No geral, definimos phishing como uma prática maliciosa realizada através de qualquer tipo de comunicação digital cujo objetivo é roubar dados sensíveis. Em outras palavras, isso significa que uma pessoa pode receber mensagens, ligações, e-mails e/ou notificações de outros meios que aparentam ser de entidades confiáveis.
As informações roubadas são usadas para acessar contas importantes e podem resultar em roubo de identidade e perda financeira.
Phishing é uma prática maliciosa realizada através de qualquer tipo de comunicação digital cujo objetivo é roubar dados sensíveis
Gustavo Bessa (Defesa Virtual)
Para persuadir as vítimas, os criminosos se valem do uso de técnicas de engenharia social. Com isso em mente, a mensagem do ataque de phishing é criada como se fosse de um remetente confiável para induzir alguém a clicar em links maliciosos. Ao clicar nestes links, a vítima é persuadida a fornecer dados sensíveis e/ou até mesmo instalar softwares maliciosos, conhecidos também como malwares.
Para evitar ataques de phishing, é importante conhecer a abordagem dos criminosos. Se você chegou até nossa postagem, isso significa que você está um passo a frente para repelir esses ataques.
Quais são os perigos por trás dos ataques de phishing?
Ser vítima de um ataque de phishing pode causar resultados devastadores. Dentre esses resultados, podemos destacar a perda financeira, roubo de identidade – como, por exemplo, contas importantes, cartões de crédito, etc – e até mesmo instalação de softwares maliciosos, conhecidos como malwares.
Geralmente os ataques de phishing utilizam técnicas da engenharia social, buscando manipular ou enganar as pessoas através do medo e da urgência. Dito isso, grande parte das abordagens destes ataques são atualizados de acordo com os acontecimentos recentes locais e regionais.
Além disso, é importante saber que, todos os dias, milhares de ataques de phishing são lançados para as pessoas na internet, e geralmente muitos destes ataques são bem sucedidos. Por isso, conhecer alguns sinais que te ajudem a reconhecer o phishing é fundamental no processo da sua proteção.
Como identificar um ataque de phishing?
Os ataques de phishing são espertos, porém não são impossíveis de detectar. Para começar a reconhecê-los, é importante conhecer quais são as abordagens que os criminosos geralmente fazem uso para enganar as pessoas.
O phishing ocorre por meio do envio de mensagens eletrônicas que:
- tentam se passar pela comunicação oficial de uma instituição conhecida, como um banco, uma empresa ou um site popular;
- procuram atrair a atenção do usuário, seja por curiosidade, por caridade ou pela possibilidade de obter alguma vantagem financeira;
- informam que a não execução dos procedimentos descritos pode acarretar sérias consequências, como a inscrição em serviços de proteção de crédito e o cancelamento de um cadastro, de uma conta bancária ou de um cartão de crédito;
- tentam induzir o usuário a fornecer dados pessoais e financeiros, por meio do acesso à página falsa, que tentam se passar pela página oficial da instituição; da instalação de códigos maliciosos, projetados para coletar informações sensíveis; e do preenchimento de formulários contidos na mensagem ou em páginas Web.
