O que é o phishing?
O phishing é um dos crimes online mais comuns. O objetivo do criminoso é aceder a dados pessoais da vítima (números de identificação, passwords, dados de acesso bancário, etc.) que possa depois usar em benefício próprio. Nalguns casos, o phishing pode ser usado para colocar um vírus no computador da vítima, com diferentes objetivos. Este tipo de crime exige sempre a colaboração da vítima, que é enganada pelo criminoso e levada a dar-lhe os dados voluntariamente.
O significado de phishing está relacionado com a palavra “fishing” (pesca), pois o criminoso comporta-se como um pescador que lança a rede e tenta capturar um mínimo de vítimas entre um grande número de potenciais alvos.
O clássico burlão porta-a-porta, mas online
Toda a gente já ouviu falar dos burlões que atacam pessoas de idade, que vivam sozinhas ou isoladas, sem usar a violência. Vestem-se bem; identificam-se como técnicos da Segurança Social, de uma empresa de fornecimento de eletricidade ou de um banco. Falando com bons modos, persuadem as vítimas a darem-lhe dinheiro para as mãos ou a abrirem-lhe a porta das suas casas.
O phishing é o equivalente da internet deste tipo de burla. As vítimas nem sempre se apercebem que foram roubadas, ou só se apercebem mais tarde. Porém, a defesa contra este tipo de crime é simples: não abrir a porta. Basta saber como fazê-lo – o que na internet pode ser mais difícil que em relação à nossa casa.
Também se conhece os casos (mais raros) de criminosos que começam por se apresentar de forma amigável mas usam a violência depois de acederem ao interior da casa. Há também um tipo de phishing que corresponde a estas características, de que falaremos adiante.
Tipos de phishing
Phishing por e-mail
Este é o tipo de phishing na internet mais frequente, e também aquele que tem menos sucesso. A vítima recebe um e-mail, que se identifica como sendo de um banco ou outro serviço. O e-mail, invocando razões aparentemente válidas, pede ao destinatário que insira determinados dados num formulário:
- nomes de utilizador (username) e senhas de acesso (passwords);
- número de Cartão de Cidadão ou de Identificação Fiscal;
- número de cartão de crédito, etc.
Phishing social
Trata-se de um dos meios mais frequentes de phishing no Facebook. Em vez de se dirigir diretamente ao destinatário, a mensagem fraudulenta vem sob a forma de uma notícia bombástica, levando o leitor a indignar-se e a clicar para saber mais. A mensagem vem geralmente disfarçada de um site de notícias – por vezes, replicando o aspeto gráfico de um site conhecido ou respeitado. Nestes casos, o objetivo é geralmente a colocação de um vírus ou malware no computador de quem clicar na notícia.
Vishing, ou phishing por voz
A vítima recebe um e-mail incitando-a a entrar em contacto, via telefone, com um banco ou outra entidade. Ao ligar, um atendedor automático irá solicitar a introdução de dados pessoais (NIF, etc.) para resolver o suposto problema.
Smishing
É o phishing por SMS. Um dos exemplos mais frequentes é o envio de uma SMS a anunciar uma vitória num alegado concurso, geralmente ligado a uma empresa de prestígio. A vítima é levada a clicar num link (ou a responder à SMS) e a inserir dados pessoais, supostamente necessários para poder levantar o prémio.
Spear phishing
Ao contrário das modalidades anteriores, dirigidas a um grande número de pessoas anónimas, no spear phishing os criminosos apontam a vítimas específicas. Geralmente trata-se de CEOs, políticos e outras personalidades. Sabe-se que a ex-candidata presidencial americana Hillary Clinton foi vítima deste crime em 2016.
Pedido de Resgate (ransomware)
Geralmente os criminosos pedem dados pessoais, mas nalguns casos extremos o phishing destina-se a que a vítima instale um “ransomware”. Este programa obriga a pessoa a fazer uma transferência em dinheiro, sob pena de não mais lhe fornecer acesso ao computador ou inutilizar todos os seus dados. Os ataques de ransomware são talvez a mais perigosa das manobras de hacking, pelo menos se medirmos os danos potenciais em moeda (os prejuízos podem atingir milhões de dólares).
Como identificar phishing

É tão fácil identificar um ataque de phishing como um burlão que nos bate à porta. O burlão pode vestir um fato e apresentar uma identificação falsa, obrigando-nos a telefonar para um serviço antes de confirmar a identidade. O mesmo acontece no caso da internet, mas a informação necessária para desmascarar o ataque está (felizmente) à nossa frente. Tenha em conta, porém, que poderá tratar-se de um ataque do tipo “Zero day”; nesse caso, o posterior combate aos hackers será ainda mais difícil.
Estas são cinco caraterísticas comuns que podem ajudar a identificar um ataque de phishing:
- O e-mail ou mensagem pede-lhe que confirme dados privados sem que você tenha realizado qualquer pedido junto da empresa.
- O e-mail ou mensagem contém um URL difícil de identificar (como acontece na imagem) ou um endereço de e-mail suspeito (por exemplo: accgmailautobot@gmail.com ou service@intl.paypal.com).
- O e-mail ou mensagem contém uma ou mais frases com erros gramaticais, palavras mal escritas, ou frases mal traduzidas.
- O e-mail ou mensagem contém ameaças ou pedidos irrealistas.
- O e-mail ou mensagem contém referências a um pagamento em falta cuja origem lhe é desconhecida.
Em caso de dúvida, é sempre bom contactar diretamente a empresa e confirmar se aquela comunicação é verídica ou não. Se não for, estará a prestar um serviço à comunidade – a empresa anunciará rapidamente que criminosos anónimos estão a comunicar no seu nome.
Como defender-se de phishing
A defesa contra um ataque deste género, bem como de outros perigos da internet semelhantes, é muito simples. Basta desconfiar e “não abrir a porta a estranhos”, tal como se recomenda aos idosos e às crianças. Isto significa:
- nunca fornecer dados pessoais através da internet, em resposta a e-mails, anúncios ou em formulários do tipo Google Docs. Os dados pessoais só devem ser fornecidos quando for de sua iniciativa (por exemplo, se estiver a registar-se num serviço), apenas e só nos sites ou aplicações oficiais de empresas nas quais confie. Mesmo assim, é praticamente impossível que uma empresa lhe peça dados confidenciais através da internet. O seu banco, por exemplo, saberá o seu NIF quando lho apresentar pessoalmente no momento de abertura de conta. Desconfie sempre de pedidos de dados online.
- não clicar em links estranhos nem descarregar ou abrir ficheiros que lhe enviem por e-mail, se não tiver a certeza absoluta sobre quem lhos enviou.
- ativar as ferramentas de segurança do Paypal, do Gmail e outros serviços online que costume utilizar com frequência, como a autenticação multifator.
- seguir as regras gerais de netiqueta, como a de não partilhar demasiado sobre si, e instruir os seus colegas, colaboradores e familiares a fazê-lo também.
- usando técnicas de dorking do Google, um atacante poderia obter informação sobre si ou a sua empresa que facilitasse o acesso a contas de e-mail, da intranet ou outras. Use passwords fortes e guarde-as num gestor de passwords seguro, como o Nordpass.
- a funcionalidade Proteção Contra Ameaças da NordVPN oferece defesa eficaz contra phishing, já que bloqueia de modo automático sites conhecidos por albergar malware ou scams de phishing. A tecnologia avançada da Proteção Contra Ameaças identifica vários sites perigosos, mesmo que estes surjam sob a forma de anúncios pop-up endereçados através de sites relativamente confiáveis.
Em suma, mantenha-se seguro acedendo apenas a conteúdos totalmente seguros.
Navegue sempre com privacidade e segurança. Proteja toda a família com a NordVPN.