O seu IP: Sem dados · O seu estado: ProtegidoDesprotegidoSem dados

Avançar para o conteúdo principal

O que é o phishing?

calendar
menu book Leitura de 6 min

O phishing é um dos crimes online mais comuns. O objetivo do criminoso é aceder a dados pessoais da vítima (números de identificação, passwords, dados de acesso bancário, etc.) que possa depois usar em benefício próprio. Nalguns casos, o phishing pode ser usado para colocar um vírus no computador da vítima, com diferentes objetivos. Este tipo de crime exige sempre a colaboração da vítima, que é enganada pelo criminoso e levada a dar-lhe os dados voluntariamente.

O que é o phishing?

O significado de phishing está relacionado com a palavra “fishing” (pesca), pois o criminoso comporta-se como um pescador que lança a rede e tenta capturar um mínimo de vítimas entre um grande número de potenciais alvos.

O clássico burlão porta-a-porta, mas online

Toda a gente já ouviu falar dos burlões que atacam pessoas de idade, que vivam sozinhas ou isoladas, sem usar a violência. Vestem-se bem; identificam-se como técnicos da Segurança Social, de uma empresa de fornecimento de eletricidade ou de um banco. Falando com bons modos, persuadem as vítimas a darem-lhe dinheiro para as mãos ou a abrirem-lhe a porta das suas casas.

O phishing é o equivalente da internet deste tipo de burla. As vítimas nem sempre se apercebem que foram roubadas, ou só se apercebem mais tarde. Porém, a defesa contra este tipo de crime é simples: não abrir a porta. Basta saber como fazê-lo – o que na internet pode ser mais difícil que em relação à nossa casa.

Também se conhece os casos (mais raros) de criminosos que começam por se apresentar de forma amigável mas usam a violência depois de acederem ao interior da casa. Há também um tipo de phishing que corresponde a estas características, de que falaremos adiante.

Tipos de phishing

Phishing por e-mail

Este é o tipo de phishing na internet mais frequente, e também aquele que tem menos sucesso. A vítima recebe um e-mail, que se identifica como sendo de um banco ou outro serviço. O e-mail, invocando razões aparentemente válidas, pede ao destinatário que insira determinados dados num formulário:

  • nomes de utilizador (username) e senhas de acesso (passwords);
  • número de Cartão de Cidadão ou de Identificação Fiscal;
  • número de cartão de crédito, etc.

Phishing social

Trata-se de um dos meios mais frequentes de phishing no Facebook. Em vez de se dirigir diretamente ao destinatário, a mensagem fraudulenta vem sob a forma de uma notícia bombástica, levando o leitor a indignar-se e a clicar para saber mais. A mensagem vem geralmente disfarçada de um site de notícias – por vezes, replicando o aspeto gráfico de um site conhecido ou respeitado. Nestes casos, o objetivo é geralmente a colocação de um vírus ou malware no computador de quem clicar na notícia.

Vishing, ou phishing por voz

A vítima recebe um e-mail incitando-a a entrar em contacto, via telefone, com um banco ou outra entidade. Ao ligar, um atendedor automático irá solicitar a introdução de dados pessoais (NIF, etc.) para resolver o suposto problema.

Smishing

É o phishing por SMS. Um dos exemplos mais frequentes é o envio de uma SMS a anunciar uma vitória num alegado concurso, geralmente ligado a uma empresa de prestígio. A vítima é levada a clicar num link (ou a responder à SMS) e a inserir dados pessoais, supostamente necessários para poder levantar o prémio.

Spear phishing

Ao contrário das modalidades anteriores, dirigidas a um grande número de pessoas anónimas, no spear phishing os criminosos apontam a vítimas específicas. Geralmente trata-se de CEOs, políticos e outras personalidades. Sabe-se que a ex-candidata presidencial americana Hillary Clinton foi vítima deste crime em 2016.