Os criminosos utilizam diversas abordagens para atrair a atenção das pessoas. Conheça as principais abordagens dos criminosos na tabela a seguir:
| Assunto | Abordagem |
|---|---|
| Álbuns de fotos e vídeos | pessoa supostamente conhecida, celebridades, algum fato noticiado em jornais, revistas ou televisão, traição, nudez ou pornografia, serviço de acompanhantes |
| Antivírus | atualização de vacinas, eliminação de vírus, lançamento de nova versão ou de novas funcionalidades |
| Associações assistenciais | AACD Teleton, Click Fome, Criança Esperança |
| Avisos judiciais | intimação para participação em audiência, comunicado de protesto, ordem de despejo |
| Cartões de crédito | programa de fidelidade, promoção |
| Cartões virtuais | UOL, Voxcards, Yahoo! Cartões, O Carteiro, Emotioncard |
| Comércio eletrônico | cobrança de débitos, confirmação de compra atualização de cadastro, devolução de produtos, oferta em site de compras coletivas |
| Companhias aéreas | promoção, programa de milhagem |
| Eleições | título eleitoral cancelado, convocação para mesário |
| Empregos | cadastro e atualização de currículos, processo seletivo em aberto |
| Imposto de renda | nova versão ou correção de programa, consulta de restituição, problema nos dados da declaração |
| Internet Banking | unificação de bancos e contas, suspensão de acesso, atualização de cadastro e de cartão de senhas, lançamento ou atualização de módulo de segurança, comprovante de transferência e depósito, cadastramento de computador |
| Multas e infrações de trânsito | aviso de recebimento, recurso, transferência de pontos |
| Músicas | canção dedicada por amigos |
| Notícias e boatos | fato amplamente noticiado, ataque terrorista, tragédia natural |
| Prêmios | loteria, instituição financeira |
| Programas em geral | lançamento de nova versão ou de novas funcionalidades |
| Promoções | vale-compra, assinatura de jornal e revista, desconto elevado, preço muito reduzido, distribuição gratuita |
| Propagandas | produto, curso, treinamento, concurso |
| Reality shows | Big Brother Brasil, A Fazenda, e demais reality de canais fechados |
| Redes sociais | notificação pendente, convite para participação, aviso sobre foto marcada, permissão para divulgação de foto |
| Serviços de Correios | recebimento de telegrama online |
| Serviços de e-mail | recadastramento, caixa postal lotada, atualização de banco de dados |
| Serviços de proteção de crédito | regularização de débitos, restrição ou pendência financeira |
| Serviços de telefonia | recebimento de mensagem, pendência de débito, bloqueio de serviços, detalhamento de fatura, créditos gratuitos |
| Sites com dicas de segurança | aviso de conta de e-mail sendo usada para envio de spam (Antispam.br), cartilha de segurança (CERT.br, FEBRABAN, Abranet, etc.) |
| Solicitações | orçamento, documento, relatório, cotação de preços, lista de produtos |
Esta tabela foi fornecida pela Cartilha de Segurança. Caso queira verificar este e outros assuntos no site do CERT.br, clique aqui.
Phishing no e-mail
O endereço de e-mail dos criminosos são falsificados para que se assemelhem com e-mail de outra pessoa ou empresa. Além disso, projetam sites falsos semelhantes com os originais através de encurtadores de links para disfarçar sua origem (URL).
Outro exemplo de phishing no e-mail:
Phishing em SMS
Também conhecido como Smishing, ou seja, phishing em forma de mensagens de texto (SMS). Se trata de ataques de phishing que visam extrair suas informações pessoais ou até mesmo instalar softwares maliciosos, conhecido como Malwares.
Exemplo de phishing em SMS:
Conheça também spam em mensagens de texto (SMS).
Phishing no WhatsApp
Os ataques de phishing também estão presentes no WhatsApp. Aqui, links atrativos e fraudulentos são amplamente compartilhados ao se assemelharem com uma entidade confiável.
O objetivo é o mesmo: extrair suas informações pessoais através de formulários ou até mesmo instalar softwares maliciosos, conhecido como Malwares.
Exemplo de phishing no WhatsApp:
Tipos de phishing
Os ataques de phishing podem ser categorizados em diferentes tipos. Sua tipificação se dá principalmente pela quantidade ou especificidade do alvo do criminoso.
A maioria dos ataques de phishing são enviados em massa para milhões de vítimas. Entretanto, existem casos que são direcionados para pessoas específicas. Isso geralmente ocorre quando o criminoso possui algum determinado objetivo para o alvo.
Spear phishing
Se trata de de um ataque de phishing onde o criminoso cria uma mensagem para atrair um indivíduo específico. Este é o significado de Spear phishing, que, traduzindo ao pé da letra, significa “apontando para um peixe específico”.
Os criminosos identificam seus alvos e usam endereços falsificados para enviar e-mails que possam parecer aceitáveis de colegas de trabalho. Por exemplo, o lanceiro pode atacar alguém do departamento financeiro e fingir ser o gerente da vítima, solicitando uma grande transferência bancária em pouco tempo.
Confira um outro exemplo de spear phishing direcionado a uma empresa:
Baleia
O termo caça à baleia se refere aos ataques de spear phishing. Nesses casos, o conteúdo será criado para atingir um gerente superior e o papel da pessoa na empresa.
O conteúdo de um e-mail, ou mensagem de texto, de ataque à baleia pode ser um problema executivo, como uma intimação ou reclamação do cliente.
