O que é o phishing?

O significado de phishing está relacionado com a palavra “fishing” (pesca), pois o criminoso comporta-se como um pescador que lança a rede e tenta capturar um mínimo de vítimas entre um grande número de potenciais alvos.

O clássico burlão porta-a-porta, mas online

Toda a gente já ouviu falar dos burlões que atacam pessoas de idade, que vivam sozinhas ou isoladas, sem usar a violência. Vestem-se bem; identificam-se como técnicos da Segurança Social, de uma empresa de fornecimento de eletricidade ou de um banco. Falando com bons modos, persuadem as vítimas a darem-lhe dinheiro para as mãos ou a abrirem-lhe a porta das suas casas.

O phishing é o equivalente da internet deste tipo de burla. As vítimas nem sempre se apercebem que foram roubadas, ou só se apercebem mais tarde. Porém, a defesa contra este tipo de crime é simples: não abrir a porta. Basta saber como fazê-lo – o que na internet pode ser mais difícil que em relação à nossa casa.

Também se conhece os casos (mais raros) de criminosos que começam por se apresentar de forma amigável mas usam a violência depois de acederem ao interior da casa. Há também um tipo de phishing que corresponde a estas características, de que falaremos adiante.

Tipos de phishing

Phishing por e-mail

Este é o tipo de phishing na internet mais frequente, e também aquele que tem menos sucesso. A vítima recebe um e-mail, que se identifica como sendo de um banco ou outro serviço. O e-mail, invocando razões aparentemente válidas, pede ao destinatário que insira determinados dados num formulário:

• nomes de utilizador (username) e senhas de acesso (passwords);
• número de Cartão de Cidadão ou de Identificação Fiscal;
• número de cartão de crédito, etc.

Muitos ataques de phishing utilizam imagens e recursos visuais de empresas conhecidas, como gigantes do varejo online. Cibercriminosos podem enviar mensagens com falsas ofertas da Temu, por exemplo, o que induz as vítimas a clicar nos links que podem infectar dispositivos e permitir o roubo de informações e dinheiro (confira nosso guia para saber se a Temu é segura).

Phishing social

Trata-se de um dos meios mais frequentes de phishing no Facebook. Em vez de se dirigir diretamente ao destinatário, a mensagem fraudulenta vem sob a forma de uma notícia bombástica, levando o leitor a indignar-se e a clicar para saber mais. A mensagem vem geralmente disfarçada de um site de notícias – por vezes, replicando o aspeto gráfico de um site conhecido ou respeitado. Nestes casos, o objetivo é geralmente a colocação de um vírus ou malware no computador de quem clicar na notícia. Muitos cibercriminosos usam identidades falsas e se passam por amigos, familiares e conhecidos das vítimas, e chegam mesmo a enviar mensagens comemorativas com um tom bastante intimista e amigável, como mensagens especialmente estruturadas para épocas como o Natal (confira nosso guia sobre Esquemas de Natal para se proteger deles).

Vishing, ou phishing por voz

A vítima recebe um e-mail incitando-a a entrar em contacto, via telefone, com um banco ou outra entidade. Ao ligar, um atendedor automático irá solicitar a introdução de dados pessoais (NIF, etc.) para resolver o suposto problema.

Smishing

É o phishing por SMS. Um dos exemplos mais frequentes é o envio de uma SMS a anunciar uma vitória num alegado concurso, geralmente ligado a uma empresa de prestígio. A vítima é levada a clicar num link (ou a responder à SMS) e a inserir dados pessoais, supostamente necessários para poder levantar o prémio.

Spear phishing

Ao contrário das modalidades anteriores, dirigidas a um grande número de pessoas anónimas, no spear phishing os criminosos apontam a vítimas específicas. Geralmente trata-se de CEOs, políticos e outras personalidades. Sabe-se que a ex-candidata presidencial americana Hillary Clinton foi vítima deste crime em 2016.

