Quando você ouve a palavra phishing, o que vem a sua cabeça? Para quem conhece alguma coisa da língua inglesa, o som da palavra pode remeter a palavra fishing, que significa pescaria. Pois é realmente daí que veio phishing.
Não entendeu? Calma que vamos explicar o que é phishing e porque você deve conhecer a fundo esta palavra.
Antes de explicarmos tudo sobre o phishing, vale dizer que ele é um dos golpes e crimes cibernéticos mais comuns em todo o mundo e seus números estão em constante crescimento. Por isso mesmo, todas as pessoas que têm contato com o mundo virtual, que hoje em dia é a imensa maioria, deveriam conhecer as formas como atua o ataque de phishing e as ferramentas e métodos de prevenção que podemos aplicar em nossa rotina virtual.
Parece estar ficando cada vez mais difícil acompanhar os números de golpes e crimes virtuais, não é mesmo? Mas neste artigo você vai entender o phishing a fundo, os seus tipos de ataques mais utilizados pelos golpistas e como se prevenir dele.
Índice
O que é Phishing?
O ataque de phishing é um crime virtual que ocorre com bastante frequência em todo o mundo. E no Brasil não é diferente.
Nele, os criminosos fazem com que as vítimas sejam enganadas por alguma mensagem que faz com que ela se sinta obrigada a fornecer informações confidenciais, sigilosas ou dados pessoais acreditando se tratar de um contato legítimo. Ou seja, nesses golpes também ocorre o crime de roubo de identidade.
O phishing normalmente faz uso de alguma mensagem de e-mail, texto ou site que se faz passar pela organização original, ou por algum outro indivíduo que o destinatário acredita ser de confiança. A partir daí, faz uso de técnicas de convencimento que fazem com que o usuário acabe fornecendo por e-mail ou sites as informações por livre e espontânea vontade e caia nos golpes.
Os ataques de phishing podem ocorrer através de um e-mail, por exemplo, que se faz passar pelo banco do usuário. Este e-mail contém mensagens que solicitam às pessoas informações com urgência, ou então que tem algo ocorrendo na conta das vítimas e que, para impedir, devem fornecer seus dados. Como o usuário é pego de surpresa e as mensagens costumam parecer reais e convincentes, acaba enviando as informações.
Este é apenas um exemplo, mas, além de e-mail, o phishing pode ocorrer também por outros canais como telefone, mensagens de SMS, sites, redes sociais, WhatsApp e muitos outros. Tudo que utiliza técnicas para enganar a vítima para roubar informações online de sua conta bancária ou outros dados e cometer fraude, é considerado phishing.
O objetivo dos ataques de phishing é sempre coletar informações do usuário para, posteriormente, utilizá-las para algum delito.
Como funciona o phishing?
Como já explicamos acima, o phishing é um dos principais crimes cibernéticos da atualidade. Um dos motivos que fazem com que ele seja tão difundido e tenha números tão altos é sua simplicidade.
Para praticar ataques de phishing, normalmente não é necessário ter grandes conhecimentos de informática e nem mesmo ser um hacker experiente. Isso porque o phishing é relativamente simples se pensarmos que o criminoso utiliza uma mensagem criada forjando ser outra pessoa para entrar em contato com as vítimas e, assim, coletar seus dados.
Apesar de não ser um crime cibernético complexo, o phishing tem prejudicado muitas pessoas, em especial com grandes perdas financeiras, clonagem de cartão, vazamento de dados, exposição de informações pessoais e imagens, entre outros.
Para saber como funciona o phishing, é importante pensar que este golpe normalmente tem início com mensagens, que chegam até o usuário através de um endereço de e-mail ou um site que considera seguro.
Como esta mensagem é forjada para ser muito parecida com a original, o receptor acredita que pode confiar no destinatário e em qualquer link que venha junto.