Catphishing / Catfishing
É um tipo de engano online que envolve conhecer alguém de perto para ter acesso a certas informações ou recursos. A pesca com gato – em tradução livre – é um conceito semelhante que envolve uma pessoa que cria uma presença na rede social, com o intuito de atrair alguém para um relacionamento romântico.
Geralmente começa online, com a promessa de progredir para um romance na vida real. Claro que esse não é o objetivo do agressor, que, na verdade, busca acesso ao dinheiro ou recursos que essa pessoa possa fornecer.
Clonagem phishing
Neste tipo de ataque, os criminosos copiam (ou clonam) um e-mail legítimo recebido anteriormente que contenha um link ou um anexo. Em seguida, o criminoso substitui os links ou arquivos anexos por conteúdo malicioso para que se passe pelo item verdadeiro.
Pessoas mais leigas clicam no link ou abrem o anexo que, geralmente, permite que seus sistemas sejam recrutados. O criminoso pode falsificar a identidade da vítima para que outras vítimas pensem que ele é um remetente confiável da mesma organização.
Por que os ataques de phishing aumentaram durante a pandemia do novo coronavírus?
Durante uma crise como essa que estamos vivenciando, é normal nos desesperarmos. E é nesse momento, do desespero, que os criminosos utilizam todos os meios possíveis para enganar as pessoas e aplicar golpes ou fraudes.
No período de intenso isolamento social, o governo lançou o benefício “Auxílio Emergencial”. Neste benefício, era liberado uma quantia de R$600 para trabalhadores informais, microempreendedores individuais (MEI), autônomos e desempregados.
Dito isso, os criminosos fizeram uso de links maliciosos, páginas falsas, clonagem de sites e até mesmo fake news para tentar roubar o dinheiro do “Auxílio Emergencial” que seria destinado às pessoas. A quantidade de vítimas desse golpe foi tão grande que abriu margem para golpes similares como “Auxílio Gás”, entre diversos outros.
Como evitar ataques de phishing?
Embora pareça difícil evitar ataques desta natureza, é uma tarefa totalmente possível. Confira nossas orientações para aprender a evitar os ataques de phishing:
Mantenha-se informado sobre as técnicas de phishing
Novos golpes de phishing estão sendo desenvolvidos o tempo todo. Sem ficar por dentro dessas novas técnicas de phishing, você pode, inadvertidamente, ser vítima de uma. Fique de olho em notícias sobre novos golpes de phishing. Ao descobrir sobre eles o mais cedo possível, você corre menos risco de ser apanhado por um. Para administradores de TI, o treinamento contínuo de conscientização sobre segurança e simulação de phishing para todos os usuários são altamente recomendados para manter a segurança em mente em toda a organização.
Pense antes de clicar!
Não há problema em clicar em links quando você estiver em sites confiáveis. Clicar em links que aparecem em e-mails aleatórios e mensagens instantâneas, no entanto, não é uma jogada inteligente. Passe o mouse sobre links suspeitos antes de clicar neles. Eles levam para onde deveriam levar? Um e-mail de phishing pode alegar ser de uma empresa legítima e, quando você clica no link para o site, ele pode se parecer exatamente com o site real. O e-mail pode pedir que você preencha as informações, mas o e-mail pode não conter o seu nome. A maioria dos e-mails de phishing começará com “Prezado cliente”, portanto, você deve estar alerta quando encontrar esse tipo de mensagem. Em caso de dúvida, vá diretamente para a fonte em vez de clicar em um link potencialmente perigoso.
Instale uma barra de ferramentas antiphishing
Os navegadores de Internet mais populares podem ser personalizados com barras de ferramentas antiphishing. Essas barras de ferramentas executam verificações rápidas nos sites que você está visitando e os comparam com listas de sites de phishing conhecidos. Se você topar com um site malicioso, a barra de ferramentas o alertará sobre isso. Esta é apenas mais uma camada de proteção contra golpes de phishing, totalmente gratuita, mas não 100% garantida.
