Você sabia que os diversos golpes difundidos hoje por e-mails, mensagens de texto e telefone possuem um nome? Eles são conhecidos como phishing e, atualmente, são frequentes. Provavelmente, você já recebeu em sua caixa de entrada algum tipo phishing ou possui sua caixa de spam lotada deles.
Em comparação a outros tipos de cibercrimes, o phishing é particularmente bem simples. Porém, por usar de métodos convincentes, acaba se tornando eficiente e fazendo diversas vítimas.
A seguir, entenda o que é o phishing e como evitar este tipo de ataque.
O que é phishing?
O phishing é um tipo de cibercrime e se enquadra como uma fraude, pois por meio dele os golpistas conseguem informações sensíveis de forma ilegal das vítimas, como dados de cartões, número de identidade, entre outros, por meio de mensagens.
O termo phishing é um trocadilho em inglês para pescaria, porque os criminosos lançam uma isca para as vítimas pescarem. Essas iscas são mensagens falsas que irão de alguma forma chamar a atenção da vítima.
Os cibercriminosos enviam e-mail ou SMS se passando por outra pessoa, geralmente instituições governamentais, autoridades ou empresas confiáveis (bancos, lojas conhecidas, correio, entre outros). O golpista irá criar uma mensagem falsa, usando um logo extremamente parecido com o oficial da instituição ao qual ele está se passando, e neste texto cria uma forma de convencer a vítima de cair no golpe.
Uma das táticas usadas para fazer a vítima cair em sua pescaria é utilizar truques psicológicos, com mensagens de urgência, medo ou recompensa, como por exemplo, dados que precisam ser atualizados para a conta não ser cancelada. Outra forma é abordar um assunto de interesse e criar um link externo ou um documento para download, mas ele estará com um malware instalado.
Exemplos de ataques de phishing
O phishing é um dos golpes mais comuns de se aplicar. Você pode nunca ter caído em um, mas com certeza já recebeu e-mails ou mensagens por celular duvidosas que o fizeram pensar duas vezes se era verdadeiro ou não.
No Brasil, o número de ataques aumentam consideravelmente, com golpes pelo Whatsapp em primeiro lugar e o país ocupando a quarta posição em ataques por e-mail, como mostra dados.
A seguir, entenda quais são os tipos de phishing que golpistas podem enviar:
Scam phishing
Este é o tipo de phishing mais comum e são generalizados, tentando atingir uma grande quantidade de pessoas, sem ter um indivíduo como foco. O contato pode ser feito via telefone, e-mail, mensagem de texto ou pelas redes sociais.
Os golpistas se passam por uma organização conhecida com o intuito de conseguir informações pessoais, como números de contas bancárias, senhas e números de cartão de crédito.
Spear phishing
Ao contrário do scam phishing, o spear phishing possui um alvo específico, geralmente sendo uma empresa ou instituição governamental. Neste caso, as mensagens são personalizadas para cada vítima, tornando-a mais crível para a pessoa cair no golpe.
Aqui, os criminosos fazem uma pesquisa mais profunda sobre o alvo, como nome, cargo, ligações profissionais e detalhes pessoais. Com estes detalhes, eles conseguem personalizar as mensagens para que elas pareçam confiáveis.
Por exemplo, os golpistas focam em um funcionário de uma empresa que cuida do financeiro. Depois de toda a pesquisa feita, enviam um e-mail se passando por seu gerente alegando que há um boleto que precisa ser pago com urgência. Por ter todas as informações que parecem verídicas, o funcionário faz o pagamento, mas era um golpe.
Clone phishing
Neste ataque, os criminosos copiam ou clonam um site ou e-mail legítimo, trocando somente os links ou anexos com conteúdos maliciosos. As vítimas, sem perceber que estão em algo clonado, clicam e preenchem com suas informações, que irão direto para os cibercriminosos.