Além disso, o conteúdo das mensagens de phishing costumam ser bastante convincentes e com um teor de um certo imediatismo. Por exemplo, um banco entra em contato falando que sua conta foi clonada e que, para bloquear o cartão, é preciso digitar a senha através de um link enviado por eles.
Mesmo sabendo que, dificilmente, o banco fará esse tipo de comunicação por e-mail, o indivíduo acaba se convencendo que precisa bloquear logo o cartão para que não perca mais dinheiro e, assim, clica no link e manda suas informações para o criminoso.
Outra arma utilizada nas mensagens de golpes de phishing é atiçar a curiosidade com algo muito atrativo, que faz com que a vítima clique em um link ou abra um anexo sem pensar duas vezes, podendo ter seu dispositivo infectado.
Tipos mais comuns de phishing
O ataque de phishing atua de muitas formas. Mesmo a mensagem de e-mail sendo a mais comum delas, existem diversas outras maneiras que os golpistas chegam até as vítimas com o phishing. Vamos a seguir falar brevemente de algumas delas utilizadas pelos golpistas, que são as mais difundidas nos dias de hoje.
Spear phishing, phishing personalizado
Podemos dizer que o spear phishing é um tipo de ataque de phishing e-mail um pouco mais refinado. Isso porque uma campanha de phishing normalmente faz envio de uma determinada mensagem para muitas pessoas ao mesmo tempo. Ou seja, um disparo em passa e não tão personalizado.
Já no spear phishing, ela é enviada a um alvo específico. Assim, é feita toda uma pesquisa sobre uma determinada pessoa ou empresa, para que a mensagem seja a mais individualizada possível e, consequentemente, mais convincente.
Apesar de não ser feito o envio em massa, o ataque de spear phishing é um phishing de e-mail que tem grandes chances de trazer resultados aos criminosos porque é feito com bastante pesquisa e buscando alguma informação específica sobre a vítima.
Smishing
Da mesma forma que já citamos exemplos de phishing através de mensagens de e-mail, o smishing é a utilização do phishing em mensagens de texto de celular, seja através de SMS, WhatsApp ou outro aplicativo.
Você já deve ter ouvido falar de alguém que caiu em algum golpe através de mensagens de texto no celular, não é mesmo? Ou então isso já pode até mesmo ter acontecido com você.
Cada vez mais somos bombardeados por um maior número de mensagens de texto em nosso celular, vindas de bancos, empresas, notificações do próprio dispositivo.
O smishing faz uso deste tipo de mensagem para enganar o usuário, que acredita estar recebendo uma informação verdadeira. Aí então, a mensagem de texto a leva a acreditar que tem que fornecer algum dado, ou então clicar em links.
O smishing tem sempre a intenção de cometer uma fraude com os dados recebidos. Os criminosos que cometem smishing, normalmente fazem se passar por alguma empresa de credibilidade, por órgãos governamentais ou até mesmo por familiares e amigos para ter a confiança da vítima.
Vishing
Mais um tipo de prática criminosa e que é também um tipo de ataque de phishing, o vishing consiste em uma mistura do phishing, mas com o acréscimo de não ser somente online, pois utiliza a conversa em voz com alguém para concretizar o crime. Ele também é chamado de voice phishing.
O vishing, normalmente começa através de uma mensagem de e-mail, ou então mensagem em rede social, que levam o usuário a clicar em algum link, por exemplo. Aí então, entra no jogo mais um elemento, que é alguém que falará com você por telefone para solucionar o seu problema.
Na conversa por telefone, a vítima acaba se convencendo ainda mais da veracidade de tudo e cede as informações solicitadas. Este crime também vem ganhando espaço e se tornando um phishing bem sucedido porque pode ser difícil de ser identificado, uma vez que as pessoas costumam atribuir credibilidade quando estão conversando com alguém aparentemente real por telefone.
Whaling
Este modelo de phishing é ainda mais especializado que os ataques de spear phishing, apesar de serem parecidos. Chamado de Whaling (do inglês, whales são baleias), este phishing scam visa atingir os peixes grandes, ou seja, pessoas importantes dentro de governos e organizações. Para isso, ele também é feito de forma que a mensagem enviada aparenta ter sido enviada por alguém com grande importância, ou um grande cargo.
