Phishing é uma técnica de crime cibernético que usa fraude, truque ou engano para manipular as pessoas e obter informações confidenciais. Saiba como ele funciona para poder detectar e bloquear golpes de phishing e manter seus dados protegidos contra invasores. Proteja-se contra ataques de phishing com o Avast Free Antivirus.
Este artigo contém:
Um ataque de phishing tem três componentes:
O ataque é realizado por meio de comunicações eletrônicas, como e-mail ou por telefone.
O golpista finge ser um indivíduo ou organização de confiança.
O objetivo é obter informações pessoais confidenciais, como credenciais de login ou números de cartão de crédito.
Por isso phishing recebe seu nome: O cibercriminoso vai “pescar” (em inglês, “fishing”) com uma atraente “isca” para fisgar as vítimas do vasto “oceano” dos usuários da internet. O ph em "phishing" vem de “phreaking de telefone” que surgiu em meados de 1900, no qual os “phreaks”, ou seja, entusiastas, faziam experimentos com as redes de telecomunicações para descobrir como elas funcionavam. Phreaking + fishing = phishing.
Spam ou phish: neste caso, melhor o spam. A principal diferença entre spam e phishing é que os spammers não querem prejudicar você. Spam é lixo eletrônico: apenas um monte de anúncios indesejados. Os golpes de phishing têm como objetivo roubar seus dados e usá-los contra você. Mais adiante neste artigo, examinaremos exatamente como e o que eles desejam alcançar.
Você pode gostar ou não do spam, mas lembre-se sempre da seguinte rima divertida: O spam é delicioso, mas o phish é malicioso.
Seja conduzido por e-mail, redes sociais, SMS ou outro vetor, todos os ataques de phishing seguem os mesmos princípios básicos. O golpista envia um texto direcionado, com o objetivo de convencer a vítima a clicar em um link, baixar um anexo, enviar as informações solicitadas ou até mesmo concluir um pagamento real.
Quanto aos efeitos do phishing, eles dependem da imaginação e habilidade do phisher. O advento das redes sociais significa que os phishers têm acesso a mais informações pessoais sobre seus alvos do que nunca. Com todos esses dados à disposição, os phishers podem adaptar com precisão os ataques às necessidades, desejos e circunstâncias da vida de seus alvos, o que resulta em uma proposta muito mais atraente. Nesses casos, as redes sociais alimentam uma engenharia social mais poderosa.
A maioria dos casos phishing pode levar a roubo de identidade ou dinheiro e também é uma técnica eficaz para espionagem corporativa ou roubo de dados. Alguns hackers chegam ao ponto de criar perfis falsos nas redes sociais e investir tempo na construção de um relacionamento com possíveis vítimas e só ativam a armadilha após estabelecer confiança. Qual é o preço de phishing? Preço não se resume apenas aos danos financeiros, mas nesses casos há também a perda de confiança. Dói ser enganado pela pessoa em que você confiava e a recuperação pode levar muito tempo.
Vamos nos aprofundar um pouco mais: de que se trata o phishing? De onde pode vir um ataque de phishing e como ele pode ser? É hora de obter algumas respostas.
Phishing por e-mail: De longe, o método mais comum, o phishing por e-mail usa o e-mail para introduzir a isca de phishing. Esses e-mails geralmente contêm links que levam a sites maliciosos ou anexos que contêm malware. Posteriormente, vamos mostrar como é um e-mail de phishing, para você saber quais devem ser evitados.
Phishing nos sites: Os sites de phishing, também conhecidos como sites falsificados, são cópias falsas de sites reais conhecidos e confiáveis. Os hackers criam esses sites falsificados para fazer você inserir suas credenciais de login, que podem ser usadas para fazer login nas suas contas reais. Os pop-ups também são uma fonte comum de phishing nos sites.