Vishing
O vishing acontece como os outros golpes de phishing, mas ao invés de entrar em contato com a vítima por mensagem, o golpista irá aplicar o golpe por telefone. O modus operandi será o mesmo: ele irá se passar por uma instituição de confiança para extrair informações confidenciais, geralmente se passando por uma empresa de telefonia, internet ou banco.
Outra questão que está entrando em evidência é o uso da inteligência artificial no vishing, recriando vozes e tornando os golpes muito mais críveis, como um caso que aconteceu em 2019, imitando a voz do CEO de uma empresa.
Como evitar e se proteger de ataques de phishing
Os cibercrimes estão se tornando cada vez mais frequentes e saber se proteger é essencial. E com os avanços tecnológicos, está cada vez mais difícil identificar o que é um golpe e o que não é.
Mas separamos algumas dicas que podem ser essenciais para você escapar de se tornar mais uma vítima!
Verifique o endereço de e-mail
O remetente falso é a primeira indicação do golpe de phishing. Por mais que pareça ser uma mensagem enviada por um órgão oficial, verifique se o endereço está escrito de forma correta. Outra dica é verificar se o e-mail é um alias. O alias funciona como um “pseudônimo” ou “apelido” e é como irá aparecer na barra de remetente, ocultando o verdadeiro e-mail.
Alguma letra faltando, um M no lugar de N, uma pontuação, números, qualquer pequena alteração é sinal que o endereço é falso. Remetentes desconhecidos, mas que se apresentam como alguma empresa, também é um sinal de alerta.
Erros ortográficos
Erros ortográficos são um grande alerta. Empresas legítimas possivelmente passam por uma equipe de revisão e, portanto, não há erros gramaticais. Este é um sinal que a mensagem não foi feita por um profissional. Suspeito, não é mesmo?
Cuidado com links e anexos
Antes de clicar em um link, passe o mouse por cima para ver se há algo estranho nele, como uma URL com palavras escritas erradas. Nunca baixe anexos se você está desconfiando que a mensagem é falsa e sempre verifique o nome.
Não forneça informações pessoais
Essa é uma das dicas mais importantes. Não importa quem está pedindo a informação, nunca dê detalhes pessoais completos. Bancos nunca irão pedir todos os dados de seu cartão e muito menos a senha. Instituições não irão pedir todos os seus dados sensíveis. Se começaram a fazer muitas perguntas, desconfie. Seus dados são o seu bem mais valioso.
Procure órgãos oficiais
Esta é a dica de ouro: se você está em dúvida se a mensagem ou ligação que recebeu é verídica, não responda imediatamente. Procure pelo site, telefone ou canais oficiais de atendimento para verificar se o que recebeu é verdadeiro antes de tomar qualquer ação.
Conscientização
Empresas estão sendo um dos maiores focos de spear phishing, o que pode gerar um grande prejuízo econômico para elas. Por isso, é necessário criar treinamentos voltados para a conscientização dos colaboradores e de tempos em tempos, aplicar testes internos para saber onde estão os elos mais fracos dentro da corporação.
Soluções anti-phishing
Já existem no mercado soluções que são denominadas anti-phishing, que asseguram funcionários a não caírem em golpes de phishing, ajudando a identificar e bloquear sites, e-mails e outros conteúdos maliciosos. Uma solução que faz este tipo de análise é o Browser Security Plus da ManageEngine, um software de segurança de navegadores.
Conclusão
Para cibercriminosos, utilizar golpes de phishing é muito menos trabalhoso pois eles não precisam derrubar camadas de segurança. Por meio da vítima, o golpista consegue o acesso por dentro e obtém todas as informações de forma muito mais rápida.
Se antes muitos pensavam que era necessário um hacker com habilidades especiais para sofrer um golpe, os crimes cibernéticos vieram para provar que não. Atualmente, qualquer ligação ou mensagem que receba que não pareça certa, certamente não é. E a melhor prevenção sempre é: redobre a atenção!
