O phishing é um dos tipos mais antigos e comuns de golpe na internet. Veja como se proteger.
Você recebe um e-mail de um serviço que usa, informando que sua conta será fechada. Então, melhor clicar no link antes que feche! Parece legítimo, mas se você clicar no link, você pode ser vítima de um dos golpes cibernéticos mais antigos e comuns: phishing. Então, o que é phishing, exatamente?
Esse tipo de fraude cibernética rouba suas informações ou infiltra um software malicioso (como spyware ou ransomware) em seu computador, isso usando o e-mail como um cavalo de Tróia para violar sua segurança online.
O objetivo de um ataque de phishing é fazer com que você pense que o e-mail está vindo de alguém que você conhece. Como seu banco ou empregador, e induzi-lo a agir — clicar em um link ou baixar um anexo — antes que seja tarde demais.
Embora o phishing seja um dos golpes mais antigos, as técnicas usadas nas mensagens estão se tornando cada vez mais sofisticadas. Essa é uma perspectiva assustadora, e uma boa razão para você se armar com o conhecimento sobre as muitas formas da prática deste golpe.
Pensando nisto, foi pedido a especialistas em segurança cibernética que não apenas respondessem “o que é phishing?”, mas também que explicassem como evitar ser vítima do golpe.
Existem várias estratégias, muitas semelhantes às etapas que você seguiria se seu computador fosse invadido ou se você estivesse lutando contra doxing e ataques à sua lista de senhas.
O que é phishing?
“Phishing é um dos ataques de engenharia social que usa o e-mail ou sites maliciosos para solicitar informações pessoais, ou induzi-lo a baixar um software malicioso”, diz Eric Goldstein, diretor assistente executivo de segurança cibernética da Cybersecurity & Infrastructure Security Agency.
Pronunciado como “fishing” (pesca em inglês), o termo lembra a imagem de um pescador jogando um anzol na água. Nesse caso, o e-mail de phishing é a isca, e o golpista por trás dele está apenas esperando que o alvo morda.
Quanto ao “ph” no início da palavra, ele pode ter sido influenciado pelos primeiros termos de hacking, como phone phreaking (hackear sistema telefônico).
A prática pode ter começado na America Online (AOL) na década de 1990, quando hackers tentavam enganar os usuários da AOL para que fornecessem suas informações de login. Originalmente, era uma técnica para obter apenas números de cartão de crédito, mas ela cresceu ainda mais.
Atualmente, quando você clica em um e-mail de phishing, geralmente instala um vírus ou software malicioso em seu computador, ou dispositivo.
Sendo assim, clique nele em um computador, ou dispositivo de trabalho, e o vírus ou software malicioso pode dar ao invasor acesso a toda a rede da empresa.
“Um e-mail de phishing típico irá tentar gerar um senso de urgência e muitas vezes faz uma oferta que parece boa demais para ser verdade, porque é”, diz Quentin Hodgson, pesquisador sênior que se concentra em segurança cibernética na Rand Corporation.
Mas, quantas empresas podem realmente dar R$ 300,00 por sua opinião ou enviar um iPad grátis?
A maioria das principais violações de dados vem de e-mails de phishing. O ataque Colonial Pipeline de 2021, por exemplo, foi um ataque de ransomware no qual os criminosos tiveram acesso por meio de e-mails de phishing direcionados a um funcionário da empresa.
Já o ataque de 2014 à Sony Pictures, foi desencadeado por vários e-mails que pareciam ser da Apple, enviados aos executivos da empresa.
Quais são os tipos de phishing?
A essa altura, você já passou da pergunta: “O que é phishing?”, portanto a próxima pergunta urgente é: que formas de mensagens o phishing assume?
Os hackers podem fazer muito apenas com o seu e-mail, e é provavelmente por isso que o phishing por e-mail reina supremo.
No entanto, há outras maneiras pelas quais os golpistas usam o phishing para nos atingir. Uma vez que você esteja ciente das várias táticas, você pode evitá-las.
