O que é phishing e por que você precisa fugir disso?

Os conteúdos que circulam na internet por meio de sites, e-mails, mensagens instantâneas, redes sociais e SMS podem ocultar intenções criminosas de realização de fraudes online. Geralmente, os criminosos cibernéticos se passam por empresas respeitáveis e sites confiáveis para atrair pessoas, utilizando uma técnica denominada phishing.

O crime consiste em jogar iscas para pescar informações, aludindo à palavra inglesa fishing, que quer dizer pescaria. Para se ter uma ideia da incidência desse tipo de golpe, estima-se que a sua taxa média de sucesso é de 5%, de acordo com o Anti-Phishing Working Group. Isso pode resultar em inúmeros transtornos e prejuízos financeiros para as vítimas do golpe.

Em razão da importância que a segurança digital representa atualmente, preparamos este artigo para tratar melhor sobre o phishing. Vamos mostrar como esse tipo de golpe funciona, como identificá-lo e os principais cuidados a serem tomados para evitá-lo. Leia com atenção e tome uma postura preventiva!

As múltiplas faces dos fraudadores

Geralmente, os phishers (fraudadores) assumem a identidade de instituições como:

  • bancos;
  • operadoras de cartão de crédito, telefonia e televisão a cabo;
  • provedores de e-mail;
  • órgãos do governo (especialmente, a Receita Federal);
  • delegacias;
  • companhias aéreas;
  • lojas virtuais;
  • grandes redes varejistas e outras entidades respeitáveis.

Algumas vezes, podem se passar, até mesmo, por pessoas conhecidas da vítima.

Os indícios do phishing

This illustration is AI10 EPS contains a transparency blend and partial blur effect, which makes up the reflective/highlight shape for the icon.

Os assuntos do phishing são seu principal indício. Eles são criados de forma a despertar interesse, curiosidade, sensação de urgência ou oportunidade para induzir a pessoa alvo do golpe a agir por impulso, no calor da emoção, sem raciocinar muito.

A seguir, citaremos alguns exemplos de assuntos abordados:

  • bancos: atualização de cadastro para evitar bloqueio de conta, expiração de senha, chave de acesso ou token ou confirmações de depósitos;
  • cartão de crédito: expiração de pontuação em programa de fidelidade, confirmações de compras, geralmente, de alto valor e envio de fatura;
  • contas de correio eletrônico: cancelamento de e-mail, expiração de senha, bloqueio por falta de pagamento ou falta de recadastramento;
  • generalidades: inscrição em cadastros de restrição de crédito, notificação de herança, envio de fotos comprometedoras, íntimas ou reveladoras, envio de cartões de mensagens virtuais, declarações de amor de um admirador secreto, premiação em sorteio, ofertas de softwares gratuitos de antivírus ou melhoria de performance do computador, mensagens com dados pessoaisdo destinatário;
  • jornalismo: temas noticiados no momento (acidentes, atentados, catástrofes e escândalos políticos), informações exclusivas sobre celebridades ou denúncias;
  • lojas virtuais e grandes redes de varejo: ofertas de promoções e recompensas, envio de nota fiscal eletrônica;
  • órgãos públicos: notificações da Receita Federal, atualização do cadastro de CPF e Título de Eleitor, comunicados do INSS ou previdência privada, intimações de órgãos judiciais ou autoridades policiais, notificações de multa de trânsito ou irregularidades com o veículo;
  • redes sociais: notificações, marcações em fotos e convites para jogos e eventos.

Além dos assuntos citados acima, que dão indícios de que o conteúdo é um phishing, existem outros aspectos que podem demonstrar esta prática: erros gramaticais e/ou ortográficos na mensagem ou site, imagens de má qualidade, elementos visuais faltantes no site e mensagens estranhas de amigos estão entre os principais.

Os mecanismos de ação

Cyber Crime Concept with Flat Icons for Flyer, Poster, Web Site on Theme Phishing.

Quando você interage com o e-mail, SMS, mensagem instantânea ou o site fraudulento, é induzido a clicar em um link para visualizar algum conteúdo ou baixar algum anexo, geralmente, arquivo com extensão .exe ou .zip. Ele promove a instalação de malware (software malicioso) ou vírus no computador ou dispositivo móvel.

O malware pode disparar mensagens de phishing para todos os contatos do correio eletrônico ou das redes sociais da vítima, registrar dados digitados, capturar arquivos ou monitorar as atividades do usuário na Web. O link também pode conduzir a uma página falsa (idêntica à página original), na qual devem ser digitados dados e informações pessoais e sigilosas.