O whaling é um tipo de ataque de phishing muito bem planejado e especializado. Ele possui um alvo bem definido, que usualmente são pessoas que possuem grandes cargos em organizações e, por isso, podem fornecer informações também importantes. Para isso, utilizam meios de fazer se passar igualmente por alguém com um alto cargo ou grandes poderes.
Quando um crime como o whaling dá certo, costuma fazer bastante estrago na organização atingida, com resultados como perdas financeiras, vazamento de informações entre outros que podem danificar sua imagem.
Spoofing
O spoofing é um tipo de phishing, pois é o crime cibernético que faz com que o usuário acredite que o website, ou o e-mail, ou a mensagem que está recebendo é proveniente de algum lugar de sua total confiança.
Na área de tecnologia da informação, spoofing é um jargão que significa falsificação.
Ou seja, é o ato de falsificar e se fazer passar por outra pessoa para roubar dados e cometer o crime.
Ele ocorre quando alguém finge ser outra pessoa ou outra organização para entrar em contato com usuários, fazendo-os acreditar que trata-se de uma mensagem ou website originais. O spoofing cria mensagens para parecerem exatamente iguais as originais, assim como sites, que são como réplicas e enganam os usuários.
Evil Twin
O ataque de Evil Twin é um tipo de phishing que temos que ter muita atenção, pois não é fácil perceber que está caindo em um golpe. O evil twin faz com que você se conecte a uma rede de wifi pensando que é uma rede segura e conhecida, porém, não é.
Este tipo de phishing utiliza técnicas de engenharia social para fazer com que a vítima não perceba que está se conectando em um wifi que não o de costume. O nome, página de login e outras informações são praticamente idênticas, como se fossem gêmeas, daí o nome evil twin, que em portuges significa gêmeo mau.
Usualmente, o ataque de evil twin utiliza redes de wifi público e, após as pessoas se conectarem, tudo que o usuário fizer enquanto está online, ficará visível para o hacker. Ou seja, senhas de e-mail, banco, entre outras.
Outros tipos de phishing
Como são muitas as formas de realizar phishing, vamos a seguir citar algumas outras que, apesar de não serem tão comuns como aquelas que falamos anteriormente, também são amplamente utilizadas pelos criminosos.
- Clone phishing – Este tipo de phishing, como o nome já diz, é quando os criminosos praticamente criam um clone, ou uma cópia, de alguma mensagem de e-mail que foi enviada e mudam apenas algum dos links ou anexos.
Assim, a vítima pensa que está na mensagem verdadeira e acaba clicando em links ou anexos, permitindo que os criminosos passem a ter acesso a seus dados. - Phishing de malware – Malware é uma espécie de software malicioso que é utilizado por hackers para roubar informações dos usuários.
No phishing de malware, técnicas de phishing são utilizadas para instalar malwares e, assim, prejudicar dispositivos e deixá-los vulneráveis ao vazamento de informações. - Phone phishing – O phone phishing é o phishing que é praticado através de chamadas telefônicas, ou o vishing como falamos anteriormente.
Neste caso, a pessoa que está tentando aplicar o golpe entra em contato através de chamadas de telefone se fazendo passar por outra pessoa e solicitando informações particulares e confidenciais. - Scams nigerianos – Pode até parecer piada, mas este golpe de phishing ainda acontece. Foi um dos primeiros phishings a aparecer por e-mail. Neste caso, a vítima recebe e-mails de alguém que se passa por um príncipe nigeriano, pedindo confidencialidade.
Através de uma história confusa e ao mesmo tempo convincente, pede ajuda para transferir um volume alto de dinheiro para fora do país. Para isso, a vítima deve passar os dados de sua conta bancária e de cartões de crédito.
Como identificar um phishing?
