O guia essencial sobre phishing: Como funciona e como se proteger

O que é phishing, exatamente?

Phishing é quando um invasor usa truques de engenharia social para enganar as vítimas e fazê-las revelar dados privados ou clicar em um link malicioso.

Este artigo contém:

Este artigo contém:

Ver tudo Security articles

Este artigo contém:

Um ataque de phishing tem três componentes:

1. O ataque é realizado por meio de comunicações eletrônicas, como um e-mail ou uma chamada telefônica.

2. O invasor se disfarça como uma pessoa ou organização em que você confia.

3. O objetivo é obter informações pessoais confidenciais, como credenciais de login ou números de cartão de crédito.

O phishing é um dos golpes mais antigos e conhecidos da internet. O termo phishing se deve ao fato de os cibercriminosos irem “pescar” (em inglês, fishing ) com uma atraente isca para fisgar as vítimas do vasto oceano dos usuários da internet. O ph em "phishing" vem de “phreaking de telefone” que surgiu em meados de 1900, no qual os “phreaks”, ou seja, entusiastas, faziam experimentos com as redes de telecomunicações para descobrir como elas funcionavam. Phreaking + fishing = phishing.

Spam x phishing

A principal diferença entre spam e phishing é que os spammers não querem prejudicar você. O spam geralmente é apenas lixo eletrônico: um monte de anúncios indesejados. O phishing, por outro lado, é nefasto porque os phishers querem roubar seus dados e usá-los contra você. É claro que os ataques de phishing também podem ser realizados por meio de mensagens de spam, portanto, você ainda deve evitar o spam.

O phishing também não é a única ameaça capaz de roubar dados. Você também precisa tomar cuidado com spyware. Saiba como remover spyware de dispositivos Android, iPhones ou PCs.

Como o phishing funciona?

O golpista envia um texto direcionado, com o objetivo de convencer a vítima a clicar em um link, baixar um anexo, enviar as informações solicitadas ou até mesmo concluir um pagamento real. Seja conduzido por e-mail, redes sociais, SMS ou outro vetor, todos os ataques de phishing seguem os mesmos princípios básicos.

Os ataques de phishing podem ocorrer em qualquer dispositivo eletrônico.

Quanto aos efeitos do phishing, eles dependem da imaginação e habilidade do phisher. A ubiquidade das redes sociais significa que os phishers têm acesso a mais informações pessoais sobre seus alvos do que nunca. Com todos esses dados à disposição, os phishers podem adaptar com precisão os ataques às necessidades, desejos e circunstâncias da vida de seus alvos, o que resulta em uma proposta muito mais atraente. A mídia social, nesses casos, alimenta o uso mais eficaz da engenharia social para realizar ataques de phishing.

Agora que já explicamos como funcionam os golpes de phishing, vamos explorar o impacto deles sobre você e seus dados.

Quais são os efeitos do phishing?

A maioria dos casos de phishing pode levar a roubo de identidade ou dinheiro e também é uma técnica eficaz para espionagem corporativa ou roubo de dados. Alguns hackers chegam ao ponto de criar perfis falsos nas redes sociais e investir tempo na construção de um relacionamento com possíveis vítimas e só ativam a armadilha após estabelecer confiança.

Qual é o preço de phishing? Preço não se resume apenas aos danos financeiros, mas nesses casos há também a perda de confiança. Dói ser enganado pela pessoa em que você confiava e a recuperação pode levar muito tempo.

Phishing por e-mail - Noções básicas

Muitos ataques de phishing são conduzidos por e-mail. Como um dos tipos mais comuns de fraude por e-mail, você provavelmente já viu algum tipo de e-mail de phishing em sua caixa de entrada. Vamos descobrir o que é phishing de e-mail e examinar alguns dos golpes mais comuns.

O que é um e-mail de phishing?