Vishing: Abreviação de “phishing de voz”, vishing é a versão em áudio do phishing na internet. O golpista tentará convencer as vítimas por telefone a divulgar informações pessoais que podem ser usadas posteriormente para roubo de identidade. Muitas chamadas automatizadas são tentativas de vishing.
Smishing: Smishing é phishing via SMS. Você recebe uma mensagem de texto que solicita clicar em um link ou baixar um aplicativo. Mas, ao fazer isso, você baixará malware no seu telefone, que poderá roubar suas informações pessoais e enviá-las ao invasor.
Phishing nas redes sociais: Alguns invasores podem acessar contas de redes sociais e forçar as pessoas a enviarem links maliciosos para seus amigos. Outros criam perfis falsos e usam esses perfis para phishing.
Por meio dos vetores primários de phishing listados acima, os hackers podem realizar uma ampla gama de ataques, que variam de ataques com tecnologia sofisticada, até os bons e antigos truques de confiança. Não deixe nada disso acontecer com você:
Phishing enganoso: Espere um pouco, não estamos falando o tempo todo que todo phishing é enganoso? Bem, sim. Phishing quer enganar você. Mas o termo “phishing enganoso” refere-se especificamente à situação quando hackers se disfarçam de empresas ou indivíduos legítimos para ganhar sua confiança.
Spear phishing: As campanhas de phishing em larga escala são como barcos de pesca industrial que arrastam redes enormes pelo oceano, tentando prender tudo que encontrar pelo caminho. Por outro lado, o spear phishing ocorre quando os phishers personalizam seus ataques para atingir indivíduos específicos. Redes sociais profissionais como o LinkedIn popularizaram o spear phishing para o crime cibernético corporativo, pois os hackers podem encontrar facilmente todas as suas informações de emprego em um só lugar.
Whaling: E para fechar o conjunto de metáforas náuticas, temos whaling (a caça às baleias), um ataque de phishing que visa um determinado indivíduo de alto valor. É o mesmo que spear phishing, mas com metas muito mais ambiciosas. Até os executivos seniores mais importantes estão propensos ao whaling.
Fraude de CEO: Phishers fingem ser o CEO de uma empresa ou outro executivo de alto escalão para extrair informações de pagamento, ou outras informações privilegiadas dos funcionários. As campanhas de fraude de CEO acompanham frequentemente ataques de whaling, pois o criminoso já obteve as credenciais de login do CEO.
Pharming: Ataques de Pharming, phishing e farming, usam truques tecnológicos que substituem a necessidade de atrair você com uma isca. Por exemplo, o envenenamento de cache DNS é uma técnica de pharming que pode redirecioná-lo automaticamente de um site legítimo para a versão falsificada do invasor. Se você não prestar atenção, não perceberá o golpe até que seja tarde demais.
Dropbox phishing e Google Docs phishing: Os serviços populares de nuvem são alvos atraentes de phishing. Os invasores ativam versões falsificadas das telas de login, roubam suas credenciais quando você as insere e depois têm acesso a todos os seus arquivos e dados.
Clone phishing: Os invasores podem pegar um e-mail legítimo e depois “cloná-lo”, enviando exatamente o mesmo e-mail para todos os destinatários anteriores com uma alteração crucial: os links foram substituídos pelos links maliciosos.
Manipulação de links: Os phishers enviam links que parecem estar de um endereço, mas, quando clicados, levam para outro lugar. Os truques comuns incluem erros ortográficos propositais (por exemplo, “lado” x “Lado”; o segundo tem um L maiúsculo) ou escrever o nome de um site confiável como o texto de exibição do link. Estes também são conhecidos como ataques homográficos.
Scripting entre sites: Phishers sofisticados podem explorar pontos fracos nos scripts de um site para sequestrar o site para seus próprios fins. Scripting entre sites é difícil de detectar, porque tudo no site parece ser legítimo, desde o endereço até os certificados de segurança.