Como pudemos perceber, são diversas fraudes de phishing que existem. Além disso, enquanto você está lendo este artigo, novas modalidades podem estar sendo criadas. Assim, apesar de todos estarmos vulneráveis, há formas de prestarmos atenção a alguns detalhes para evitarmos ao máximo cair neste golpe.
E-mails com erros de ortografia ou digitação – E-mails mal escritos, com erros de ortografia ou digitação, dificilmente serão enviados por empresas sérias. Se achou estranho, desconfie! Verifique também a url do site que está sendo direcionado.
Passe o mouse nos hiperlinks – Uma forma de tentar identificar a procedência do link no e-mail é passando o mouse em cima dele. Você poderá ver qual o endereço dele antes de clicar. Se desconfiar de phishing, não clique.
Cuidado com saudações genéricas – E-mails enviados com saudações como “Prezado cliente” ou algo como isso, são mais frequentes em phishing. Porém, lembre-se que mesmo quando o seu nome é citado no e-mail, pode se tratar de um phishing mais elaborado.
Mensagens com frases querendo causar pânico – Mensagens de Phishing normalmente trazem um teor que visa causar medo e pânico na vítima. Coisas como “sua conta será deletada” ou então “o seu cartão de crédito foi clonado”, devem ser sempre investigadas antes de seguir com as instruções de clicar em um link ou enviar alguma informação.
Dinheiro ou produtos fáceis demais – Tudo que é fácil demais, pode ser golpe. E com o phishing não é diferente. Se recebeu um e-mail falando que você ganhou um dinheiro que não esperava, ou que foi sorteado em algum sorteio que não lembra de ter participado, desconfie.
Como se prevenir de phishing?
Além de sempre cuidar para tentar identificar se o conteúdo que recebeu por e-mail é ou não é um phishing, também há formas de se prevenir de fraudes como esta.
A prevenção do phishing passa tanto pela mudança de comportamento online quanto pela utilização e contratação de ferramentas e medidas que podem te ajudar a se proteger e proteger sua privacidade na internet. Vamos citar algumas formas de prevenir phishing.
Mudança de comportamento online e com seu e-mail
Infelizmente, o mundo virtual está recheado de perigos e ataques. Da mesma forma que andamos pela rua com atenção, temos que navegar sempre com muito cuidado. Conhecer a confiabilidade dos sites que visita, não deixar seus dados em qualquer lugar e cuidar da sua segurança online, por exemplo, devem ser sempre prioridade.
Hoje em dia existem até mesmo cursos de segurança cibernética para aprender os principais tipos de golpes online como o phishing e como se prevenir.
Não forneça informações pessoais e de cartão de crédito
Nunca forneça suas informações pessoais, documentos, dados bancários, de cartão de crédito ou qualquer outra informação em sites ou links enviados por empresas.
Mesmo que você tenha certeza que a fonte é confiável, cheque novamente. Ligue para o remetente e pergunte se é realmente necessário enviar a documentação solicitada ou então os dados que estão sendo pedidos. Lembre-se que até mesmo por telefone existem golpes e fraudes.
Não abra anexos ou clique em links desconhecidos
Tenha muita atenção ao abrir anexos que chegaram para você através de e-mail, rede social ou mensagens de texto.
Mesmo que a mensagem seja tentadora, resista e não clique antes de se certificar de que trata-se de um texto verdadeiro e um anexo livre de vírus. Um vírus instalado ou um malware podem fazer estragos no seu dispositivo e, como consequência, em sua vida pessoal.
Evite postar dados pessoais em rede social
Tenha cuidado com qualquer tipo de informação sobre sua vida pessoal nas redes sociais. Muitas coisas que postamos sem perceber e que mostram informações da nossa vida pessoal, podem ser usadas por criminosos na hora de cometerem crimes virtuais.
É sempre recomendado ter perfis de redes sociais fechados somente para pessoas conhecidas. Caso não seja possível, evite postar qualquer informação que mostre onde você mora, onde está no momento, rotina da família, entre outras.