Outros mecanismos são sites de e-commerce falsos, para capturar dados dos compradores, que não receberão os produtos adquiridos. Além deles, a compra de informações cadastrais de forma ilícita ou invasão de bancos de dados corporativos para roubá-las e utilizar nas ações de phishing.

Os tipos de phising mais comuns

Em um cenário em que cada vez mais os meios digitais são utilizados como ferramentas para o trabalho, compras e comunicação, o phishing se tornou uma das práticas criminosas mais comuns da atualidade. Todos os dias, novas técnicas surgem para enganar o usuário e prejudicá-lo das mais diferentes formas.

Nesse sentido, conhecer e entender melhor os diferentes tipos de phishing é uma necessidade, pois ajuda você a monitorar melhor as suas ações na internet, por exemplo, reduzindo os riscos de se tornar um alvo de golpista. Para ajudar, listamos algumas das formas mais comuns de phishing. Confira e se proteja!

Spear phishing

Entre as modalidades de phishing mais comuns, existe o spear phishing que, apesar de funcionar de uma forma diferente, basicamente, tem o mesmo objetivo. Assim, enquanto no phishing tradicional o golpe é aplicado a partir do envio de mensagens em massa, para o maior número possível de pessoas, no spear phishing os alvos são específicos.

Nessa modalidade, o foco do golpe, geralmente, é direcionado para pessoas influentes dentro de organizações e órgãos públicos. Para isso, os criminosos costumam levantar diversas informações sobre a pessoa e suas funções, de modo a dissimular melhor as mensagens e dificultar qualquer suspeita.

Clone phishing

Outra modalidade de phishing bastante comum é a conhecida como clone phishing. Nela, o que acontece é basicamente o seguinte: os criminosos clonam um e-mail legítimo, enviado por uma pessoa ou por uma empresa, substituindo links e anexos por conteúdo malicioso.

Feito isso, essa mensagem clonada, com a aparência de segura e legítima, é encaminhada a diversos destinatários. Assim, ao clicar em links maliciosos, diferentes prejuízos podem ocorrer em razão do acesso criminosos a sistemas e informações.

Phishing por ransomware

O phishing também é bastante aplicado a partir da instalação de programas maliciosos e vulnerabilidades em máquinas e sistemas da vítima. Nesse sentido, o phishing por ransomware é uma das modalidades mais comuns e perigosas utilizadas pelos criminosos.

Nela, a vítima também recebe links fraudulentos, mas a intenção do cibercriminoso não é direcioná-la para uma página falsa, por exemplo. Na realidade, ao clicar no link, o alvo instala, sem saber, algum tipo de malware no dispositivo, dando acesso ou controle ao criminoso.

Nesse tipo de ação, é muito comum o sequestro de dados, que só são restituídos ao titular após o pagamento de regaste.

A diferença entre phishing e spam

Apesar de muitas pessoas acreditarem que se trata da mesma coisa, é preciso deixar claro: phishing é bem diferente de spam. Na prática, enquanto o spam se relaciona apenas com uma grande quantidade de e-mails e mensagens, sem qualquer finalidade criminosa, o phishing, como visto, é uma prática que tem como objetivo prejudicar a vítima, acessando dados e informações pessoais.

Em geral, o spam é algo bastante comum na internet. Diariamente, inúmeras mensagens de sites, lojas e aplicativos lotam a caixa de entrada da maior parte dos usuários. O chamado lixo eletrônico, no entanto, apenas gera o transtorno com a desorganização da caixa de entrada, mas não representa nenhum risco ao destinatário.

Por outro lado, o phishing utiliza o envio de mensagens em massa para enganar o alvo, induzindo-o a clicar em links falsos e/ou a fornecer informações pessoais, sempre com o objetivo de prejudicar a vítima.

Smishing e vishing: como funcionam

Quando o assunto é phishing, o que não falta é criatividade por parte dos criminosos para tornar essa prática ainda mais perigosa para os usuários. Por exemplo, muito já se fala a respeito do smishing e do vishing, que nada mais são do que modalidades de phishing, mas aplicadas em canais de comunicação diferentes.

Nesse sentido, o smishing pode ser entendido como o phishing via SMS — algo que se tornou extremamente comum na atualidade. Nesse tipo de golpe, o criminoso envia mensagens SMS para o celular da vítima, muitas vezes, passando-se por empresas e pessoas conhecidas.

Ele solicita o acesso a links, o download de aplicativos ou dados pessoais. Porém, o objetivo é sempre o mesmo: apoderar-se de informações do alvo e obter vantagens indevidas.