Um e-mail de phishing é um e-mail fraudulento criado para induzi-lo a revelar informações confidenciais ou infectá-lo por meio de links para sites mal-intencionados ou anexos com malware. Para parecerem legítimos, os e-mails de phishing geralmente imitam a linguagem, os logotipos, os gráficos e o formato específicos de fontes de e-mail genuínas.

Qual a finalidade de um e-mail de phishing? Como outros tipos de phishing, os e-mails de phishing usam truques enganosos de engenharia social para fazer com que você revele dados confidenciais.

Quais são os e-mails de phishing mais comuns?

A maioria dos e-mails de phishing pode ser classificada em algumas categorias. Estas são as mais frequentes:

• Problema de faturamento/fatura: Você será informado de que algo que você comprou online recentemente não pode ser enviado devido a um problema de faturamento. Se você clicar, será direcionado para uma página falsificada que solicita suas informações financeiras, que são entregues diretamente aos phishers.

• O governo está atrás de você: O sucesso desses e-mails depende de sua vontade de acreditar (e respeitar) solicitações de figuras de autoridade. Geralmente com um tom assustador, esse e-mail de phishing ameaça com algum tipo de penalidade, a menos que você forneça os dados pessoais solicitados.

• O governo quer lhe dar dinheiro: Considere isso o inverso do exemplo acima. Frequente na época de declaração de impostos, esses e-mails oferecem reembolso de impostos, se você confirmar rapidamente seus dados financeiros.

• Pedido de ajuda: Os phishers se passam por um amigo ou parente, explicam que estão em algum tipo de situação terrível e imploram por sua ajuda financeira. Esses esquemas geralmente são perpetrados contra os idosos por meio de chamadas telefônicas de phishing.

• Alerta do banco: Muitos bancos alertam os clientes se detectarem alguma atividade suspeita, ou sobre o uso do cheque especial. Os phishers aproveitam esses serviços úteis para tentar convencer os alvos a “confirmarem” as informações da conta bancária.

• Você é o grande ganhador: Os e-mails de phishing geralmente prometem que você é o ganhador especial de um prêmio incrível. Tudo o que você precisa fazer para reivindicar seu prêmio é inserir seus dados.

• Negócio urgente: Os phishers adoram usar a urgência para forçá-lo a tomar decisões erradas. Não importa se eles estão oferecendo um acordo temporário que é bom demais para ser verdade, ou ameaçando fechar sua conta, desde que você aja agora, o objetivo deles é assustá-lo para que divulgue suas informações pessoais o mais rápido possível.

Um exemplo de e-mail de phishing que finge ser da Amazon.

Como é um e-mail de phishing?

Embora venham em várias formas e tamanhos, você pode aprender a reconhecer e-mails de phishing. Fique atento aos seguintes sinais de alerta para que sirvam como sua primeira linha de defesa contra phishing:

• O e-mail não é endereçado a você:Muitos tipos de phishing, incluindo o “phishing enganoso” padrão, são como lançar uma rede. Dessa forma, o e-mail não será personalizado com o nome do destinatário, mas terá um início vago, como “Prezado cliente”, ou talvez até o seu e-mail. Correspondências oficiais de empresas legítimas usarão seu nome.

• Uma oferta irrecusável: Se surgir uma oferta que parece boa demais para ser verdade, provavelmente é falsa. Não deixe que esses vigaristas o enganem com ofertas tentadoras. Seja o que for que eles estejam prometendo, não caia nessa.

• É preciso agir imediatamente: Como já mencionamos, os phishers adoram urgência. Não caia no medo de perder uma oportunidade, não acredite nas ameaças e, o mais importante, não se deixe abalar. Nenhuma entidade legítima, governamental, corporativa ou outra, dará a você apenas uma única chance de agir antes de perder tudo.

• Links abreviados: Cuidado com links maliciosos que se escondem atrás dos serviços de abreviação de links. Sempre passe o mouse sobre todos os links antes de clicar. Como a maioria das interfaces móveis não oferece essa funcionalidade, desconfie ainda mais de links ao verificar e-mails no celular.