Tenha seu antivírus atualizado
Dificilmente alguém, nos dias de hoje, navegue pela internet sem um antivírus instalado em seus dispositivos. Ter um bom antivírus atualizado pode impedir diversos tipos de ataques cibernéticos.
Mas lembre-se que ele não vai impedir todos. O próprio phishing, por se tratar de um golpe relativamente simples e sem uso de tecnologia, muitas vezes não pode ser impedido somente com um antivírus, já que, em grande parte dos casos, a própria vítima acaba enviando as informações aos criminosos por livre e espontânea vontade.
Use um Alternative ID
Você já ouviu falar em ID alternativo? Para quem quer investir na segurança e navegar tranquilo, existem formas de gerar um perfil alternativo somente para navegar em privacidade. Você fornece alguns dados e o gerador de alternative ID vai criar um perfil para você. Assim você mantém seu nome e e-mail verdadeiros em sigilo enquanto está na internet.
Use uma VPN
Uma VPN é sempre uma boa opção. A Rede Privada Virtual é uma ótima ferramenta para usar a internet com privacidade e segurança. Com a VPN, você se conecta através de servidores de diversas partes do mundo, a escolher. Aí então, passa a navegar com um endereço de IP diferente do seu, mantendo a sua privacidade.
Além disso, os serviços de VPN utilizam uma criptografia de ponta, que traz uma camada a mais de proteção para suas informações. A VPN em si não impedirá ataques de phishing, porém, aumentará sua segurança cibernética caso alguém o tenha como alvo específico.
O que devo fazer se eu for vítima de phishing?
Mesmo com todos os cuidados com a prevenção e atenção no uso da internet, infelizmente, todos estamos sujeitos a sermos vítimas de ataques de phishing.
Se você caiu em um phishing bem sucedido, em alguns casos, as consequências podem ser pequenas e resolvidas rapidamente. Já em outros, pode ter dor de cabeça e a necessidade de acionar autoridades para a completa resolução dos danos causados pelo phishing.
Entre em contato com a empresa – Seja como for, ao detectar que você foi vítima de phishing, o primeiro passo é entrar em contato com a empresa que você imaginou estar conversando para se certificar e, então, comunicar o golpe.
Caso seja um banco, você deve imediatamente bloquear seus cartões de crédito e alterar todas as senhas utilizadas.
Denuncie – Denuncie o crime em umas das delegacias de crimes virtuais. Isso é importante tanto para pegar os criminosos mas também para se proteger, já que pode ter ocorrido um roubo de identidade e alguém pode estar cometendo um crime se passando por você.
Faça uma varredura de malware no seu computador – Assim, você garante que não tenha mais nenhum risco iminente. Passe também um antivírus para decolar possíveis ameaças.
Mude todas as suas senhas – Seja de e-mail, de banco, de cartões de crédito ou de qualquer outro aplicativo. Desta forma, você garante que, mesmo que alguém tenha tido acesso às suas senhas, já não consiga mais acessar seus dados.
FAQ
Qual é a diferença entre phishing e spam?
O spam é uma prática que utiliza o e-mail para fazer com que o usuário clique e entre em um website ou colete suas informações. Já o phishing é um crime virtual que tem como objetivo obter ganhos através de mensagens e sites fraudulentos que enganarão o usuário e o farão entregar informações pessoais.
Phishing é um crime cibernético?
Sim, o ataque de phishing é considerado um crime cibernético, uma vez que ele utilizará as informações e dados obtidos através da fraude de mensagens e sites para roubar informações e obter ganhos financeiros.
Qual é o phishing mais comum no Brasil?
O phishing mais comum, tanto no Brasil como no mundo, é a utilização de mensagens fortemente apelativas enviadas por e-mail se fazendo passar por uma organização de confiança. Assim, as pessoas são convencidas a enviarem seus dados por mensagens acreditando no conteúdo enviado.