Pedido de Resgate (ransomware)

Geralmente os criminosos pedem dados pessoais, mas nalguns casos extremos o phishing destina-se a que a vítima instale um “ransomware”. Este programa obriga a pessoa a fazer uma transferência em dinheiro, sob pena de não mais lhe fornecer acesso ao computador ou inutilizar todos os seus dados. Os ataques de ransomware são talvez a mais perigosa das manobras de hacking, pelo menos se medirmos os danos potenciais em moeda (os prejuízos podem atingir milhões de dólares). Os cibercriminosos também podem roubar contas em redes sociais como Instagram e cobrar pela devolução delas (confira nosso artigo para saber como agir com o seu Instagram hackeado).

Como identificar phishing

É tão fácil identificar um ataque de phishing como um burlão que nos bate à porta. O burlão pode vestir um fato e apresentar uma identificação falsa, obrigando-nos a telefonar para um serviço antes de confirmar a identidade. O mesmo acontece no caso da internet, mas a informação necessária para desmascarar o ataque está (felizmente) à nossa frente. Tenha em conta, porém, que poderá tratar-se de um ataque do tipo “Zero day”; nesse caso, o posterior combate aos hackers será ainda mais difícil.

Estas são cinco caraterísticas comuns que podem ajudar a identificar um ataque de phishing:

1. 1.O e-mail ou mensagem pede-lhe que confirme dados privados sem que você tenha realizado qualquer pedido junto da empresa.
2. 2.O e-mail ou mensagem contém um URL difícil de identificar (como acontece na imagem) ou um endereço de e-mail suspeito (por exemplo: accgmailautobot@gmail.com ou service@intl.paypal.com).
3. 3.O e-mail ou mensagem contém uma ou mais frases com erros gramaticais, palavras mal escritas, ou frases mal traduzidas.
4. 4.O e-mail ou mensagem contém ameaças ou pedidos irrealistas.
5. 5.O e-mail ou mensagem contém referências a um pagamento em falta cuja origem lhe é desconhecida.

Em caso de dúvida, é sempre bom contactar diretamente a empresa e confirmar se aquela comunicação é verídica ou não. Se não for, estará a prestar um serviço à comunidade – a empresa anunciará rapidamente que criminosos anónimos estão a comunicar no seu nome.

Como defender-se de phishing

A defesa contra um ataque deste género, bem como de outros perigos da internet semelhantes (como o swatting), é muito simples. Basta desconfiar e “não abrir a porta a estranhos”, tal como se recomenda aos idosos e às crianças. Isto significa:

• nunca fornecer dados pessoais através da internet, em resposta a e-mails, anúncios ou em formulários do tipo Google Docs. Os dados pessoais só devem ser fornecidos quando for de sua iniciativa (por exemplo, se estiver a registar-se num serviço), apenas e só nos sites ou aplicações oficiais de empresas nas quais confie. Mesmo assim, é praticamente impossível que uma empresa lhe peça dados confidenciais através da internet. O seu banco, por exemplo, saberá o seu NIF quando lho apresentar pessoalmente no momento de abertura de conta. Desconfie sempre de pedidos de dados online.
• não clicar em links estranhos nem descarregar ou abrir ficheiros que lhe enviem por e-mail, se não tiver a certeza absoluta sobre quem lhos enviou.
• ativar as ferramentas de segurança do Paypal, do Gmail e outros serviços online que costume utilizar com frequência, como a autenticação multifator.
• seguir as regras gerais de netiqueta, como a de não partilhar demasiado sobre si, e instruir os seus colegas, colaboradores e familiares a fazê-lo também.
• usando técnicas de dorking do Google, um atacante poderia obter informação sobre si ou a sua empresa que facilitasse o acesso a contas de e-mail, da intranet ou outras. Use passwords fortes e guarde-as num gestor de passwords seguro, como o Nordpass.
• a funcionalidade Proteção Contra Ameaças Pro da NordVPN oferece defesa eficaz contra phishing, já que bloqueia de modo automático sites conhecidos por albergar malware ou scams de phishing. A tecnologia avançada da Proteção Contra Ameaças Pro identifica vários sites perigosos, mesmo que estes surjam sob a forma de anúncios pop-up endereçados através de sites relativamente confiáveis.

Em suma, mantenha-se seguro acedendo apenas a conteúdos totalmente seguros.