Descubra como evitar cair no 'phishing'

'Phishing': um clique faz toda a diferença

Digital Ciberseguranca Internet

Ouviu falar do 'phishing'? Trata-se de um tipo de ciberataque cada vez mais comum. Os delinquentes cibernéticos utilizam essa técnica para cometer fraude e obter informações confidenciais de forma enganosa.

Phishing

'Phishing': um clique faz a diferença.

O que é 'phishing'?

O phishing consiste no envio de mensagens, tanto através de e-mail, quanto de SMS (conhecido como smishing), mensagem instantânea ou, inclusive, de redes sociais, em que os delinquentes cibernéticos usurpam a identidade de qualquer organização conhecida para conseguirem nossas informações mais confidenciais (senhas, dados bancários, etc.) incitando-nos a clicar em um link que redireciona para um site falso.

Os e-mails costumam incluir um link que leva o usuário para sites falsos. Uma vez ali, solicita informações pessoais do próprio usuário e este, pensando que é de confiança, as proporciona, caindo nas mãos dos trapaceiros (ou phishers).

O phishing também pode estar em sites através de banners publicitários que incitam a descarregar um antivírus ou qualquer outro programa e em um formulário que solicita dados pessoais.

Os ataques de phishing, além de aumentarem ano após ano, são cada vez mais sofisticados e convincentes, conseguindo confundir os usuários, que ficam com sua própria segurança comprometida. O pior desses ciberataques está no fato de que na maioria das ocasiões, infectam seu terminal — seja celular ou computador — sem que se aperceba.

São muitas as desculpas que esses cibercriminosos utilizam para captar nossa atenção a fim de nos redirecionar para sites falsos que simulam ser os legítimas: atualizações urgentes, pacotes que não solicitou, mas que é preciso recolher quanto antes, avisos de um último pagamento, o banco pedindo para alterar suas senhas, etc.

Mas podemos enfrentar esses ciberataques. Monitorar um site ou usar um bom antivírus são algumas das formas mais eficazes de derrotar o phishing. Caso se aperceba de que um site é falso — isso acontece quando não começa por https:// ou não tem um cadeado fechado na barra do navegador —, nossa recomendação é que limpe a memória cache do navegador. Isso permitirá a eliminação de qualquer software não desejado.

História e evolução do 'phishing'

As técnicas e os objetivos do phishing evoluíram ao longo de sua história. Na década de 1970, surgiu seu precedente mais importante: uma subcultura em torno de ataques por meio do sistema telefônico. Estes primeiros hackers eram conhecidos como phreaks, uma combinação das palavras "phone" (telefone) e "freak" (raro). Em uma época em que não havia muitos computadores conectados em rede, o phreaking tornou-se a primeira técnica para fraudar usuários.

A criação do termo phishing foi atribuída a Khan C Smith, um hacker conhecido em meados da década de 1990. Naquela época, a America Online (AOL) era o principal provedor de acesso à Internet e os hackers e piratas informáticos a utilizavam para realizar ataques de phishing contra os usuários. Mesmo quando a AOL adotou medidas de segurança, os hackers recorreram a outras técnicas, como se passar por funcionários da AOL para pedir aos usuários que verificassem suas contas e fornecessem informações de cobrança.

Na década de 2000, os criminosos cibernéticos desenvolveram uma estratégia de phishing bem definida: eles se passavam por uma marca mundialmente conhecida e atacavam endereços de e-mail em grande escala. Qualquer assunto era válido para enganar as vítimas: avisos de encerramento de contas bancárias, campanhas de caridade, prêmios... O objetivo era usurpar a identidade de marcas conhecidas e comuns para obter as informações e o dinheiro das vítimas. O phishing progressivamente voltou sua atenção para a exploração de sistemas de pagamento bancário on-line, e as redes sociais se tornaram um alvo fácil para o roubo de identidade devido a todos os dados pessoais registrados nelas.

Em resposta às medidas de segurança implementadas ao longo do tempo e a uma certa maturidade do público em relação à ameaça, as campanhas de phishing se tornaram cada vez mais sofisticadas. Criou-se, então, um cenário em que os provedores de segurança cibernética continuam inovando para enfrentar os novos desafios.

Processo e tipo de informações roubadas em phishing

  • Icono

    Falsificação de uma pessoa, organização ou empresa confiável.

