O Que é Phishing e Como Podemos Evitá-lo?

Phishing é um tipo de técnica de golpe virtual que usa mensagens, websites e ferramentas de engenharia social para obter informações ou dinheiro de pessoas e empresas. Em geral, o phishing engana os usuários ao enviar mensagens que parecem vir de fontes genuínas, levando-os a clicar em links ou compartilhar informações pessoais por confiar no remetente do e-mail.

Para ter máximo efeito, as mensagens de phishing geralmente são apelativas, oferecem ótimas vantagens ou ameaças graves, instigando na vítima sensações mais fortes e reduzindo sua capacidade de julgamento e racionalidade.

Há várias formas de realizar ataques de phishing. Normalmente, os criminosos enviam mensagens infectadas através de aplicativos de mensagens (como WhatsApp), ou e-mails um pouco mais elaborados. Nestas mensagens, os criminosos inserem links contaminados, que direcionam a vítima para websites falsos, que se passam por páginas legítimas.

Por exemplo: a vítima recebe um e-mail informando que sua conta numa plataforma de comércio eletrônico sofreu um acesso estranho e sugerindo que ela altere sua senha ao clicar num link. Desavisadamente, o usuário segue as instruções e entrega suas credenciais nas mãos dos criminosos, potencialmente expondo dados como número de cartão de crédito, endereço e outros.

Em outros casos, os criminosos instalam malware no dispositivo da pessoa, por meio do qual roubam seus dados. A vítima é induzida a baixar algo importante e, quando executa o arquivo, infecta seu sistema. Este tipo de ataque é o que chamamos de malware phishing.

Podemos categorizar os ataques de phishing segundo dois critérios básicos, isto é, pela via por que eles ocorrem e pelo seu tipo preferencial de vítima ou mecanismo.

E-mail

É o meio mais clássico por onde os golpes ocorrem. Os criminosos escrevem um texto convincente o suficiente para servir de isca, incluindo um link malicioso ou anexos infectados para que a vítima por conta própria forneça todos os dados que eles desejam.

Redes sociais

Seguindo quase a mesma lógica dos e-mails, as mensagens de phishing nas redes sociais geralmente vêm de contas invadidas ou perfis falsos para induzir as vítimas a confiar no conteúdo das mensagens recebidas e clicar nos links maliciosos ou baixar os arquivos danosos. Atualmente, um dos mais comuns nesse tipo é o phishing de Instagram.

Aplicativos de mensagens

Nesse tipo de phishing, os criminosos enviam mensagens de texto por meio de plataformas populares como Telegram e WhatsApp fazendo-se passar por pessoas que a vítima conhece e solicitando dados ou enviando arquivos e links suspeitos.

Vishing

O vishing ou phishing de voz é a versão telefônica do scam. Com ele, os criminosos tentam induzir as vítimas a divulgar seus dados pessoais por meio de chamadas que simulam órgãos oficiais, bancos ou provedores de serviços.

Smishing

Ao phishing realizado por SMS, dá-se o nome de smishing. As vítimas recebem mensagens de texto, normalmente fingindo ser da própria operadora do usuário, solicitando dados ou indicando links suspeitos para que as vítimas cliquem.

Sites

Os sites de phishing normalmente atuam em conjunto com outras formas de phishing. Eles são, de forma geral, páginas da web que simulam sites legítimos e confiáveis para fazer com que as vítimas inocentemente forneçam seus dados confidenciais.

Artigos relacionados

Tutorial Como Identificar Sites Falsos

Dec 05, 2019

·

Leitura de 3 min

Cibersegurança O que é cross-site scripting (XSS)?

Jul 26, 2021

·

Leitura de 4 min

Spear phishing

São ataques criados para atingir alvos e pessoas específicas; antes de realizar o ataque propriamente dito, o criminoso faz uma pesquisa sobre gostos, informações e preferências da vítima, criando um ataque personalizado que consiga apelar mais para as emoções da pessoa.

Whaling

Do inglês whale (baleia), é o tipo de ataque onde o criminoso se passa por alguém com boa reputação para facilitar seu acesso às informações que pretende roubar; como o nome diz, é uma “pesca” que tenta fisgar algo bastante grande, e são ataques voltados para conseguir somas bastante grandes de dinheiro e ganhos contra as vítimas.

Clone phishing

É um processo que clona websites confiáveis para iludir e enganar as vítimas, ou arquivos que se passam por programas confiáveis; a ideia é fazer com que a vítima, por si mesma, forneça suas informações pessoais nestes formulários ou por estes malwares.

Phishing enganoso

Embora todo phishing seja um golpe e, naturalmente, enganoso, chama-se “phishing enganoso” aqueles cuja estratégia principal é ganhar a confiança da vítima por meio de um disfarce que a leva a pensar que os criminosos são uma empresa ou pessoa de confiança.