E-mail de phishing
Mais de 90% de todos os ataques cibernéticos começam com um e-mail de phishing, diz Goldstein. Existem três partes principais de um e-mail de phishing que pode enganar as vítimas desavisadas:
- Remetente falso: como parte da armadilha para fazer você acreditar que um e-mail de phishing é legítimo, os invasores fazem parecer que o e-mail é de alguém em quem você confia. Como sua empresa de cartão de crédito, uma instituição governamental ou um varejista como a Amazon. É uma prática obscura conhecida como spoofing.
- Linha de assunto que chama a atenção: os golpistas escrevem linhas de assunto de e-mail chamativas para que você abra a mensagem.
- Mensagem convincente: o conteúdo de um e-mail de phishing visa fazer com que você baixe um anexo (como um arquivo do Microsoft Word com código malicioso nas macros) ou clique em um link que o levará a um site malicioso. Lá, você pode baixar de forma impensada um software malicioso, como adware, spyware, ransomware ou vírus.
Spear phishing
Esse tipo de ataque tem como alvo uma pessoa ou função específica em uma empresa, ou organização.
Hodgson observa que o spear phishing é comparado com uma “explosão em massa”, que encaminha o mesmo tipo de e-mail para um monte de destinatários na rede da empresa, com a esperança de que alguns caiam no golpe.
Muitas vezes, um e-mail de spear phishing tem como alvo o departamento financeiro de uma empresa, fingindo ser um gerente e solicitando uma grande transferência bancária imediatamente.
Fraude de CEO é outro tipo de spear phishing, que visa o CEO de uma organização. O objetivo é fazer com que a pessoa na posição de liderança da empresa transfira grandes somas de dinheiro para o invasor.
Smishing
Smishing refere-se à SMS phishing, um tipo de ataque no qual os golpistas enviam mensagens de texto SMS para um telefone celular.
Esta pode ser no momento a forma mais perigosa de phishing. Pois, embora as pessoas estejam cientes dos golpes por e-mails, elas podem não estar tão vigilantes quanto às falsas mensagens de texto.
Vishing
A maioria de nós está familiarizada com as chamadas robóticas, pois ao longo do dia recebemos várias delas. Mas, essa não é a pior coisa que alguém pode fazer com o seu número de telefone.
Pior do que os operadores de telemarketing são os bandidos que usam o correio de voz ou um telefonema como um ataque de phishing.
Em um processo conhecido como vishing, uma ligação telefônica gravada pede que você pressione um número em seu teclado.
Também há ataques em que um chamador faz a busca de suas informações pessoais, talvez dizendo, por exemplo, que é do seu banco ou da escola do seu filho.
Manipulação de links
No mundo dos golpes de phishing, a manipulação de links é como prender uma isca falsa no anzol para enganar um peixe e fazê-lo morder. Neste caso, a isca falsa é um link aparentemente legítimo. Mas, escondido abaixo dele, no entanto, há um link para um site malicioso.
Aqui está um truque que o ajudará a evitar clicar acidentalmente em um link manipulado: passe o mouse sobre o link, mas não clique ainda. Olhe para a parte inferior da sua página da web para ver o URL real, para o qual você será direcionado.
Então, se parecer suspeito, digamos, se o texto do link for “altere sua senha do Google”, mas o URL for http://www.gooooooglepaswrd.com, provavelmente é uma manipulação de link.
Clone phishing
Digamos que você recebeu recentemente um e-mail do seu banco com um anexo ou um link. Semanas depois, você recebe o mesmo e-mail. Apenas mais um caso de empresas enviando muitos e-mails, certo? Talvez não.
Com o clone phishing, os ciberataques recriam e-mails legítimos. Desse modo, todos os detalhes são os mesmos, mas substituem os links ou anexos por conteúdo de phishing.
Eles acham que a maioria das pessoas reconhecerá o e-mail, mas não observará cuidadosamente as alterações. E muitas vezes eles estão certos.
