas amigos”, sempre tomando cuidado com o que está sendo publicado na internet.

Vale ressaltar que na internet nem tudo é o que parece! Por isso, antes de clicar, desconfie.

Imagens do texto: Freepik (stories)