• Links com erros ortográficos: Os hackers hospedam versões falsas de sites legítimos com endereços quase iguais e incentivam você a clicar nesses links nos e-mails de phishing. Cuidado com erros de digitação chamados de typosquatting. Eles são versões ligeiramente incorretas da URL legítima que os cibercriminosos usam para enganá-lo ou o uso deliberado de letras e caracteres que parecem iguais. Leia os links cuidadosamente antes de clicar!

• Texto mal escrito: Seu banco não enviaria um e-mail cheio de erros de ortografia e gramática. Um phisher, por outro lado, pode e frequentemente faz isso. Erros grosseiros como esses são indicação certa de um e-mail de phishing.

• Anexos: Não há nada errado com os anexos em geral, se são esperados e vêm de alguém em quem você confia. Fora deste contexto, evite anexos desconhecidos. Os golpistas podem ocultar até malware em arquivos de conteúdo avançado, como PDFs.

• Solicitação de informações pessoais: Phishers querem seus dados. Se você recebeu um e-mail solicitando a confirmação das informações da sua conta, credenciais de login ou outras informações pessoais, é provável que se trate de phishing.

• Você não usa essa empresa ou serviço: Normalmente, os phishers não têm acesso aos bancos de dados de usuários das empresas que fingem ser, por isso, enviam seus e-mails de phishing para qualquer pessoa. Se você recebeu um e-mail do serviço de streaming A, mas é assinante fiel dos serviços de streaming B e C, ele provavelmente é um e-mail de phishing.

O e-mail acima é um dos e-mails que eu realmente recebi. Imagino que, se tivesse me enganado e respondido ao e-mail, seria solicitado que eu fornecesse minhas credenciais de login da conta do Google. Observe como ele contém muitos dos sinais de alerta discutidos aqui:

1. Assunto escrito de maneira informal

2. Enviado de um endereço de e-mail suspeito

3. Seu endereço de e-mail real não é o destinatário

4. E-mail não endereçado ao destinatário

5. Erros gramaticais e outros no corpo do e-mail

6. Exige ação imediata

7. Falta o conteúdo da assinatura típico que você esperaria em um e-mail oficial

Quais são os tipos de golpes de phishing?

Vamos nos aprofundar um pouco mais para descobrir do que se trata exatamente o phishing. De onde pode vir um ataque de phishing e como ele pode ser? É hora de obter algumas respostas.

Vetores de phishing: mais do que e-mail

Você pode ser vítima de phishing em qualquer plataforma de comunicação, o que significa que e-mails, sites, chamadas telefônicas e mensagens de texto são vetores de phishing viáveis e ativos.

• Phishing por e-mail: De longe, o método mais comum, o phishing por e-mail usa o e-mail para introduzir a isca de phishing. Esses e-mails geralmente contêm links que levam a sites maliciosos ou anexos que contêm malware.

• Phishing nos sites: Os sites de phishing, também conhecidos como sites falsificados, são cópias falsas de sites reais conhecidos e confiáveis. Os hackers criam esses sites falsificados para fazer você inserir suas credenciais de login, que podem ser usadas para fazer login nas suas contas reais. Os pop-ups também são uma fonte comum de phishing nos sites.

• Vishing: Abreviação de “phishing de voz”, vishing é a versão em áudio do phishing na internet. O golpista tentará convencer os indivíduos-alvo por telefone a divulgar informações pessoais que podem ser usadas posteriormente para roubo de identidade. Muitas chamadas automatizadas são tentativas de vishing. Além do vishing, saiba como impedir a falsificação por telefone.

• Smishing: Smishing é phishing via SMS. Você recebe uma mensagem de texto que solicita clicar em um link ou baixar um aplicativo. Mas, ao fazer isso, você baixará malware no seu telefone, que poderá roubar suas informações pessoais e enviá-las ao invasor.