Fraude de CEO

Nesta estratégia, os criminosos tentam convencer as vítimas de que são o CEO ou um diretor de alto escalão de uma companhia para conseguir acesso a informações importantes, como os dados bancários de funcionários. Não raro, essa tática é consequência do roubo das credenciais de um CEO de fato.

Pharming

O pharming é um método de phishing que usa de ferramentas tecnológicas para não precisar atrair a atenção da vítima. Uma técnica comum é o envenenamento de cache de DNS, que direciona os usuários de modo automático de um site original para uma página maliciosa.

Scripting

No scripting, os criminosos exploram pontos frágeis no script dos sites e sequestram essas páginas para usá-las para seu próprio proveito. Por ser uma tática sofisticada, é difícil detectá-la, afinal tudo no site falsificado parece legítimo, desde os certificados de segurança até a URL na barra de endereços.

Manipulação de links

Uma das maiores recomendações contra o phishing é verificar o endereço do link antes de clicá-lo. A manipulação de links age justamente nesse ponto, pois se utiliza de truques para induzir o erro nas vítimas, como o uso de i maiúsculo no lugar de um L minúsculo (já que visualmente eles são idênticos).

Dropbox phishing e Google Drive phishing

Sendo dois dos serviços de nuvem mais populares do mercado, o Dropbox e o Google Drive são ótimos palcos para o phishing. No golpe envolvendo essas plataformas, os criminosos criam uma versão falsificada da tela principal e roubam as informações de login das vítimas para ter acesso a todos os seus arquivos.

Angler phishing

No angler phishing, a estratégia dos criminosos é se aproveitar de oportunidades dadas pelos próprios usuários nas redes sociais para roubar dados deles. Um exemplo clássico é quando as vítimas se queixam nas mídias sociais sobre o serviço de alguma companhia. É de praxe que as empresas busquem essas reclamações e tentem conter os danos entrando em contato com o perfil descontente. Aproveitando-se dessa dinâmica, os criminosos fazem o mesmo e acabam levando o usuário a fornecer seus dados pessoais.

Há vários sinais que podem te ajudar a identificar uma tentativa de phishing e, assim, proteger sua privacidade da melhor forma possível e evitar danos:

• Se a mensagem te força ou induz a fazer algo, tome cuidado: a maioria das mensagens de phishing apelam para seus melhores gostos, medos, urgências e necessidades. Desconfie sempre de e-mails que prometam maravilhas, como ganhos em sorteios, heranças perdidas, vagas de emprego irrealistas e coisas do tipo.
• Alertas de agências bancárias, órgãos de governo, entidades diversas: seu banco não vai solicitar suas informações pessoais em um formulário online e o governo não vai exigir pagamento de tributos e impostos por links no seu e-mail. Assim, mantenha os olhos bem abertos diante de mensagens do tipo e, na dúvida, consulte um canal oficial para verificar a veracidade delas.
• Desconfie de anexos: não baixe nem instale absolutamente nada que esteja acompanhando estas mensagens; atualizações de aplicativos importantes como apps de internet banking não são feitas por arquivos enviados em anexo, por exemplo, mas são automáticas. Se a mensagem for de algum conhecido, comunique-se com ele por outro canal para verificar a autenticidade dos anexos antes de abri-los.
• Suspeite do remetente: em grande parte, este tipo de mensagem de phishing é recheada de erros gramaticais, erros de grafia e digitação, fontes estranhas, imagens com má qualidade ou mensagens em caps lock. Se você detectar esses elementos na mensagem, ela é provavelmente fajuta.
• Verifique o endereço do remetente com atenção: a maioria dos golpes de phishing apresentam endereços de e-mail que não condizem com a mensagem que eles enviam. Por exemplo, é muito improvável que o serviço de atendimento do Google tenha como endereço algo como “google-123s@hotmail.com”.
• E-mails com termos genéricos: muitas mensagens de phishing são enviadas em massa para milhares de usuários de uma só vez, por esse motivo, elas não usam de nenhuma informação exclusiva do destinatário, como o nome. Ao se deparar com textos que evitam usar seu nome, preferindo por termos como “usuário” e “cliente”, o melhor a se fazer é ignorar a mensagem.

Para todos os casos, é possível se proteger com a funcionalidade Proteção contra Ameaças da NordVPN, que bloqueia imediatamente o acesso a sites de phishing, evitando que os usuários caiam em armadilhas cibernéticas.

Nos últimos anos, os brasileiros presenciaram um enorme crescimento no número de tentativas de golpe de phishing. Abaixo estão os casos mais comuns.