Por sua vez, o vishing pode ser compreendido como mais uma modalidade de phishing, mas baseada na utilização da voz. Nela, os criminosos fazem contato com a vítima por voz, passando-se por pessoas idôneas ou representantes de empresas, tudo com o objetivo de enganar a vítima e ter acesso a informações pessoais.

O vishing é ainda mais perigoso, pois, a depender da habilidade do criminoso, é mais fácil ganhar a confiança do alvo. Isso ocorre, especialmente, entre aqueles mais inexperientes, convencendo-os a agir conforme as intenções maliciosas do golpista.

Consequências do phishing

As principais consequências dessa fraude são:

  • roubo de informações pessoais — com esses dados, os fraudadores emitem documentos falsos e realizam transações comerciais diversas, especialmente, atos de estelionato;
  • roubo de senhas bancárias e de cartões de crédito — os phishers realizam saques e transferências de valores e efetuam compras em nome do titular da conta ou cartão.

Como identificar um ataque phishing

Em razão da sofisticação dos ataques de phishing, nem sempre é fácil identificar esse tipo de ação criminosa. Prova disso é que, todos os dias, inúmeras pessoas são vítimas de golpistas, das mais diferentes formas e nos mais diversos meios.

No entanto, sempre é possível adotar uma postura preventiva, agindo de forma estratégica para reduzir os riscos de se tornar um alvo de phishing. Para tanto, existem alguns cuidados e boas práticas que devem fazer parte da sua rotina.

Nesse sentido, por exemplo, ao receber mensagens de e-mail ou SMS, é possível checar alguns pontos suspeitos. Caso estejam presentes, há uma grande probabilidade de que se trate de um golpe. Vejamos alguns exemplos:

  • recebimento de mensagens não solicitadas;
  • mensagens com erros de digitação;
  • e-mails desconfigurados, com imagens de baixa qualidade;
  • presença de links “soltos”.

Além desses pontos objetivos, relacionados à própria estrutura das mensagens, também é importante avaliar o conteúdo daquilo que chega no seu e-mail ou celular. Para isso, a recomendação é:

  • conferir o remetente;
  • desconfiar de mensagens com propostas “urgentes” e “imperdíveis”;
  • suspeitar de qualquer mensagem que solicite dados pessoais ou bancários, entre outras medidas.

Como se proteger

Businessman Laptop Technology Working Networking Concept

Existem no mercado softwares anti-phishing, com filtros anti-spam eficazes, que notificam sobre indícios de irregularidades em e-mails. Já quanto aos sites, existem antivírus e firewalls que fazem a varredura e notificam irregularidades ou bloqueiam o acesso, quando detectam qualquer possibilidade de fraude.

Outra forma de se proteger, é passando o ponteiro do mouse sobre o nome do remetente da mensagem, aparecerá o e-mail real utilizado e você verá que tem outra origem. Passe o ponteiro do mouse sobre o link da mensagem e você verá que o endereço (URL) não tem nada a ver com o do suposto remetente original. Mas, fique atento, por que às vezes a URL é bastante semelhante à original, mas sempre terá alguma diferença.

Como solucionar problemas

Se for vítima de phishing em sua conta bancária ou cartão de crédito, registre um boletim de ocorrência e notifique imediatamente o banco e a operadora de cartão de crédito, para cancelamento dos cartões e troca de senhas, assim como para rastrear as operações fraudulentas que foram efetuadas e tomar as providências cabíveis administrativas e judiciais, se necessário.

Se o phishing contaminar seu computador ou dispositivo móvel com vírus ou malware, faça a descontaminação com antivírus e instale um firewall ou recorra à assistência técnica para recompor o funcionamento do seu equipamento.

O phishing é uma prática criminosa muito danosa do mundo virtual, que provoca prejuízos financeiros, danos em equipamentos e danos morais. Os fraudadores estão continuamente em busca de novos temas e sistemáticas de captura de novas vítimas. Manter-se bem informado quanto às técnicas, manhas e artimanhas dos cibercriminosos e utilizar softwares anti-phishing, antivírus e firewall são os melhores meios de fugir dessa terrível ameaça.

Agora que você já aprendeu alguns cuidados para fugir do phishing, leia também: 8 dicas de segurança para você comprar pela internet!

Ofertas e Descontos

Compre com segurança! Clientes Porto Seguro Cartões têm descontos em diversos produtos nas lojas de nossos parceiros.

ACESSE O SHOPPING PORTO SEGURO »