O seu IP: Desconhecido · O seu estado: ProtegidoDesprotegidoDesconhecido
Blog Em detalhe

O que é o phishing?

O phishing é um dos crimes online mais comuns. O objetivo do criminoso é aceder a dados pessoais da vítima (números de identificação, passwords, dados de acesso bancário, etc.) que possa depois usar em benefício próprio. Nalguns casos, o phishing pode ser usado para colocar um vírus no computador da vítima, com diferentes objetivos. Este tipo de crime exige sempre a colaboração da vítima, que é enganada pelo criminoso e levada a dar-lhe os dados voluntariamente.

Ilma Vienazindyte

Ilma Vienazindyte

Feb 13, 2020 · Leitura de 4 min

O que é o phishing?

O significado de phishing está relacionado com a palavra “fishing” (pesca), pois o criminoso comporta-se como um pescador que lança a rede e tenta capturar um mínimo de vítimas entre um grande número de potenciais alvos.

O clássico burlão porta-a-porta, mas online

Toda a gente já ouviu falar dos burlões que atacam pessoas de idade, que vivam sozinhas ou isoladas, sem usar a violência. Vestem-se bem; identificam-se como técnicos da Segurança Social, de uma empresa de fornecimento de eletricidade ou de um banco. Falando com bons modos, persuadem as vítimas a darem-lhe dinheiro para as mãos ou a abrirem-lhe a porta das suas casas.

O phishing é o equivalente da internet deste tipo de burla. As vítimas nem sempre se apercebem que foram roubadas, ou só se apercebem mais tarde. Porém, a defesa contra este tipo de crime é simples: não abrir a porta. Basta saber como fazê-lo – o que na internet pode ser mais difícil que em relação à nossa casa.

Também se conhece os casos (mais raros) de criminosos que começam por se apresentar de forma amigável mas usam a violência depois de acederem ao interior da casa. Há também um tipo de phishing que corresponde a estas características, de que falaremos adiante.

Tipos de phishing

Phishing por e-mail

Este é o tipo de phishing na internet mais frequente, e também aquele que tem menos sucesso. A vítima recebe um e-mail, que se identifica como sendo de um banco ou outro serviço. O e-mail, invocando razões aparentemente válidas, pede ao destinatário que insira determinados dados num formulário:

  • nomes de utilizador (username) e senhas de acesso (passwords);
  • número de Cartão de Cidadão ou de Identificação Fiscal;
  • número de cartão de crédito, etc.

Phishing social

Trata-se de um dos meios mais frequentes de phishing no Facebook. Em vez de se dirigir diretamente ao destinatário, a mensagem fraudulenta vem sob a forma de uma notícia bombástica, levando o leitor a indignar-se e a clicar para saber mais. A mensagem vem geralmente disfarçada de um site de notícias – por vezes, replicando o aspeto gráfico de um site conhecido ou respeitado. Nestes casos, o objetivo é geralmente a colocação de um vírus ou malware no computador de quem clicar na notícia.

Vishing, ou phishing por voz

A vítima recebe um e-mail incitando-a a entrar em contacto, via telefone, com um banco ou outra entidade. Ao ligar, um atendedor automático irá solicitar a introdução de dados pessoais (NIF, etc.) para resolver o suposto problema.

Smishing

É o phishing por SMS. Um dos exemplos mais frequentes é o envio de uma SMS a anunciar uma vitória num alegado concurso, geralmente ligado a uma empresa de prestígio. A vítima é levada a clicar num link (ou a responder à SMS) e a inserir dados pessoais, supostamente necessários para poder levantar o prémio.

Spear phishing

Ao contrário das modalidades anteriores, dirigidas a um grande número de pessoas anónimas, nesta modalidade os criminosos apontam a vítimas específicas. Geralmente trata-se de CEOs, políticos e outras personalidades. Sabe-se que a ex-candidata presidencial americana Hillary Clinton foi vítima deste crime em 2016.

Pedido de Resgate (ransomware)

Geralmente os criminosos pedem dados pessoais, mas nalguns casos extremos o phishing destina-se a que a vítima instale um “ransomware”. Este programa obriga a pessoa a fazer transferência em dinheiro, sob pena de não mais fornecer acesso ao computador ou inutilizar todos os seus dados.

Como identificar phishing

É mais fácil identificar um ataque de phishing do que um burlão que nos bate à porta. O burlão pode vestir um fato e apresentar uma identificação falsa, obrigando-nos a telefonar para um serviço antes de confirmar a identidade. No caso da internet, a informação necessária para desmascarar o ataque está à nossa frente.

O primeiro passo é identificar o endereço do remetente (no caso do ataque por e-mail). Se for um endereço estranho, ou se o domínio não pertencer à suposta empresa que o envia (por exemplo: @edp.pt), é seguramente falso.

O link no qual lhe pedem para clicar deverá reencaminhar para o site oficial da empresa que se apresenta. Passe com o rato por cima do link e veja, no seu browser, qual o endereço apresentado. Se não coincidir, não clique.

Geralmente, a qualidade da comunicação é inferior ao que seria de esperar de uma comunicação oficial (tanto num e-mail como num anúncio numa rede social). O texto poderá ter erros e as imagens serão também de qualidade inferior. Contudo, é de esperar que os cibercriminosos melhorem nestes itens, com o passar dos anos, pelo que os dois primeiros passos são sempre indispensáveis.

Em caso de dúvida, é sempre bom contactar diretamente a empresa e confirmar se aquela comunicação é verídica ou não. Se não for, estará a prestar um serviço à comunidade – a empresa anunciará rapidamente que criminosos anónimos estão a comunicar no seu nome.

Como defender-se de phishing

A defesa contra um ataque deste género é muito simples. Basta desconfiar e “não abrir a porta a estranhos”, tal como se recomenda aos idosos e às crianças. Isto significa:

  • nunca fornecer dados pessoais através da internet, em resposta a e-mails, anúncios ou em formulários do tipo Google Docs. Os dados pessoais só devem ser fornecidos quando for de sua iniciativa (por exemplo, se estiver a registar-se num serviço), apenas e só nos sites ou aplicações oficiais de empresas nas quais confie. Mesmo assim, é praticamente impossível que uma empresa lhe peça dados confidenciais através da internet. O seu banco, por exemplo, saberá o seu NIF quando lho apresentar pessoalmente no momento de abertura de conta. Desconfie sempre de pedidos de dados online.
  • não clicar em links estranhos nem descarregar ou abrir ficheiros que lhe enviem por e-mail, se não tiver a certeza absoluta sobre quem lhos enviou.

Em suma, mantenha-se seguro acedendo apenas a conteúdos totalmente seguros.