O Avast Free Antivirus oferece muito mais do que a proteção contra vírus. Nossa detecção inteligente de ameaças pode identificar e alertar sobre os links maliciosos e anexos infectados que os phishers adoram usar. Se os phishers não conseguirem te enganar, não poderão roubar seus dados, e estamos fazendo o possível para que isso não aconteça.
A resposta a essa pergunta pode resultar em uma série de livros com vários volumes, mesmo se nos concentrarmos só nos destaques. Aqui está uma amostra dos melhores hits de phishing:
Durante a preparação para a Copa do Mundo da FIFA 2018 em Moscou, golpes de phishing inundaram o cenário internacional de futebol. As vítimas foram atraídas com ingressos gratuitos, ofertas de hotéis de última hora e produtos das equipes.
Ao invadir os bancos de dados de hotéis parceiros associados à Booking.com, um grupo de cibercriminosos conseguiu fazer smishing dos usuários do site usando WhatsApp e SMS. O phishing em torno do evento ficou tão intenso que a FTC foi forçada a emitir um aviso oficial.
Nascida em 2007, a Operação Phish Phry cresceu durante mais de dois anos e se tornou a maior investigação internacional sobre crimes cibernéticos do FBI na época. A operação teve como objetivo interromper um grupo de phishing que roubava números de conta, senhas e PINs das vítimas, usando e-mails e sites falsificados.
No final da investigação, os cibercriminosos haviam conseguido transferir aproximadamente US$ 1,5 milhão de vítimas para contas mantidas nos EUA - mas o FBI e as autoridades egípcias conseguiram acusar mais de 100 suspeitos nos EUA e no Egito.
A Target enfrentou uma reação negativa global após uma violação de dados em 2013 que comprometeu 110 milhões de seus clientes. Embora a gigante do varejo ainda não tenha divulgado todos os detalhes do ataque, concluiu-se que tudo começou com um e-mail de phishing enviado a um dos fornecedores terceirizados da Target.
Dois dias antes da Black Friday, os hackers acessaram os leitores de cartões de ponto de venda da Target e coletaram 11 GB de informações sobre cartões de crédito e débito. O resultado: a Target pagou um acordo recorde de US$ 18,5 milhões.
A maioria dos ataques de phishing é realizada por e-mail. Quer descobrir como funcionam os e-mails de phishing? Então vamos lá.
A maioria dos e-mails de phishing pode ser classificada em algumas categorias. Estas são as mais frequentes:
Problema de faturamento/fatura: Você será informado de que algo que você comprou online recentemente não pode ser enviado devido a um problema de faturamento. Se você clicar, será direcionado para uma página falsificada que solicita suas informações financeiras, que são entregues diretamente aos phishers.
O governo está atrás de você: O sucesso desses e-mails depende de sua vontade de acreditar (e respeitar) solicitações de figuras de autoridade. Geralmente com um tom assustador, esse e-mail de phishing ameaça com algum tipo de penalidade, a menos que você forneça os dados pessoais solicitados.
O governo quer lhe dar dinheiro: Considere isso o inverso do exemplo acima. Frequente na época de declaração de impostos, esses e-mails oferecem reembolso de impostos, se você confirmar rapidamente seus dados financeiros.
Pedido de ajuda: Os phishers se passam por um amigo ou parente, explicam que estão em algum tipo de situação terrível e imploram por sua ajuda financeira. Esses golpes são frequentes e, infelizmente, têm como alvo idosos pelo telefone.
Alerta do banco: Muitos bancos alertam os clientes se detectarem alguma atividade suspeita, ou sobre o uso do cheque especial. Os phishers aproveitam esses serviços úteis para tentar convencer os alvos a “confirmarem” as informações da conta bancária.
Você ganhou: Por sorte, justamente você ganhou um prêmio incrível. Tudo que você precisa fazer é inserir seus dados. Veja o golpe da Copa do Mundo acima para ter mais referências.