• Phishing nas redes sociais: Alguns invasores podem acessar contas de redes sociais e forçar as pessoas a enviarem links maliciosos para seus amigos. Outros invasores criam perfis falsos e fazem phishing usando essas personas, geralmente como parte de um esquema de romance.

Se você acabar com um malware em seu dispositivo, saiba como remover um vírus do iPhone, Mac e PC.

Um exemplo de um ataque de smishing.

Estratégias comuns de phishing

Por meio dos principais vetores de phishing listados acima, os hackers podem realizar uma grande variedade de ataques. Aqui estão algumas estratégias comuns de phishing usadas para obter seus dados ou sequestrar seus dispositivos:

• Phishing enganoso: Sim, o objetivo do phishing é enganar você, mas há várias maneiras de fazer isso. Mas o termo “phishing enganoso” refere-se especificamente à situação em que hackers se disfarçam de empresas ou indivíduos legítimos para ganhar sua confiança.

• Spear phishing: Ao contrário das campanhas de phishing em larga escala, que são como barcos de pesca industriais que arrastam o oceano com redes enormes, o spear phishing ocorre quando um invasor personaliza seu ataque para atingir um indivíduo específico. Redes sociais profissionais como o LinkedIn popularizaram o spear phishing para o crime cibernético corporativo, pois os hackers podem encontrar facilmente todas as suas informações de emprego em um só lugar.

• Whaling: Whaling é um ataque de phishing que tem como alvo indivíduos de alto valor. Até mesmo os executivos de alto escalão correm o risco de sofrer ataques de baleia.

• Fraude de CEO: Phishers fingem ser o CEO de uma empresa ou outro executivo de alto escalão para extrair informações de pagamento, ou outras informações privilegiadas dos funcionários. As campanhas de fraude de CEO acompanham frequentemente ataques de whaling, pois o criminoso já obteve as credenciais de login do CEO.

• Pharming: Ataques de Pharming, phishing e farming, usam truques tecnológicos que substituem a necessidade de atrair você com uma isca. Por exemplo, o envenenamento de cache DNS é uma técnica de pharming que pode redirecioná-lo automaticamente de um site legítimo para a versão falsificada do invasor. Se você não prestar atenção, só perceberá o golpe quando for tarde demais.

• Phishing do Dropbox & Phishing do Google Docs: Os serviços populares de nuvem são alvos atraentes de phishing. Os invasores ativam versões falsificadas das telas de login, roubam suas credenciais quando você as insere e depois têm acesso a todos os seus arquivos e dados.

• Clone phishing: Os invasores podem pegar um e-mail legítimo e depois “cloná-lo”, enviando exatamente o mesmo e-mail para todos os destinatários anteriores com uma alteração crucial: os links substituídos pelos links maliciosos.

• Manipulação de links: Os phishers enviam links que parecem estar de um endereço, mas, quando clicados, levam para outro lugar. Os truques comuns incluem erros ortográficos propositais (por exemplo, “lado” x “Lado”; o segundo tem um L maiúsculo) ou escrever o nome de um site confiável como o texto de exibição do link. Estes também são conhecidos como ataques homográficos.

• Scripting entre sites: Phishers sofisticados podem explorar pontos fracos nos scripts de um site para sequestrar o site para seus próprios fins. Scripting entre sites é difícil de detectar, porque tudo no site parece ser legítimo, desde o endereço até os certificados de segurança.

Os atacantes geralmente se fazem passar por funcionários de sites e serviços populares para confundir suas vítimas. Esses tipos de golpes de phishing incluem:

• Golpes de phishing no Instagram

• Golpes de phishing no Amazon

• Golpes de phishing de Apple ID

• Golpes de phishing no PayPal

Proteja-se contra phishing com o Avast

O Avast Free Antivirus oferece muito mais do que a proteção contra vírus e outros malwares. Nossa detecção inteligente de ameaças pode identificar e alertar sobre os links maliciosos e anexos infectados que os phishers adoram usar. Se os phishers não conseguirem te enganar, não poderão roubar seus dados, e estamos fazendo o possível para que isso não aconteça.