Malvertising
Com o nome derivado da união de duas palavras: “malicioso” e “publicidade”, o malvertising combina sites maliciosos e anúncios.
Nesse tipo de ataque de phishing, os cibercriminosos enviam a você um anúncio falso que parece legítimo. Mas, que contém links para sites que espalham malware.
Phishing em mecanismo de pesquisa
Essa forma sorrateira de ataque de phishing tem como alvo suas pesquisas.
Considere este cenário: você recebe uma solicitação suspeita de dinheiro no PayPal. Certo que é uma farsa, você faz uma pesquisa no Google pelas informações de contato do PayPal.
Em seguida, você clica em um link e, sem saber, chega a um site falso do PayPal, que o entrega diretamente nas mãos de golpistas que solicitarão todas as suas informações pessoais.
Este é apenas um exemplo de uma ameaça chamada phishing no mecanismo de busca. Usando técnicas de SEO, os cibercriminosos fazem com que seus sites de phishing apareçam na primeira página do Google.
A partir daí, eles podem causar todo tipo de dano: fazer você clicar em links maliciosos, baixar malware ou ligar para um dos bandidos e fornecer informações pessoais.
Pharming
Esse tipo de ataque cibernético direciona o tráfego de um site legítimo para um falso. Embora o site possa parecer legítimo, ele contém material malicioso destinado a roubar seus dados pessoais.
Enquanto os corretores de dados usam cookies e outras ferramentas para coletar informações pessoais para vender a anunciantes, campanhas políticas ou outras partes interessadas, o pharming coleta dados privados para que os hackers possam roubar sua identidade.
Como são os e-mails de phishing?
Existem várias maneiras de identificar um e-mail de phishing. Para começar, procure por estas características:
- Erros gramaticais e de ortografia na mensagem, bem como o endereço de e-mail do remetente.
- Logotipos da empresa que não estão corretos.
- Links maliciosos (você saberá que são falsos passando o mouse sobre eles e revisando o URL real).
- Um remetente familiar (um amigo, colega ou outro contato) enviando um e-mail com uma linha de assunto genérica ou clickbait, como “Veja o que encontrei” e um link.
- Uma linha de assunto assustadora.
- Uma linha de assunto oferecendo algo de graça.
- Uma mensagem que evoca uma resposta emocional ou senso de urgência.
- Anexos de arquivo com aparência esboçada.
- Links de compartilhamento de arquivos que exigem que você digite sua senha em outra janela.
- Um remetente que afirma ser de suporte técnico.
Quer outra pista para saber se o e-mail que você acabou de receber é um ataque de phishing? Saiba que as solicitações legítimas de agências governamentais geralmente chegam por correio, raramente por e-mail.
Quem é o alvo do phishing?
Todos nós gostaríamos de pensar que os hackers vão atrás dos caras grandes – você sabe, líderes de corporações gigantes ou pessoas influentes em agências governamentais. Mas esse não é o caso.
O phishing pode atingir qualquer pessoa: um cliente de banco online, um membro da família usando uma rede social e até você.
Como faço para parar de receber e-mails de phishing?
Os hackers não vão parar de enviar e-mails de phishing, pois para eles é uma verdadeira mina de ouro. Então, cabe a você se proteger. Para começar, siga estas instruções importantes:
- Não clique em links suspeitos nem abra anexos de e-mail suspeitos.
- Defina boas senhas e não as reutilize em vários sites.
- Use a autenticação de dois fatores para proteger suas contas.
- Use filtros de spam para bloquear e-mails que podem variar de remetentes irritantes a perigosos.
- Evite postar dados pessoais, como data de nascimento, número de telefone, endereço e planos de férias, em redes sociais públicas.
- Baixe uma extensão de navegador antiphishing, ou um aplicativo de segurança, que proteja seus equipamentos contra ataques de phishing.
Evitar um golpe de phishing pode se resumir em uma dica importante, diz Goldstein: pense um pouco antes de clicar.