Negócio urgente: Os phishers adoram usar a urgência para forçá-lo a tomar decisões erradas. Pouco importa se eles estão oferecendo um acordo temporário que é bom demais para ser verdade, ou ameaçando fechar sua conta, a menos que você aja agora, o objetivo deles é assustá-lo para que divulgue suas informações pessoais o mais rápido possível.
Embora venham em várias formas e tamanhos, sim é possível aprender a reconhecer e-mails de phishing. Segue uma visão geral de seus traços mais comuns. A maior parte da proteção contra phishing fica por conta das soluções confiáveis de segurança cibernética, mas se observar os seguintes sinais, você poderá ser a primeira linha de defesa contra phishing.
O e-mail não é endereçado a você: Muitos tipos de phishing, incluindo o “phishing enganoso” padrão, são como lançar uma rede. Dessa forma, o e-mail não será personalizado com o nome do destinatário, mas terá um início vago, como “Prezado cliente”, ou talvez até o seu e-mail. Correspondências oficiais de empresas legítimas usarão seu nome.
Uma oferta irrecusável: Você pode e deve recusá-la. Se surgir uma oferta que parece boa demais para ser verdade, provavelmente é falsa. Não deixe que os vigaristas atraiam você com ofertas tentadoras. Seja qual for a oferta, você não precisa dela. As ofertas de phishing nunca são reais.
É preciso agir imediatamente: Como já mencionamos, os phishers adoram urgência. Não caia no medo de perder uma oportunidade, não acredite nas ameaças e, o mais importante, não se deixe abalar. Nenhuma entidade legítima, governamental, corporativa ou outra, dará a você apenas uma única chance de agir antes de perder tudo.
Links abreviados: Cuidado com links maliciosos que se escondem atrás dos serviços de abreviação de links. Sempre passe o mouse sobre todos os links antes de clicar. Como a maioria das interfaces móveis não oferece essa funcionalidade, desconfie ainda mais de links ao verificar e-mails no celular.
Links com erros ortográficos: Os hackers hospedam versões falsas de sites legítimos com endereços quase iguais e incentivam você a clicar nesses links nos e-mails de phishing. Cuidado com erros de digitação chamados de “typosquatting”. Eles são versões ligeiramente incorretas da URL legítima que os cibercriminosos usam para enganá-lo ou o uso deliberado de letras e caracteres que parecem iguais. Leia os links cuidadosamente antes de clicar!
Texto mal escrito: Seu banco não enviaria um e-mail cheio de erros de ortografia e gramática. Um phisher, por outro lado, pode e frequentemente faz isso. Erros grosseiros como esses são indicação certa de um e-mail de phishing.
Anexos: Não há nada errado com os anexos em geral, se são esperados e vêm de alguém em quem você confia. Fora deste contexto, evite anexos desconhecidos. Os golpistas podem ocultar até malware em arquivos de conteúdo avançado, como PDFs.
Solicitação de informações pessoais: Phishers querem seus dados. Se você recebeu um e-mail solicitando a confirmação das informações da sua conta, credenciais de login ou outras informações pessoais, é provável que se trate de phishing.
Você não usa essa empresa ou serviço: Normalmente, os phishers não têm acesso aos bancos de dados de usuários das empresas que fingem ser, por isso, enviam seus e-mails de phishing para qualquer pessoa. Se você recebeu um e-mail do serviço de streaming A, mas é assinante fiel dos serviços de streaming B e C, ele é um e-mail de phishing.
O e-mail acima é um dos e-mails que eu realmente recebi. Imagino que, se tivesse me enganado e respondido ao e-mail, seria solicitado que eu fornecesse minhas credenciais de login da conta do Google. Observe como ele contém muitos dos sinais de alerta discutidos aqui:
Assunto escrito de maneira informal
Enviado de um endereço de e-mail suspeito
Seu endereço de e-mail real não é o destinatário
E-mail não endereçado ao destinatário
Erros gramaticais e outros no corpo do e-mail
Exige ação imediata
Falta o conteúdo da assinatura típico que você esperaria em um e-mail oficial
É simples: denuncie e exclua! Seu provedor de e-mail deve ter uma opção que permita denunciar golpes de phishing diretamente.
