Phishing é um crime cibernético que tenta roubar dados confidenciais do usuário com isca, por isso o nome é semelhante a fishing ou seja “pescaria” em inglês.
Em suma, a maioria dos esquemas de phishing fica na sua caixa de entrada de e-mail como e-mails aleatórios solicitando que você verifique sua identidade ou clique em links maliciosos.
Contudo, existem outros golpes de phishing. Os invasores também fazem phishing por meio de chamadas de voz, mensagens de texto e mídias sociais. Vamos saber mais sobre phishing neste artigo.
O que é phishing?
O phishing não é um vírus, mas é um dos métodos mais comuns usados pelos cibercriminosos para enganar e obter informações confidenciais de forma fraudulenta. Pode ser uma senha ou informações detalhadas sobre o cartão de crédito da vítima ou outras informações bancárias.
Basicamente, o golpista usa técnicas de engenharia social e se apresenta como uma pessoa ou empresa confiável em uma aparente comunicação eletrônica oficial.
Geralmente através de um sistema de e-mail ou mensagens instantâneas, redes sociais, SMS/MMS, seguindo malware ou até mesmo usando chamadas telefônicas. Existem diferentes ataques de phishing, como spoofing de e-mail e spear phishing; como você verá a seguir.
História do phishing
Foi em meados dos anos noventa que o “phishing” começou a ser chamado por esse nome. Obviamente, o significado de pescar faz sentido, já que todos os ataques de phishing são pescar informações – mas e o “ph”? O “ph” é na verdade derivado do termo phreaks, que era a linguagem que descrevia os primeiros hackers.
Você pode se surpreender ao saber que o phishing se originou em 1995 – embora o grande público só tenha se familiarizado com ele quase 10 anos depois. A primeira menção de phishing ocorreu em janeiro de 1996, em uma sala de bate-papo da America Online.
A AOL foi um dos principais alvos dos primeiros golpes de segurança cibernética porque a empresa forneceu acesso à Internet a milhões de usuários, muitos dos quais se revelariam alvos desavisados.
O que é irônico é que muitos dos hackers também usaram a AOL para se conectar. Eles criariam números de cartão de crédito gerados aleatoriamente e tentariam abrir contas da AOL com eles. Em seguida, eles enviavam mensagens para usuários que pareciam vir de funcionários da AOL.
Tipos de phishing
O phishing é uma ameaça cada vez mais frustrante porque existem várias maneiras pelas quais os perpetradores atacam. Aqui estão os tipos de phishing mais comuns:
1. Spear phishing
Isso implica uma técnica em que o phisher tem como alvo um indivíduo ou grupo específico de indivíduos, em vez de uma base de usuários genérica.
Esses ataques são bem-sucedidos justamente porque são mais personalizados. O criminoso personaliza e-mails com o nome do destinatário, empresa, número de telefone e informações semelhantes, fazendo com que o alvo acredite que eles compartilham alguma forma de conexão com o remetente.
Alcançar e-mails de spear phishing convincentes leva muito tempo, pois o phisher precisa adquirir vários dados de várias fontes. Não é de admirar, então, que esse tipo de ataque malicioso seja predominante em plataformas de mídia social como o LinkedIn, onde o phisher pode utilizar táticas de engenharia social.
2. Clone phishing
Outra variação dos ataques de spear phishing é o clone phishing. Nesse ataque, os alvos recebem uma cópia (ou “clone”) de uma mensagem legítima que receberam anteriormente, mas com alterações específicas que o invasor fez na tentativa de enganar o alvo (por exemplo, anexos maliciosos, links de URL inválidos, etc.)
Como esse ataque é baseado em uma mensagem legítima vista anteriormente, ele pode ser eficaz para enganar um alvo.
3. 419/ scams nigerianos
Este é um golpe em que a vítima é levada a desembolsar dinheiro com a promessa fraudulenta de obter uma quantia maior no futuro.
O golpe toma a forma de uma carta, fax, e-mail ou outra comunicação que pede um ‘investimento’ (relativamente) pequeno da vítima, necessário para desbloquear fundos em outro país, com a promessa de riquezas futuras.
Tais fraudes se originaram na Nigéria, e portanto, seu nome deriva do artigo relevante do Código Penal nigeriano que torna ilegal a obtenção de propriedade por falsos pretextos. Mais tarde, eles se espalharam para outras partes da África.
4. Phone phishing
Vishing, Phone Phishing ou ainda Voice Phishing, é uma técnica na qual o phisher faz uma ligação telefônica se passando por uma empresa ou entidade.
As técnicas utilizadas são semelhantes às que podemos encontrar no phishing (comunicar um problema com um serviço, o método de pagamento ou esse estilo). Desse modo, o objetivo é que a vítima forneça informações pessoais da conta bancária.
Como identificar um ataque de phishing?
Agora que você conhece os ataques de phishing mais comuns, vamos ver como você pode identificá-los para evitar ser vítima deles.
Todos os ataques de phishing se baseiam em roubo de identidade, seja por e-mail, por meio de um site falso ou, como vimos, até por telefonemas. Portanto, a maneira de identificá-los é prestar atenção aos detalhes.
Por outro lado, alguns phishers falsificam e-mails ou sites nos mínimos detalhes, mas sempre há algo que eles não podem falsificar completamente: o endereço de origem do e-mail ou o URL do site.
É aqui que devemos ficar mais atentos. Portanto, verifique sempre o endereço do remetente e, se achar suspeito, não clique nos links que ele possa conter ou baixe anexos.
Quanto às páginas da web, a primeira coisa que você deve observar é se o endereço começa com “ https: // ”, esse “s” é a chave e nos diz que estamos em um site seguro, assim como o cadeado que aparece à esquerda da barra de navegação. Veja mais dicas abaixo de como se proteger de golpes de phishing.
Como se proteger?
1. Proteja seu computador usando software de segurança ou antivírus
Configure o software para atualizar automaticamente para que ele possa lidar com novas ameaças de segurança.
2. Proteja seu celular configurando o antivírus para atualização automática
Essas atualizações do seu antivírus podem fornecer proteção crítica contra ameaças de segurança.
3. Proteja suas contas usando a autenticação multifator
Algumas contas oferecem segurança extra exigindo duas ou mais credenciais para fazer login na sua conta. Isso é chamado de autenticação por dois fatores ou multifator. Aliás, a autenticação multifator dificulta o login dos golpistas em suas contas se eles obtiverem seu nome de usuário e senha.
4. Proteja seus dados fazendo backup
Faça backup de seus dados e verifique se esses backups não estão conectados à sua rede doméstica. Você pode copiar os arquivos do seu computador para um disco rígido externo ou armazenamento em nuvem. Além disso, faça backup dos dados em seu telefone.
Fontes: Prodest, Avast, Hostinger, Malware bytes
Saiba mais sobre outros golpes e crimes na internet aqui: O que é ransomware? Entenda sobre a ameaça e saiba como removê-la