Pedido de Resgate (ransomware)

Geralmente os criminosos pedem dados pessoais, mas nalguns casos extremos o phishing destina-se a que a vítima instale um “ransomware”. Este programa obriga a pessoa a fazer uma transferência em dinheiro, sob pena de não mais lhe fornecer acesso ao computador ou inutilizar todos os seus dados. Os ataques de ransomware são talvez a mais perigosa das manobras de hacking, pelo menos se medirmos os danos potenciais em moeda (os prejuízos podem atingir milhões de dólares).

Como identificar phishing

phishing

É tão fácil identificar um ataque de phishing como um burlão que nos bate à porta. O burlão pode vestir um fato e apresentar uma identificação falsa, obrigando-nos a telefonar para um serviço antes de confirmar a identidade. O mesmo acontece no caso da internet, mas a informação necessária para desmascarar o ataque está (felizmente) à nossa frente. Tenha em conta, porém, que poderá tratar-se de um ataque do tipo “Zero day”; nesse caso, o posterior combate aos hackers será ainda mais difícil.

Estas são cinco caraterísticas comuns que podem ajudar a identificar um ataque de phishing:

  1. O e-mail ou mensagem pede-lhe que confirme dados privados sem que você tenha realizado qualquer pedido junto da empresa.
  2. O e-mail ou mensagem contém um URL difícil de identificar (como acontece na imagem) ou um endereço de e-mail suspeito (por exemplo: accgmailautobot@gmail.com ou service@intl.paypal.com).
  3. O e-mail ou mensagem contém uma ou mais frases com erros gramaticais, palavras mal escritas, ou frases mal traduzidas.
  4. O e-mail ou mensagem contém ameaças ou pedidos irrealistas.
  5. O e-mail ou mensagem contém referências a um pagamento em falta cuja origem lhe é desconhecida.

Em caso de dúvida, é sempre bom contactar diretamente a empresa e confirmar se aquela comunicação é verídica ou não. Se não for, estará a prestar um serviço à comunidade – a empresa anunciará rapidamente que criminosos anónimos estão a comunicar no seu nome.

Como defender-se de phishing

A defesa contra um ataque deste género, bem como de outros perigos da internet semelhantes, é muito simples. Basta desconfiar e “não abrir a porta a estranhos”, tal como se recomenda aos idosos e às crianças. Isto significa:

  • nunca fornecer dados pessoais através da internet, em resposta a e-mails, anúncios ou em formulários do tipo Google Docs. Os dados pessoais só devem ser fornecidos quando for de sua iniciativa (por exemplo, se estiver a registar-se num serviço), apenas e só nos sites ou aplicações oficiais de empresas nas quais confie. Mesmo assim, é praticamente impossível que uma empresa lhe peça dados confidenciais através da internet. O seu banco, por exemplo, saberá o seu NIF quando lho apresentar pessoalmente no momento de abertura de conta. Desconfie sempre de pedidos de dados online.
  • não clicar em links estranhos nem descarregar ou abrir ficheiros que lhe enviem por e-mail, se não tiver a certeza absoluta sobre quem lhos enviou.
  • ativar as ferramentas de segurança do Paypal, do Gmail e outros serviços online que costume utilizar com frequência, como a autenticação multifator.
  • seguir as regras gerais de netiqueta, como a de não partilhar demasiado sobre si, e instruir os seus colegas, colaboradores e familiares a fazê-lo também.
  • usando técnicas de dorking do Google, um atacante poderia obter informação sobre si ou a sua empresa que facilitasse o acesso a contas de e-mail, da intranet ou outras. Use passwords fortes e guarde-as num gestor de passwords seguro, como o Nordpass.
  • a funcionalidade Proteção Contra Ameaças da NordVPN oferece defesa eficaz contra phishing, já que bloqueia de modo automático sites conhecidos por albergar malware ou scams de phishing. A tecnologia avançada da Proteção Contra Ameaças identifica vários sites perigosos, mesmo que estes surjam sob a forma de anúncios pop-up endereçados através de sites relativamente confiáveis.

Em suma, mantenha-se seguro acedendo apenas a conteúdos totalmente seguros.

Navegue sempre com privacidade e segurança. Proteja toda a família com a NordVPN.

Obtenha a NordVPN