Em seguida, encaminhe os e-mails para a FTC (spam@uce.gov) e para o Grupo de Trabalho Anti-Phishing (reportphishing@apwg.org) e relate sua experiência de phishing no site de reclamações da FTC.
Por fim, entre em contato com a empresa que supostamente enviou e-mail, para que eles saibam que um phisher está usando a marca para tentar enganar as pessoas.
A educação abrangente do usuário e o software anti-phishing oferecem uma forte defesa em duas frentes contra o phishing no nível organizacional. As empresas devem investir em programas educacionais completos para ensinar seus funcionários a reconhecerem o phishing e por que eles devem ser cautelosos. As equipes de segurança podem reforçar essas diretrizes com medidas eficazes de software para bloquear golpes de phishing, independentemente do sucesso desses golpes.
Pessoalmente, veja o que você pode fazer para ajudar a evitar golpes de phishing:
Mantenha-se informado: A boa notícia é que, ao ler este artigo, você já fez esta etapa. Fique um passo à frente dos phishers e continue se informando sobre os golpes mais recentes.
Desconfie: Tome muito cuidado com os e-mails suspeitos. Antes de clicar em qualquer link ou baixar qualquer anexo, verifique se há sinais de alerta de phishing mencionados anteriormente neste artigo. Se algum deles estiver presente no e-mail em questão, denuncie e exclua.
Confirme antes de agir: Empresas reais nunca entrarão em contato com você para solicitar dados pessoais por e-mail ou por telefone. Se isso realmente acontecer, use as informações de contato fornecidas no site legítimo para ligar para a empresa e confirme a veracidade das informações no e-mail ou na ligação. Não responda diretamente a e-mails suspeitos. Sempre inicie uma nova comunicação pelos canais oficiais de atendimento da empresa.
Verifique os certificados de segurança: Não envie nenhuma informação pessoal que você não gostaria que um hacker tivesse, a menos que tenha certeza de que um site é seguro. Verifique se o endereço começa com HTTPS e procure um ícone de cadeado próximo ao endereço.
Altere as senhas regularmente: Os phishers não podem fazer muito com uma das suas senhas se ela não for mais válida. Atualize suas senhas com certa frequência, usando um gerenciador de senhas para criar senhas difíceis de decifrar e para armazená-las com segurança.
Verifique suas contas: Seja aquela pessoa que examina todas as faturas. Caso contrário, uma cobrança fraudulenta poderia passar despercebida. Bancos e operadoras de cartões de crédito geralmente são muito bons em detectar fraudes, mas você deve prestar muita atenção também às suas faturas e extratos.
Use um bloqueador de anúncios: Esta dica poderia ser “não clique em pop-ups”, mas se você usar um bloqueador de anúncios, ele bloqueará a maioria dos pop-ups antes de você vê-los. Os pop-ups são vetores de phishing comuns e, se você vir um, nunca clique no próprio anúncio, mesmo se houver um grande botão com texto “fechar”. Sempre use o pequeno X no canto.
Leia e-mails como texto sem formatação: Esse é um truque bacana para ajudar a detectar golpes de phishing por e-mail. Converta um e-mail em texto sem formatação e você poderá identificar endereços de imagens ocultos que não seriam visíveis no modo HTML.
Você terá muito menos trabalho se deixar uma ferramenta anti-phishing confiável assumir a responsabilidade. O Avast Free Antivirus detecta tentativas de phishing e as bloqueia antes que cheguem a você. Além disso, ele é atualizado automaticamente sempre que um novo ataque é descoberto e oferece proteção em tempo real contra as ameaças na internet, que estão em mudança constante.
Com mais de 435 milhões de pessoas sob sua proteção, o Avast Free Antivirus é a solução de segurança cibernética mais confiável do mundo.
