O que é Phishing? Evite golpes e ataques do tipo!
Phishing é usado para pegar suas senhas, cartão de crédito e número de contas bancárias. Aprenda como se defender contra phishing.
por Richael F. Nunes
Todos os dias, milhões de ameaças virtuais são espalhadas pela internet. Boa parte desse montante pode ser classificada como phishing. Essa prática, como o nome sugere (“phishing” em inglês corresponde a “pescaria”), tem o objetivo de “pescar” informações e dados pessoais importantes por meio de mensagens falsas. Com isso, os criminosos podem conseguir nomes de usuários e senhas de um site qualquer, como também são capazes de obter dados de contas bancárias e cartões de crédito.
"Phish" é pronunciado exatamente como está escrito, ou seja, como a palavra "peixe" - a analogia é a de um pescador jogando um anzol por aí (o e-mail de phishing) e esperando que você morda. O termo surgiu em meados dos anos 90 entre os hackers com o objetivo de induzir os usuários da AOL a abrirem suas informações de login. O "ph" faz parte de uma tradição de ortografia caprichosa de hackers e provavelmente foi influenciado pelo termo "phreaking", abreviação de "phreaking por telefone", uma forma inicial de hacking que envolvia a reprodução de tons sonoros em aparelhos telefônicos para receber chamadas telefônicas gratuitas.
O que realmente diferencia o phishing é a forma que a mensagem assume: os atacantes se disfarçam como uma entidade confiável de algum tipo, geralmente uma pessoa real ou plausivelmente real, ou uma empresa com a qual a vítima possa fazer negócios. É um dos tipos mais antigos de ataques cibernéticos, que remonta à década de 1990, e ainda é um dos mais difundidos e perniciosos, com mensagens e técnicas cada vez mais sofisticadas.
Para não cair em armadilhas como essa, o internauta precisa estar muito atento e prevenido. Para isso, pode utilizar ferramentas anti-phishing gratuitas ou pagas e filtrar boa parte dessas ameaças. Alguns exemplos de aplicativos com esta finalidade são PhishGuard para o Firefox ou Internet Explorer, e WOT para Google Chrome. Além disso, quase todos os antivírus no mercado são capazes de barrar este tipo de fraude.
Como acontece o golpe?
O phishing pode ocorrer de diversas formas. Algumas são bastante simples, como conversas falsas em mensageiros instantâneos e emails que pedem para clicar em links suspeitos. Fora isso, existem páginas inteiras construídas para imitar sites de bancos e outras instituições. Todas essas maneiras, no entanto, convergem para o mesmo ponto: roubar informações confidenciais de pessoas ou empresas.
Alguns golpes de phishing tiveram êxito suficiente para causar ondas:
- Talvez um dos ataques de phishing mais importantes da história tenha acontecido em 2016, quando hackers conseguiram que o presidente da campanha de Hillary Clinton, John Podesta, oferecesse sua senha do Gmail.
- O ataque "fappening", no qual fotos íntimas de várias celebridades foram divulgadas, foi originalmente considerado o resultado da insegurança nos servidores iCloud da Apple, mas, na verdade, foi o produto de várias tentativas bem-sucedidas de phishing.
- Em 2016, os funcionários da Universidade do Kansas responderam a um e-mail de phishing e entregaram o acesso às informações de depósito em contracheque, resultando na perda de pagamento.
Como identificar?
Com exceção para esquemas cuidadosamente elaborados, é relativamente fácil identificar um phishing scam. Isso porque algumas características são comuns à maioria dessas mensagens. Veja, a seguir, as principais delas.
O phishing se passa por mensagens de bancos, operadoras de celular, órgãos públicos, entre outros
Os responsáveis pelo phishing criam mensagens falsas que incorporam cores, logotipos, slogans e outras características da identidade de alguma instituição conhecida. O motivo é óbvio: fazer o usuário acreditar que aquela entidade está se comunicando com ele.
A imagem abaixo é um exemplo. Repare que, além do uso inadequado de pontuação, o texto tem erros ortográficos:
Links estranhos ou anexos suspeitos
É comum que esquemas de phishing usem links "confusos" (que você não seria capaz de guardar de cabeça) ou que, de alguma forma, se assemelham ao endereço legítimo da entidade mencionada na mensagem. Por exemplo, se o site da Empresa X é www.empresax.com.br, o e-mail pode ter um link do tipo www.empresax.dirt.com.
Envolvendo redes sociais
“Personalize seu WhatsApp”, “Você ganhou um cupom de desconto”… Mensagens falsas como essas circulam com muita rapidez pelo WhatsApp
Dicas para se proteger
- Observe as características da mensagem (visual, erros ortográficos, links suspeitos, argumentos persuasivos, entre outros
- Nunca dê seus dados pessoais que lhe sejam solicitados por e-mail.
- Não clique em links suspeitos.
- Desconfie de ofertas muito generosas.
Caí em em phishing. O que fazer?
Se você achar ou souber que foi vítima de phishing, procure por autoridades responsáveis. Por exemplo, se for conta bancária, deve contatar imediatamente a instituição bancária para bloquear a sua conta e obter nova senha. Já, se você tiver passado dados do seu cartão de crédito, é importante contatar a operadora para cancelá-lo e verificar lançamentos não reconhecidos.No futuro, suspeite de todos os e-mails e links não solicitados ou inesperados que você recebe, mesmo que eles pareçam vir de uma fonte confiável.
Com essas dicas, dificilmente você vai cair em golpes de phishing!
Este artigo foi baseado no artigo de Emerson Alecrim, publicado por InfoWester, 12-05-2013.