Você acaba de cair no Phishing 😱

O que é Phishing?

Phishing é um tipo de crime cibernético onde um criminoso finge fazer parte de uma instituição legítima para convencer as vítimas a entregarem suas informações pessoais. Os hackers costumam contatar seus alvos via email, telefone ou mensagens de texto e geralmente se aproveitam de táticas de comunicação ou identidades visuais que remetem ao estilo de empresas conhecidas.

“Você sabia? O primeiro caso de phishing conhecido foi registrado judicialmente em 2004, quando um adolescente da Califórnia criou um site falso e passou a obter informações confidenciais dos usuários. Com os dados obtidos, o jovem passou a retirar dinheiro das contas.” 

De onde vem o phishing ?

Os crimes de phishing podem chegar até você via email, SMS, ligações telefônicas, falsos sites e falsos pop-ups inseridos em sites desprotegidos, todos com uma abordagem atrativa. Os conteúdos podem ser dos mais variados, em nome de bancos, governo, instituições financeiras, como PayPal ou até mesmo Correios, sempre solicitando uma ação ou informação. Por exemplo, pode ser pedido para que abra determinado link ou arquivo, faça ligação ou instale/ atualize um software específico. Os criminosos utilizam de todas as formas para atacar os usuários e conseguir acesso à informações sigilosas das quais poderão se beneficiar.

Tipos de Phishing

• Spear Phishing: O spear phishing é um tipo altamente direcionado de ataque de phishing. Os atacantes dedicam tempo e esforço para pesquisar informações sobre alvos específicos, como funcionários de empresas, executivos ou pessoas de interesse. Com base nessas informações, eles criam mensagens de phishing personalizadas, geralmente por e-mail, que parecem vir de fontes legítimas, como colegas de trabalho ou parceiros comerciais. Essas mensagens são projetadas para enganar as vítimas, fazendo-as acreditar que as solicitações são legítimas, levando-as a clicar em links maliciosos ou compartilhar informações confidenciais. 

• Qhishing: Nova prática de phishing por QR Codes ganha espaço no cibercrimetravés dos QR Codes, os agentes hostis podem entregar outros tipos de conteúdos maliciosos, direcionando a malwares infostealers ou mesmo para páginas falsas de login, para o usuário entregar esses dados sem perceber.  

• Scam: Os golpes de phishing scam são tentativas dos criminosos de induzi-lo a fornecer informações pessoais, como números de contas bancárias, senhas e números de cartão de crédito, através da abertura de links ou arquivos contaminados. Essas informações serão usadas para usar sua conta indevidamente, roubar dinheiro e realizar transações. O contato pode ser feito via telefone, email, mensagem de texto ou pelas redes sociais. 

• Blind Phishing: O blind phishing é o tipo mais comum e não direcionado de ataque de phishing. Os criminosos enviam uma grande quantidade de e-mails fraudulentos, sem alvos específicos em mente e sem estratégia definida. Esses e-mails geralmente se fazem passar por instituições financeiras, empresas de renome ou serviços populares. Eles solicitam que os destinatários cliquem em links, forneçam informações pessoais, como senhas ou números de cartão de crédito, ou baixem anexos maliciosos. Os ataques de blind phishing se baseia no volume de e-mails enviados, os atacantes esperam que alguns destinatários desavisados caiam na armadilha. 

• Smishing: O smishing é um tipo de phishing que ocorre por meio de mensagens de texto SMS. Os atacantes enviam mensagens falsas que solicitam que as vítimas cliquem em links maliciosos ou respondam com informações confidenciais, como números de telefone ou códigos de autenticação. Essas mensagens geralmente alegam ser de instituições financeiras, empresas de entrega ou serviços governamentais, criando uma falsa sensação de urgência para induzir as vítimas a agirem rapidamente. 

• Pharming: é quando acontece o envenenamento do DNS (o sistema que traduz os números dos IP’s em nomes de domínio) e atinge os usuários em uma larga escala. Sempre que o usuário busca por um site na internet, ao digitar a URL (por exemplo google.com.br), o DNS resolve o nome do domínio para o número de IP do servidor. Mas se o DNS está comprometido, a URL digitada poderá levar o usuário para uma página falsa criada para o ataque. 

• Whaling: O termo “whaling” vem do inglês e significa “caçando baleias”. Esse é um tipo de phishing  que está ligado a importância do alvo, ou seja, é direcionado a figuras de alto escalão em organizações, como CEOs ou diretores executivos. Os atacantes visam obter informações confidenciais valiosas desses líderes corporativos. Eles podem enviar e-mails personalizados que parecem vir de fontes confiáveis, como parceiros comerciais ou advogados, solicitando informações sensíveis ou ações específicas. 

• Vishing: O nome vishing é porque esse ataque utiliza mecanismos de voz e de chamadas, como Voice over IP (VoIP) e Plain Old Telephone Services (POTS), para aplicar o golpe. Os atacantes usam chamadas telefônicas para se passar por autoridades legítimas, como representantes de bancos, órgãos governamentais ou suporte técnico de empresas. Eles solicitam informações confidenciais, como números de conta bancária ou senhas, explorando a confiança das vítimas. 

• Phishing de Mídia Social: O phishing em mídia social ocorre nas plataformas de redes sociais, como Facebook, Instagram LinkedIn ou Twitter. Os atacantes criam perfis falsos que se assemelham a amigos ou contatos de confiança e iniciam conversas ou compartilham links maliciosos. Eles podem pedir informações pessoais ou persuadir as vítimas a clicar em links maliciosos.  

• Clone phishing: este golpe clona um site original para atrair os usuários. Geralmente, ao acessar o site falso, a pessoa tem que inserir informações cadastrais em um formulário malicioso que transmitirá as informações para os criminosos. Em seguida o usuário é direcionado para a página original sem perceber que foi vítima. 

E como reconhecer phishing ?

Mas como saber se o contato que você está recebendo é de fato phishing?

Existem algumas questões que podem ser avaliadas antes de simplesmente entregar os seus dados para os criminosos mascarados de heróis, sem cair em uma armadilha.

• Quando a esmola é demais… Já dizia o ditado, “quando a esmola é demais, o santo desconfia”. Quando você receber ofertas muito lucrativas sem precedentes ou declarações como “sua restituição de imposto de renda no valor de R$ 15 mil está liberada”, desconfie. São apenas iscas para atrair o seu clique em links maliciosos que vão roubar os seus dados.

• Loteria premiada: Muitos enviam declarações de ganhadores de prêmios, viagens, smartphones e carros. Tudo vem de graça e muito fácil. Não clique. Campanhas e sorteios podem ser verificados diretamente nos sites dos anunciantes antes de ter uma ação errada, que é clicar e “cair na rede”.

• Eles querem falar com você e querem agora: O senso de urgência é uma característica comum dos criminosos virtuais. Eles pedem que você aja rápido para criar o sentimento de urgência e, se você não fizer o que ele pediu naquele momento, você vai perder esta super chance da sua vida. Ignore estes emails.

• Ameaças: Frases de efeito como “seu serviço será suspenso se…” ou “sua conta foi bloqueada, clique aqui para verificar” são abordagens comuns de phishing. Mais uma vez, verifique diretamente com a instituição referida, seja banco ou órgão governamental (os mais usados), antes de qualquer medida. Empresas sérias nunca dão prazos curtos e com esse tipo de abordagem aos clientes e usuários.

• Links externos: Estes emails ou mensagens vêm acompanhados de links externos para que você clique e então abra as portas para a invasão. Um jeito de verificar a intenção deste link antes de clicar é passar o mouse em cima do link para ver a URL. Mas fique atento. Os criminosos registram domínios muito parecidos com o domínio original da empresa em que fingem ser. Outra opção é clicar com o botão direito do mouse para copiar o link e colar no bloco de notas, assim pode ver para onde está sendo direcionado, embora alguns deles eles utilizam o encurtador de URL para mascarar o link original.

• Arquivos maliciosos: Ao receber emails de desconhecidos, que já são por si só suspeitos, fique atento quanto aos anexos da mensagem. Extrato de conta, comprovante de depósito, multa ou até propostas de trabalho são gatilhos usados para induzir o usuário a clicar em links que contém vírus e roubam dados.

• Remetente desconhecido: Se receber mensagens de remetentes que não conhece, suspeite. O mesmo vale para bancos, empresas grandes com quem não tem vínculo ou de personagens estrangeiros. Até o Google e o Facebook já foram vítima de phishing! O lituano Evaldas Rimasauskas se passou pela empresa Quanta Computer, que tem as duas grandes empresas como cliente, e conseguiu a transferência de 100 milhões de libras aproximadamente.