Quais são alguns exemplos de ataques de phishing?

Desde a década de 1990, muitos exemplos notáveis de ataques de phishing ocorreram. Veja a seguir alguns exemplos históricos e recentes de ataques de phishing:

AOL (o primeiro ataque conhecido)

O primeiro exemplo registrado de um ataque de phishing aconteceu em 1994, tendo como alvo os usuários da America Online (AOL). Esse golpe usava um kit de ferramentas de hacking chamado AOHell, que permitia que os hackers enviassem mensagens diretas aos usuários disfarçados de representantes da AOL. Essas mensagens solicitavam aos usuários que verificassem suas contas, revelando suas senhas ou outros detalhes.

Golpe de fatura do Facebook e do Google (um dos mais caros)

Entre 2013 e 2015, um lituano chamado Evaldas Rimasauskas conseguiu enganar o Facebook e o Google em mais de US$ 120 milhões usando um esquema de phishing que forjou contas de e-mail da empresa Quanta, sediada em Taiwan, que faz negócios com ambas as empresas.

Rimasauskas e seus associados enviavam aos gigantes da tecnologia e-mails de phishing meticulosamente elaborados contendo faturas e contratos falsos, cobrando-lhes muitos milhões de dólares.

Violação VIP do Twitter (uma das mais conhecidas)

A violação do Twitter (agora conhecido como X) em 2020 foi notável pela natureza de alto perfil de suas vítimas. Os hackers usaram engenharia social para obter credenciais de determinados funcionários. Os hackers conseguiram então obter o controle de várias contas de alto nível no Twitter, incluindo as de Barack Obama, Elon Musk e Joe Biden.

Violação de dados da Activision (um exemplo recente)

No início de 2023, a empresa de publicação de videogames Activision anunciou que sofreu uma violação de dados no final de 2022, causada por um ataque de smishing contra um funcionário da Activision. Os invasores obtiveram acesso aos dados dos funcionários, incluindo e-mails, números de telefone e locais de trabalho. A Activision alega que eliminou rapidamente a violação, mas as informações obtidas ainda podem ser usadas em futuros ataques de engenharia social.

Como você lida com e-mails de phishing?

É simples: denuncie e exclua! Seu provedor de e-mail deve ter uma opção que permita denunciar golpes de phishing diretamente.

Em seguida, encaminhe os e-mails para a FTC (spam@uce.gov) e para o Grupo de Trabalho Anti-Phishing (reportphishing@apwg.org) e relate sua experiência de phishing no site de reclamações da FTC. Informe também sua experiência de phishing no site de reclamaçõesda FTC.

Por fim, entre em contato com a empresa que supostamente enviou e-mail, para que eles saibam que um phisher está usando a marca para tentar enganar as pessoas.

Os dados roubados em golpes de phishing podem levar ao roubo de identidade. Se você foi vítima, saiba como denunciar o roubo de identidade para reduzir os possíveis danos e como evitar o roubo de identidade no futuro.

Se você receber um e-mail de phishing, denuncie-o e exclua-o.

Principais dicas para evitar phishing

A educação abrangente sobre Segurança na internet e o software anti-phishing oferecem uma forte defesa em duas frentes contra o phishing no nível organizacional. As empresas devem investir em ensinar seus funcionários a identificar ataques de phishing. As equipes de segurança podem reforçar essas diretrizes com contramedidas de software eficazes para bloquear golpes de phishing.

Pessoalmente, veja o que você pode fazer para ajudar a evitar golpes de phishing:

• Mantenha-se informado: A boa notícia é que, ao ler este artigo, você já fez esta etapa. Fique um passo à frente dos phishers e continue se informando sobre os golpes mais recentes. Também conscientize os funcionários, colegas de trabalho e outras pessoas próximas a você.

