O que é o phishing?

O significado de phishing está relacionado com a palavra “fishing” (pesca), pois o criminoso comporta-se como um pescador que lança a rede e tenta capturar um mínimo de vítimas entre um grande número de potenciais alvos.

O clássico burlão porta-a-porta, mas online

Toda a gente já ouviu falar dos burlões que atacam pessoas de idade, que vivam sozinhas ou isoladas, sem usar a violência. Vestem-se bem; identificam-se como técnicos da Segurança Social, de uma empresa de fornecimento de eletricidade ou de um banco. Falando com bons modos, persuadem as vítimas a darem-lhe dinheiro para as mãos ou a abrirem-lhe a porta das suas casas.

O phishing é o equivalente da internet deste tipo de burla. As vítimas nem sempre se apercebem que foram roubadas, ou só se apercebem mais tarde. Porém, a defesa contra este tipo de crime é simples: não abrir a porta. Basta saber como fazê-lo – o que na internet pode ser mais difícil que em relação à nossa casa.

Também se conhece os casos (mais raros) de criminosos que começam por se apresentar de forma amigável mas usam a violência depois de acederem ao interior da casa. Há também um tipo de phishing que corresponde a estas características, de que falaremos adiante.

Tipos de phishing

Phishing por e-mail

Este é o tipo de phishing na internet mais frequente, e também aquele que tem menos sucesso. A vítima recebe um e-mail, que se identifica como sendo de um banco ou outro serviço. O e-mail, invocando razões aparentemente válidas, pede ao destinatário que insira determinados dados num formulário:

• nomes de utilizador (username) e senhas de acesso (passwords);
• número de Cartão de Cidadão ou de Identificação Fiscal;
• número de cartão de crédito, etc.

Phishing social

Trata-se de um dos meios mais frequentes de phishing no Facebook. Em vez de se dirigir diretamente ao destinatário, a mensagem fraudulenta vem sob a forma de uma notícia bombástica, levando o leitor a indignar-se e a clicar para saber mais. A mensagem vem geralmente disfarçada de um site de notícias – por vezes, replicando o aspeto gráfico de um site conhecido ou respeitado. Nestes casos, o objetivo é geralmente a colocação de um vírus ou malware no computador de quem clicar na notícia.

Vishing, ou phishing por voz

A vítima recebe um e-mail incitando-a a entrar em contacto, via telefone, com um banco ou outra entidade. Ao ligar, um atendedor automático irá solicitar a introdução de dados pessoais (NIF, etc.) para resolver o suposto problema.

Smishing

É o phishing por SMS. Um dos exemplos mais frequentes é o envio de uma SMS a anunciar uma vitória num alegado concurso, geralmente ligado a uma empresa de prestígio. A vítima é levada a clicar num link (ou a responder à SMS) e a inserir dados pessoais, supostamente necessários para poder levantar o prémio.

Spear phishing

Ao contrário das modalidades anteriores, dirigidas a um grande número de pessoas anónimas, nesta modalidade os criminosos apontam a vítimas específicas. Geralmente trata-se de CEOs, políticos e outras personalidades. Sabe-se que a ex-candidata presidencial americana Hillary Clinton foi vítima deste crime em 2016.

Pedido de Resgate (ransomware)

Geralmente os criminosos pedem dados pessoais, mas nalguns casos extremos o phishing destina-se a que a vítima instale um “ransomware”. Este programa obriga a pessoa a fazer transferência em dinheiro, sob pena de não mais fornecer acesso ao computador ou inutilizar todos os seus dados.

Como identificar phishing

É tão fácil identificar um ataque de phishing como um burlão que nos bate à porta. O burlão pode vestir um fato e apresentar uma identificação falsa, obrigando-nos a telefonar para um serviço antes de confirmar a identidade. O mesmo acontece no caso da internet, mas a informação necessária para desmascarar o ataque está (felizmente) à nossa frente.

Estas são cinco caraterísticas comuns que podem ajudar a identificar um ataque de phishing:

1. O e-mail ou mensagem pede-lhe que confirme dados privados sem que você tenha realizado qualquer pedido junto da empresa.
2. O e-mail ou mensagem contém um URL difícil de identificar (como acontece na imagem) ou um endereço de e-mail suspeito (por exemplo: accgmailautobot@gmail.com ou service@intl.paypal.com).
3. O e-mail ou mensagem contém uma ou mais frases com erros gramaticais, palavras mal escritas, ou frases mal traduzidas.
4. O e-mail ou mensagem contém ameaças ou pedidos irrealistas.
5. O e-mail ou mensagem contém referências a um pagamento em falta cuja origem lhe é desconhecida.

Em caso de dúvida, é sempre bom contactar diretamente a empresa e confirmar se aquela comunicação é verídica ou não. Se não for, estará a prestar um serviço à comunidade – a empresa anunciará rapidamente que criminosos anónimos estão a comunicar no seu nome.

Artigos relacionados

Destaques O seu país corre alto risco cibernético? Resultados surpreendentes no Índice de Risco Cibernético da NordVPN

Jun 02, 2020

·

Leitura de 3 min

Cibersegurança Saiba o que é o spyware e como defender-se desta ameaça

Mar 14, 2021

·

Leitura de 8 min

Como defender-se de phishing

A defesa contra um ataque deste género, bem como de outros perigos da internet semelhantes, é muito simples. Basta desconfiar e “não abrir a porta a estranhos”, tal como se recomenda aos idosos e às crianças. Isto significa:

• nunca fornecer dados pessoais através da internet, em resposta a e-mails, anúncios ou em formulários do tipo Google Docs. Os dados pessoais só devem ser fornecidos quando for de sua iniciativa (por exemplo, se estiver a registar-se num serviço), apenas e só nos sites ou aplicações oficiais de empresas nas quais confie. Mesmo assim, é praticamente impossível que uma empresa lhe peça dados confidenciais através da internet. O seu banco, por exemplo, saberá o seu NIF quando lho apresentar pessoalmente no momento de abertura de conta. Desconfie sempre de pedidos de dados online.
• não clicar em links estranhos nem descarregar ou abrir ficheiros que lhe enviem por e-mail, se não tiver a certeza absoluta sobre quem lhos enviou.
• a funcionalidade Proteção Contra Ameaças da NordVPN oferece defesa eficaz contra phishing, já que bloqueia de modo automático sites conhecidos por albergar malware ou scams de phishing. A tecnologia avançada da Proteção Contra Ameaças identifica vários sites perigosos, mesmo que estes surjam sob a forma de anúncios pop-up endereçados através de sites relativamente confiáveis.

Em suma, mantenha-se seguro acedendo apenas a conteúdos totalmente seguros.

Navegue sempre com privacidade e segurança. Proteja toda a família com a NordVPN.