• Covid-19 e notícias recentes: vários casos de phishing foram detectados por especialistas envolvendo os últimos temas divulgados pelos noticiários. Em geral, as mensagens se transvestem de informações falsas, induzindo medo e urgência nos usuários para roubar seus dados.
• Microsoft: com o regime híbrido de trabalho, a companhia Microsoft foi um alvo constante dos e-mails falsos, que usaram da sua imagem para enganar os brasileiros e fazer com que clicassem em links maliciosos para adquirir ou atualizar produtos da marca.
• DHL, Amazon e Black Friday: às proximidades da Black Friday, ocorre uma inundação de e-mails fajutos solicitando o pagamento de boletos, alteração de senhas e o fornecimento de informações bancárias. Entre as lojas mais usadas como disfarce no golpe, a DHL, famosa por realizar entrega de produtos, e a Amazon se destacam com mais de 50% dos casos.
• Netflix e Spotify: líderes no mercado de streaming, as duas companhias também são frequentemente usadas em e-mails de phishing. Entre as mensagens mais comuns, temos a promessa de assinaturas gratuitas, o pedido de pagamento de boletos e o “alerta” de invasão da conta, com a necessidade de imediata alteração da senha.
• Instagram: a rede social é muito utilizada para golpes em que os criminosos afirmam ser do setor de suporte e solicitam as credenciais do usuário para fazer “ajustes”. Outros casos também trazem a solicitação de fornecimento de dados pessoais, sob a mesma desculpa.

A regra de ouro ao receber um e-mail potencialmente malicioso é não abrir nem responder a mensagem. O melhor é simplesmente denunciá-la à sua firma ou à sua plataforma de e-mails para que os especialistas em segurança possam tomar as medidas cabíveis e evitar que mais pessoas sejam afetadas pelo golpe em potencial. Depois da denúncia, basta bloquear o remetente e excluir a mensagem.

Caso você já tenha aberto o e-mail, é de extrema importância que você não clique em nenhum link nem baixe nenhum anexo. É nesses dois pontos que moram os maiores perigos. Apenas proceda com a denúncia e exclua o e-mail.

Em última instância, se você acreditar que caiu num golpe do tipo, é aconselhável que você relate o ocorrido a um profissional de segurança cibernética para que ele busque meios de conter os danos, especialmente se o fato ocorreu em sua empresa.

Há várias formas de se proteger contra ataques de phishing e minimizar esses riscos. Aqui, vamos listar as medidas de segurança mais fundamentais que você deve adotar em casa, no trabalho ou até mesmo durante uma viagem:

• Use filtros contra spam. Com um bom filtro de mensagens na sua caixa de e-mail, a maioria destas mensagens vai para a caixa de spam, o que vai te proteger e evitar que você acabe abrindo acidentalmente alguma destas mensagens, seus anexos e links.
• Use um filtro no navegador. Outra dica importante é usar um bom filtro no seu navegador web, o que pode complementar a filtragem de spam na sua caixa de e-mail.
• Use a funcionalidade Proteção contra Vírus e Ameaças da NordVPN. Ela oferece uma proteção contra malware e esses golpes, bloqueando não apenas o acesso a sites de phishing, como também o download de arquivos infectados com malware, mesmo se o usuário acidentalmente clicar em links e arquivos maliciosos. Tudo isso adicionado ao manto protetor da sua VPN (Saiba mais sobre o que é VPN).
• Aprenda a reconhecer uma mensagem suspeita. Como nós dissemos, há vários aspectos que ajudam a identificar uma mensagem de phishing; saber identificar estes sinais é o primeiro passo para evitar estas fraudes.
• Não clique em links. Digite manualmente o endereço eletrônico do website que você quer visitar, busque-o no Google ou salve-os nos seus favoritos; isto vai evitar que você acabe clicando em links que se passam por websites legítimos, mas que, na verdade, são ataques de phishing.
• Sempre verifique o website. Um olhar atento já pode te ajudar a descartar ataques de phishing; websites infectados que simulam endereços legítimos têm links parecidos, mas diferentes (geralmente, em uma URL encurtada) – erros gramaticais, imagens distorcidas ou um layout estranho são outros bons indicativos para identificar um website falso.
• Não confie nas imagens, pois elas também podem oferecer riscos ocultos. Configure sua plataforma de e-mail para não baixar imagens automaticamente.
• Use navegadores focados em segurança ou extensões de segurança. Eles poderão ajudar a barrar as ameaças que apareçam ao longo do caminho e permitir uma navegação mais segura e privada (Saiba mais sobre a navegação anônima).
• Mantenha a calma. Não se guie por emoções de medo, ganância, tensão, adrenalina e desespero; se uma mensagem é apelativa demais, desconfie e, preferencialmente, ignore o conteúdo – procure informar autoridades competentes caso suspeite de algum crime virtual.
• Use uma VPN. Com um serviço profissional de VPN, como a NordVPN, você consegue melhorar a segurança da sua conexão ao adicionar a ela uma camada de criptografia, evitando que terceiros não autorizados invadam ou bisbilhotem sua rede.