• Desconfie: Tome muito cuidado com os e-mails suspeitos. Antes de clicar em qualquer link ou baixar qualquer anexo, verifique se há sinais de alerta de phishing mencionados anteriormente neste artigo. Se algum deles estiver presente no e-mail em questão, denuncie e exclua.

• Confirme antes de agir: Empresas reais nunca entrarão em contato com você para solicitar dados pessoais por e-mail ou por telefone. Se isso realmente acontecer, use as informações de contato fornecidas no site legítimo para ligar para a empresa e confirme a veracidade das informações no e-mail ou na ligação. Não responda diretamente a e-mails suspeitos. Sempre inicie uma nova comunicação pelos canais oficiais de atendimento da empresa.

• Verificar sites: Não envie nenhuma informação pessoal que você não gostaria que um hacker tivesse, a menos que tenha certeza de que um site é seguro. O rastreamento na Web e os corretores de dados podem sugar seus dados. Quase três quartos dos ataques de phishing envolvem um URL que começa com HTTPS, portanto, isso não é mais uma garantia de segurança - use o melhor software de criptografia para ajudar a proteger seus dados online.

• Altere as senhas regularmente: Os phishers não podem fazer muito com sua senha se ela não for mais válida. Atualize suas senhas periodicamente, usando um gerenciador de senhas para criar senhas fortes e armazená-las com segurança.

• Use a autenticação de dois fatores. A 2FA reforça a segurança de suas contas ao exigir um segundo método de verificação para fazer login na sua conta.

• Verifique suas contas: Analise seus extratos bancários, caso contrário, uma cobrança fraudulenta poderia passar despercebida. Bancos e operadoras de cartões de crédito geralmente são muito bons em detectar fraudes, mas você deve prestar muita atenção também às suas faturas e extratos.

• Use um bloqueador de anúncios: Esta dica poderia ser “não clique em pop-ups”, mas se você usar um dos melhores bloqueadores de anúncios, ele bloqueará a maioria dos pop-ups antes de você vê-los. Os pop-ups são vetores de phishing comuns e, se você vir um, nunca clique no próprio anúncio, mesmo se houver um grande botão no qual se leia “fechar”. Sempre use o pequeno X no canto.

• Leia e-mails como texto sem formatação: Esse é um truque bacana para ajudar a detectar esquemas de phishing por e-mail. Converta um e-mail em texto sem formatação e você poderá identificar endereços de imagens ocultos que não seriam visíveis no modo HTML.

• Use software de segurança: O melhor software de segurança da Internet terá uma boa ferramenta antivírus e um navegador da Web seguro para detectar automaticamente ataques de phishing e evitar que você se envolva com eles. Usar apenas o Windows Defender não é suficiente. E até mesmo os iPhones estão em risco, portanto, mantenha-se seguro com os melhores aplicativos de privacidade e segurança para iPhone.

• Bloquear spam: E-mails e mensagens de texto não solicitados são, em sua maioria, apenas lixo incômodo, mas podem ser usados por golpistas para enviar e-mails de phishing. Saiba como alterar suas configurações de privacidade para impedir e-mails de spam e bloquear textos de spam.

• Cuidado com o que você publica: Limite o que você revela online e remova informações pessoais que possam ser usadas para ataques.

Obtenha proteção líder do setor para ajudar a evitar ataques de phishing

Você terá muito menos trabalho se deixar uma ferramenta anti-phishing confiável assumir a responsabilidade. O Avast Free Antivirus detecta tentativas de phishing e as bloqueia antes que cheguem a você. Além disso, ele é atualizado automaticamente sempre que um novo ataque é descoberto e oferece proteção em tempo real contra as ameaças na internet, que estão em mudança constante.

Obtenha uma segurança online rígida que protege contra ataques de phishing, malware e outras ameaças.