Verifique a segurança de um site
É natural ter um pouco de cautela ao fornecer informações financeiras confidenciais online. Contanto que você esteja em um site seguro, no entanto, você não deverá ter problemas. Antes de enviar qualquer informação, certifique-se de que o URL do site comece com “https” e que haja um ícone de cadeado fechado próximo à barra de endereço. Verifique também o certificado de segurança do site. Se você receber uma mensagem informando que um determinado site pode conter arquivos maliciosos, não abra o site. Nunca baixe arquivos de e-mails ou sites suspeitos. Até mesmo os mecanismos de pesquisa podem mostrar determinados links que podem levar os usuários a uma página da web de phishing que oferece produtos de baixo custo. Se o usuário fizer compras nesse site, os detalhes do cartão de crédito serão acessados por cibercriminosos.
Verifique suas contas online regularmente
Se você não visitar uma conta online por um tempo, alguém pode estar se divertindo muito com ela. Mesmo que tecnicamente não seja necessário, verifique cada uma de suas contas online regularmente. Adquira também o hábito de alterar suas senhas com certa frequência. Para evitar phishing em banco e golpes de phishing de cartão de crédito, você deve verificar pessoalmente suas declarações regularmente. Obtenha extratos mensais de suas contas financeiras e verifique, cuidadosamente, cada entrada para garantir que nenhuma transação fraudulenta tenha sido feita sem o seu conhecimento.
Mantenha seu navegador atualizado
Patches de segurança são lançados para navegadores populares a todo momento. Eles são lançados em resposta às brechas de segurança que os “phishers” e outros hackers inevitavelmente descobrem e exploram. Se você costuma ignorar as mensagens sobre como atualizar seus navegadores, pare. Assim que uma atualização estiver disponível, baixe e instale-a.
Use Firewalls
Firewalls de alta qualidade atuam como buffers entre você, seu computador e invasores externos. Você deve usar dois tipos diferentes: um firewall de desktop e um firewall de rede. A primeira opção é um tipo de software, enquanto a segunda é um tipo de hardware. Quando usados juntos, eles reduzem drasticamente as chances de hackers e phishers se infiltrarem em seu computador ou rede.
Desconfie de pop-ups
As janelas pop-up costumam se disfarçar como componentes legítimos de um site. Com muita frequência, porém, são tentativas de phishing. Muitos navegadores populares permitem que você bloqueie pop-ups; você pode permiti-los caso a caso. Se um deles conseguir escapar, não clique no botão “cancelar”; esses botões geralmente levam a sites de phishing. Em vez disso, clique no pequeno “x” no canto superior da janela.
Nunca divulgue informações pessoais
Como regra geral, você nunca deve compartilhar informações pessoais ou financeiramente confidenciais pela Internet. Essa regra remonta aos dias da America Online, quando os usuários precisavam ser avisados constantemente devido ao sucesso dos primeiros golpes de phishing. Na dúvida, acesse o site principal da empresa em questão, pegue o número e ligue para ela. A maioria dos e-mails de phishing irá direcioná-lo para páginas onde entradas de informações financeiras ou pessoais são necessárias. O usuário da Internet nunca deve fazer entradas confidenciais por meio dos links fornecidos nos emails. Nunca envie um e-mail com informações confidenciais para ninguém. Crie o hábito de verificar o endereço do site. Um site seguro sempre começa com “https”.
Use um software antivírus
Existem muitos motivos para usar um software antivírus. Assinaturas especiais incluídas no software antivírus protegem contra soluções alternativas e brechas de tecnologia conhecidas. Apenas certifique-se de manter seu software atualizado. Novas definições são sempre adicionadas, pois novos golpes também estão sendo inventados o tempo todo. As configurações de anti-spyware e firewall devem ser usadas para evitar ataques de phishing, e os usuários devem atualizar os programas regularmente. Além disso, a proteção de firewall impede o acesso a arquivos maliciosos, bloqueando os ataques. O software antivírus verifica todos os arquivos que chegam ao seu computador pela Internet, ajudando a prevenir danos ao seu sistema.
Você não precisa viver com medo de golpes de phishing. Mantendo as orientações anteriores em mente, você poderá desfrutar de uma experiência online sem preocupações.
Gostou desta publicação? Conta pra gente logo abaixo se essa publicação conseguiu de ajudar! 😉
Dana
14 de setembro de 2020👏🏻👍🏼🙌🏼
Bia
14 de setembro de 2020Já havia ouvido falar, porém não entendia o que era e como atuavam!! Muito bom o conteúdo! 👏🏼