Phishing é uma modalidade de ataque cibernético que não é nova, mas continua enganando muitas pessoas mundo afora, seja pela complexidade de como foi montado, ou apenas apostando no desconhecimento de muitas pessoas, que continuam acreditando em links com benefícios milagrosos ou mensagens alarmistas.
Vamos partir do início, Phishing vem do termo em inglês que remete a ação de pescar, o objetivo por trás dos responsáveis pela concepção e divulgação do golpe faz todo sentido com essa definição, já que eles querem “fisgar” dados e demais informações de suas vítimas. O meio ainda mais comum de propagação de phishing é o e-mail, mas a ameaça já é explorada a rodo em outros canais de comunicação, como redes sociais e mensageiros instantâneos como o WhatsApp.
Todos aquelas mensagens mirabolantes, repassados via corrente pelo WhatsApp que prometem alguma coisa se você clicar no link e preencher informações ou repassa algum tipo de comunicado sobre algum assunto que esteja em voga e também solicita algumas de suas informações por um link dedicado podem ser enquadrados na categoria de Phishing.
Evidentemente que há inúmeros casos de Phishing que são bem mais complexos. Este mês noticiamos que a empresa de segurança ESET alertou sobre um site falso que se passava pelo do banco Santander. O objetivo dessa página criada nos moldes da original é tentar roubar dados de correntistas. Outro ponto muito comum em relação ao Phishing é o sentido de urgência, mensagens que tentam causar uma ação imediata em quem está recebendo aquele conteúdo, uma forma de tentar fazer com que você clique e preencha suas informações antes mesmo de parar pra pensar se tal conteúdo é ou não legítimo. Essa estratégia foi utilizada nesse caso do site falso do banco Santander:
“O golpe traz o sentimento de urgência às vítimas, informando-as que a senha de acesso será suspensa devido a desatualização de dados cadastrais e que caso a senha seja efetivamente bloqueada, o envio de um novo acesso pelos correios gerará um suposto custo de R$ 34,22 para as vítimas”, explica a ESET.
› Siga o Hardware.com.br no Instagram e acompanhe nossas postagens com as novidades sobre o mercado de tecnologia.
Os números relacionados ao Phishing são realmente assombrosos. De acordo com a empresa de segurança Unisys, aproximadamente 1,5 milhões de novos sites de phishing são criados a cada mês. E, infelizmente, o Brasil está na lista entre os países que os ataques por meio dessa modalidade mais crescem. No ano passado, a provedora de segurança digital, Cytera, detectou um crescimento de 28% em relação aos ataques de phishing. O Brasil apareceu na segunda posição entre os preferidos para os fraudadores explorarem suas técnicas, ficando atrás apenas dos Estados Unidos, onde as campanhas lançadas originam dez vezes mais ataques do tipo.
Durante o período de Black Friday, em que milhões de pessoas estarão realizando suas compras online, os casos de Phishing aumentam exponencialmente. No ano passado a Kaspersky revelou que atividades maliciosas relacionadas ao comércio eletrônico quase que dobraram em três anos, saindo de 6,5 milhões de ataques em 2015 para cerca de 12,3 milhões em 2018.
Basicamente o Phishing atua de dois modos:
Roubo de dados
Esse é o mais clássico, através do envio de um e-mail falso ou mensagem via rede social, o atacante tenta fazer com que você forneça certos dados, como aqueles referentes a sua conta de banco. Na esmagadora maioria dos casos sua identificação é bem simples, ao clicar no link você percebe que ele não tem absolutamente nada a ver com a URL original, correspondente ao serviço que é citado. Naquele caso que citamos do Santander aconteceu isso.
Microsoft, PayPal, Netflix e Facebook são as empresas mais utilizadas pelos atacantes quando estão esquematizando alguma campanha de Phishing, recriando a página, com base na original para tentar “fisgar” a vítima.
Fazer você baixar um software malicioso
Essa vertente pode ser ainda mais grave, principalmente para empresas. Aqui acontece uma união entre modalidades de ataque, pode ser, por exemplo, o phishing, uma mensagem com um link para o download de algum software ou arquivo, junto com um ransomware. O tal arquivo é justamente aquele software malicioso que assim que for executado fará a encriptação dos arquivos da máquina – ou de um conjunto de computadores em rede – ou negará acesso ao dispositivo, e exigirá o pagamento de um “resgate”, normalmente em alguma critpmoeda, para tudo seja restabelecido.
93% dos ataques que passam pela tentativa de contaminação do usuário por meio de um software falso é proveniente de anexos enviados por e-mail.
Dicas para não ser “fisgado” pelo Phishing
A melhor maneira de evitar phishing é ter mais cautela em relação aos inúmeros conteúdos que somos bombardeados constantemente via redes sociais e contas de e-mail. É impressionante como a grande maioria das pessoas tem a ânsia de repassar para amigos e familiares um link recebido via WhatsApp sem ao menos fazer uma simples busca na internet se há alguma menção sobre aquilo na mídia, em fontes confiáveis de notícias. Reduzir o número de incidentes por phishing passa também por uma visão mais ampla e consciente sobre como funciona a própria web.
Fuja de e-mails que contam com chamadas como visite nosso site e ganhe 95% de desconto, preencha seus dados ou algo de ruim irá acontecer, baixe esse arquivo para não ficar com o nome sujo, etc,explica a ESET. Além de não sair clicando em qualquer link que você recebe, não baixe anexos de e-mails suspeitos, como vimos acima, na grande maioria dos casos se trata de softwares maliciosos, que podem resultar em um ransomware no seu dispositivo.
Além disso, fique atento ao link que você recebeu, caso tenha clicado, já que a página falsa não terá o mesmo domínio daquela atribuída à instituição mencionada. Caso esteja em dúvida do link oficial de alguma empresa ou órgão consulte em seus canais oficiais, como suas páginas em redes sociais. O alerta também vale para o e-mail da suposta empresa que chegou até você. Empresas oficiais costumam adotar o formato areadaempresa@empresa.com.br, e não apresentam números e símbolos. Caso a ameaça seja de cancelamento de alguma conta, busque um telefone oficial para contato e esclareça suas dúvidas.
Você também deve ler!
Proteja sua conta! Como ativar a verificação em duas etapas no WhatsApp
Deixe seu comentário