  • Icono

    Envio de uma mensagem por algum meio de comunicação.

  • Icono

    Uma porcentagem de usuários confia na mensagem e clica nela.

  • Icono

    Os usuários acessam um site falso e inserem seus dados pessoais.

  • Icono

    O atacante obtém os dados pessoais do usuário e os utiliza para fins maliciosos.

Que tipo de informação é roubada por um phisher?

Ilustración

Dados pessoais

  • Endereços de e-mail
  • Número de identificação
  • Localização e detalhes de contato

Informações financeiras

  • Número do cartão de crédito
  • Número da conta
  • Informações de comércio eletrônico

Credenciais de login

  • Redes sociais
  • Contas de e-mail
  • Aplicativos bancários on-line

 VER INFOGRÁFICO: Processo e tipo de informações roubadas em phishing [PDF]

Tipos de phishing

A empresa de segurança e privacidade IT Governance destaca os cinco principais tipos de phishing atuais:

 Phishing por e-mail
A maioria dos ataques de phishing é enviada por e-mail. O criminoso registra um domínio falso que imita uma organização real e envia milhares de solicitações genéricas. O domínio falso geralmente tem caracteres trocados, como "r" e "n" um ao lado do outro para criar "rn" em vez de "m". Em outros casos, os fraudadores criam um domínio exclusivo que inclui o nome da organização legítima na URL e imagens da empresa ou da marca. Como regra geral, é importante verificar qualquer endereço de e-mail que solicite clicar em um link ou fazer download de um anexo.

 Spear phishing

Este é um exemplo mais sofisticado de phishing. Ele se refere a e-mails mal-intencionados enviados a uma pessoa específica. Os criminosos que praticam esse tipo de golpe já têm informações importantes sobre a vítima, como nome, local de trabalho, cargo, etc.

 Whaling

Os ataques whaling são mais direcionados. São ataques de phishing em que os criminosos cibernéticos se fazem passar por executivos de alto escalão ou outros líderes empresariais. Embora o objetivo final do whaling seja o mesmo de qualquer outro tipo de ataque de phishing, a técnica costuma ser muito mais sutil. Os criminosos se aproveitam da disposição dos funcionários em seguir as instruções de seus chefes.

 Smishing e vishing

Tanto no smishing quanto no vishing, o telefone substitui o e-mail como método de comunicação. No smishing, os criminosos enviam mensagens de texto (cujo conteúdo é muito semelhante ao do phishing por e-mail) e, no vishing, eles usam uma conversa telefônica. Um dos pretextos mais comuns são mensagens de um suposto banco alertando sobre atividades suspeitas.

 Angler phishing 

Angler phishing é uma nova tática de golpe em que os hackers se fazem passar por funcionários da área de saúde usando plataformas e contas de redes sociais. URLs falsas, sites clonados, publicações e tweets e mensagens instantâneas podem ser usados para persuadir as pessoas a divulgar informações confidenciais ou baixar malware. Além disso, os criminosos podem usar os dados que as pessoas publicam voluntariamente nas redes sociais para criar ataques direcionados.

Como evitar ser vítima desse ciberataque?

Todos os usuários correm o risco de ser vítimas de phishing. Não obstante, qualquer endereço público será mais suscetível de ser objeto de um ataque. O primeiro passo é não responder a nenhum e-mail que solicite informações pessoais ou financeiras. No entanto, distinguir uma mensagem de phishing de outra que não é pode não ser uma tarefa fácil. Por isso, eis aqui uma série de conselhos para evitar que o enganem:

  • Verifique se o endereço do e-mail corresponde à pessoa que faz o envio.
  • Preste atenção ao tom do conteúdo. Se pedir urgência ou lhe oferecer qualquer tipo de pechincha, desconfie.
  • Antes de clicar em um link e proporcionar seus dados, verifique se o site ao qual será direcionado é o autêntico.
  • Use senhas seguras: uma senha segura é aquela que combina letras maiúsculas, letras minúsculas, números e símbolos, com pelo menos 8 caracteres.
  • Não deixe sessões abertas. É recomendável fazer logout, desconectar ou sair completamente do serviço quando não o estiver usando. 
  • Instale um antivírus em todos os seus dispositivos e execute varreduras regularmente.
     

 VER INFOGRÁFICO COMPLETO: 'Phishing', um clique faz a diferença [PDF] Link externo, abra em uma nova aba.