Phishing – Você já foi vítima?

Phishing é um nome estranho que em inglês significa pescaria e é uma técnica de engenharia social utilizada para pescar informações das pessoas ou de empresas. Ele pode ser destinado para as pessoas em geral ou direcionado a uma pessoa ou empresa específica.

É uma técnica utilizada desde os primórdios da humanidade e simplesmente foi adaptada ao mundo virtual. Geralmente se utiliza de algum sentimento humano ou de situações corriqueiras da vida para atingir seu objetivo. O intuito é obter dados sensíveis como nomes de usuário e senhas, CPF, números de cartões de crédito, etc.

Pode chegar até você de diversas formas como mensagens de email, SMS ou de chat em aplicativos de mensagens, como whatsapp e messenger. No início era muito mais fácil detectar este tipo de técnica, pois erros ortográficos ou gramaticais eram muito comuns, mas hoje em dia os criminosos estão atentos a isso e estão elaborando mensagens e sites realmente quase idênticos aos reais, sendo inclusive bastante difícil sua detecção.

É muito fácil se tornar um cybercriminoso hoje em dia através dessa técnica. No mercado negro existem disponíveis várias ferramentas, vendas de sites comprometidos, tutoriais e uma infinidade de recursos e informações para se fazer uma campanha de phishing bem sucedida.

As perdas financeiras nos últimos anos têm chegado a bilhões de dólares. Em ataques direcionados, por exemplo, os criminosos podem se passar por funcionários da empresa e assediar os clientes pedindo por informações particulares. Podem também atacar funcionários da empresa, se passando por executivos e enviando mensagens aos funcionários pedindo informações, como preencher um formulário de acordo de serviço para um cliente, um contrato, visitar um site para preenchimento de dados ou até pedindo transferência de dinheiro.

As mensagens podem parecer incrivelmente reais, seja de empresas, seja de alguém que você provavelmente conheça. Um amigo seu pode estar com sua máquina infectada e lhe enviar um email sem que nem mesmo ele saiba. Você pode receber um email dizendo que um boleto está atrasado, ou que você precisa mudar sua senha do banco. As mensagens contém ou não anexos e geralmente possuem links para lhe direcionar a sites de phishing, os quais podem se passar tranquilamente por um site de banco, do Google, do Facebook ou do Paypal a olhos leigos. Os anexos, se existirem, podem vir travestidos de arquivos PDF, DOC, JPG, etc., mas sempre são pragas virtuais que podem se instalar no seu computador para abrir portas para o criminoso ou instalar keyloggers (que fazem registro de tudo que é digitado na máquina), além de diversos outros tipos de infecção.

A primeira coisa que se deve fazer quando receber uma mensagem que provavelmente pode te abalar, vindo de uma empresa com a qual você tenha ou já teve relacionamento ou de um amigo é manter a calma. Sim é difícil manter a calma quando uma empresa de crédito manda um email dizendo que vai te executar ou de um amigo lhe pedindo ajuda por estar em dificuldade, mas analise primeiro a situação, veja se o tipo de linguagem da mensagem é o mesmo com o qual você está acostumado a receber da sua empresa ou do seu amigo, analise se as informações são coerentes e se existem muitos erros de linguagem. Às vezes é possível até falsificar o remetente, com isso a mensagem pode parecer ainda mais legítima, mas analise outros fatores, não seria muito suspeito haver um anexo na mensagem? Passe o mouse por cima dos links da mensagem (sem clicar) e observe na barra de status na parte de baixo do navegador ou do programa de emails para ver qual o real endereço do link (ele pode estar escrito da forma correta na mensagem, mas ao passar o mouse por cima seu real endereço será revelado na barra inferior) se isso acontecer, não abra. Os criminosos estão utilizando endereços muito parecidos com os reais para enganar suas vítimas, como www.bancodobrazil.com.br (brazil com z) ou www.caixa.com (deveria ser www.caixa.gov.br), portanto se certifique que o endereço é real.

Um papel muito grande na prevenção desse tipo de golpe está nas suas mãos, hoje em dia os criminosos estão mais sofisticados e utilizando técnicas que as vezes são indetectáveis aos programas de prevenção, como antivírus. Estão copiando mais fielmente sites para se passar por sites reais. Se utilizando de técnicas cada vez mais convincentes para as vítimas acessarem seus links ou executarem seus anexos. Por isso, não ache que não irá acontecer com você ou que seu antivírus o protegerá, faça sua parte e aprenda a diferenciar suas mensagens legítimas de mensagens falsas, saiba como sites reais deveriam parecer, como companhias reais deveriam se comportar, como é o tipo de linguagem que seus amigos lhe escreveriam, mas acima de tudo, não aja no desespero e saia clicando em qualquer link ou abrindo qualquer anexo, analise-os primeiro.

Se você seguir essas dicas e aprender a analisar suas mensagens, provavelmente estará protegido contra este tipo de ataque feito através de uma ciência que depende muito mais de nós para prevenção e detecção do que de proteção virtual, a engenharia social.

Caso possua alguma dúvida, dica ou sugestão, por favor me informe nos comentários.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *