Phishing: Entenda como funciona e as formas de proteger seus dados destes golpes

Olá! Vamos falar sobre um tipo de ataque atualmente muito comum na Internet: o Phishing. Segundo a Cartilha de Segurança do Registro.BR, Phishing, phishing-scam ou phishing/scam, é um tipo de fraude, na qual um golpista tenta obter dados pessoais e financeiros de um usuário, através da utilização combinada de meios técnicos e engenharia social. Ou seja, aproveitando-se da imagem e do relacionamento dos usuários com outras pessoas e canais de contato que utiliza.

Como o usuário é abordado no Phishing

Com o fácil ao acesso à internet pelos usuários, este tipo de ataque é realizado através do envio de mensagens eletrônicas (E-mail, mensagens recebidas através de aplicativos ou até mesmo publicações em páginas de redes sociais).

A exposição de informações dos usuários em seus perfis nas redes sociais, por sua vez, é o que permite os hackers acessarem dados e contatos que farão com que você confie nas ações fraudadas.

Dessa forma, as mensagens de phishing propõem familiaridade do usuário com ambientes, sendo que geralmente:

• Tentam se passar pela comunicação oficial de uma instituição conhecida, como um banco, uma empresa ou um site popular;
• Procuram atrair a atenção do usuário, seja por curiosidade, por caridade ou pela possibilidade de obter alguma vantagem;
• Informam que a não execução dos procedimentos descritos pode acarretar sérias consequências. Entre elas, a inscrição em serviços de proteção de crédito, o cancelamento de um cadastro, de uma conta bancária ou de um cartão de crédito, por exemplo;
• Tentam induzir o usuário a fornecer dados pessoais e financeiros por meio de páginas falsas que tentam se passar pela página oficial da instituição;
• Solicitam a instalação de códigos maliciosos, projetados para coletar informações sensíveis. Além disso, também pedem o preenchimento de formulários contidos na mensagem ou em páginas Web.

Para atrair a atenção do usuário as mensagens apresentam diferentes tópicos e temas. Sendo assim, normalmente exploram campanhas de publicidade, serviços, a imagem de pessoas e assuntos em destaque no momento. Por exemplo, a atual Pandemia de COVID19.

Reconhecer o Phishing é possível?

Há várias formas de ser atingido pelo phishing. Isso porque vivemos em uma cultura de acessos simultâneos através de vários dispositivos. Além disso, a exposição de informações pessoais em páginas ou perfis de redes sociais é cada vez maior.

Dessa forma, todos os canais possibilitam que o phishing seja elaborado, para você ser convencido de que a ação solicitada é verdadeira.

Páginas falsas de comércio eletrônico ou Internet Banking

Você recebe um e-mail, em nome de um site de comércio eletrônico ou de uma instituição financeira, que tenta induzi-lo a clicar em um link. Ao fazer isso, você é direcionado para uma página Web falsa, semelhante ao site que você realmente deseja acessar. Nela, portanto, são solicitados seus dados pessoais e financeiros.

Páginas falsas de redes sociais ou de companhias aéreas

Você recebe uma mensagem contendo um link para a rede social ou site da companhia aérea que você utiliza. Assim, ao clicar, você é direcionado para uma página Web falsa, a qual solicita seu nome de usuário e senha.

Dados que, ao serem fornecidos, serão enviados aos golpistas que poderão efetuar ações em seu nome. Por exemplo, enviar mensagens ou emitir passagens aéreas.

Mensagens contendo formulários

Você recebe uma mensagem eletrônica contendo um formulário com campos para a digitação de dados pessoais e financeiros. A mensagem solicita que você preencha o formulário, além disso apresenta um botão para confirmar o envio das informações. Ao preencher os campos e confirmar o envio, seus dados são transmitidos para os golpistas.

Mensagens contendo links para códigos maliciosos

Você recebe um e-mail que tenta induzi-lo a clicar em um link para baixar, abrir e executar um arquivo. Ao clicar, é apresentada uma mensagem de erro ou uma janela pedindo que você salve o arquivo. Assim, quando você o executar, será instalado um código malicioso em seu computador.

Solicitação de recadastramento

Você recebe uma mensagem, supostamente enviada pelo grupo de suporte da instituição de ensino que frequenta ou da empresa em que trabalha, informando que o serviço de e-mail está passando por manutenção e que é necessário o recadastramento. Para isso, é preciso que você forneça seus dados pessoais, como nome de usuário e senha.

Golpes de Phishing com o tema COVID-19

Para ilustrar a relação do atual cenário da Pandemia do COVID19 e os ataques phishing, é importante que você saiba que muitos golpistas se aproveitam do pânico de algumas pessoas e o utilizam como atrativos (iscas) para golpes. Veja alguns casos reais.

• OMS emitiu um alerta para ataques de phishing usando o tema coronavírus
• Golpe do Coronavírus é o mais novo ataque de phishing
• Especialistas combatem ataques virtuais relacionados a coronavírus
• Cibercriminosos tiram proveito da pandemia de coronavírus
• Coronavírus e ataques cibernéticos: não deixe seu computador ser infectado
• COVID-19 – Phishing the Whatsapp e Malware Made in Brazil

Formas de proteger os seus dados de golpes através de Phishing

Existem alguns pontos que podemos nos atentar antes de qualquer clique ou preenchimento de informações. Seguem algumas dicas de como se proteger desse tipo de ataque:

• Fique atento a mensagens recebidas em nome de alguma instituição que tente induzi-lo a fornecer informações, instalar ou executar programas ou clicar em links;
• Questione-se por que instituições com as quais você não tem contato estão lhe enviando mensagens. Por exemplo, se você não tem conta em um determinado banco, não há porque recadastrar dados ou atualizar módulos de segurança;
• Fique atento a mensagens que apelem demasiadamente pela sua atenção e que, de alguma forma, o ameacem caso você não execute os procedimentos descritos;
• Não considere que uma mensagem é segura de acordo com a confiança que você deposita em seu remetente. Ela pode ter sido enviada de contas invadidas ou perfis falsos;
• Seja cuidadoso ao acessar links. Procure digitar o endereço diretamente no navegador;
• Verifique o link apresentado na mensagem. Golpistas costumam usar técnicas para ofuscar o link real. Ao posicionar o mouse sobre o link, é possível ver o endereço real da página falsa ou código malicioso;
• Utilize mecanismos de segurança, como programas antimalware, firewall pessoal e filtros antiphishing;
• Verifique se a página utiliza conexão segura. Sites de comércio eletrônico ou internet banking confiáveis sempre utilizam conexões seguras quando dados sensíveis são solicitados;
• Verifique as informações mostradas no certificado. Caso a página falsa utilize conexão segura, um novo certificado será apresentado e, possivelmente, o endereço mostrado no navegador web será diferente do endereço correspondente ao site verdadeiro;
• Acesse a página da instituição que supostamente enviou a mensagem. Você observará que não faz parte da política da maioria das empresas o envio de mensagens, de forma indiscriminada, para os seus usuários.

Conclusão

O phishing é uma forma de roubar de informações, com a qual os usuários precisam estar atentos. É necessário utilizar a própria internet como fonte de informações contra esses ataques. Pesquise se as ações das organizações são verdadeiras e, antes de tudo, questione se esta comunicação faz ou não sentido para sua rotina.

Não caia em iscas! Mantenha seus dados seguros e conte com a Teletex para esclarecimentos e suporte ao seu negócio.

Até a nossa próxima publicação!