E-mails, redes sociais e e-commerce são algumas das coisas que facilitam e fazem parte do nosso dia a dia cada vez mais conectado. Se, por um lado, elas são indispensáveis, por outro, essa grande movimentação digital também traz riscos, sendo o phishing um dos mais populares.
Com um modo de operação simples, esse tipo de ataque cibernético é cada vez mais comum e afeta milhões de pessoas diariamente. E olha que o golpe vem sendo aperfeiçoado a cada momento que passa, dificultando a nossa vida.
Apesar disso, ainda é possível identificar essa e outras ameaças, bem como adotar hábitos saudáveis para evitar problemas no mundo digital. Nesse sentido, o primeiro passo é conhecer os crimes cibernéticos, como o phishing, e saber quais as principais medidas a tomar para se proteger. Vamos entender como isso funciona?
O que é phishing?
O phishing é uma das inúmeras fraudes que ocorrem na internet, usando da engenharia social para roubar dados pessoais de usuários.
Ou seja, em um ato de má-fé, o bandido se passa por outra pessoa, geralmente uma figura com o respeito desse usuário, para ganhar confiança e atingir seu objetivo – conseguir dados que ainda não tem, pegar informações de cartões bancários e por aí vai.
E não precisa ser uma pessoa. O golpista pode fingir ser de alguma grande empresa, ONG ou outra entidade para agir, sempre em plataformas digitais.
Aí você pode se perguntar: mas por que esse termo phishing? Para quem associou com fishing (no português, o ato de pescar), o caminho é esse mesmo!
Essa nomenclatura vem da junção de phreaking (pegadinha) + fishing. Basicamente, é a ação de jogar iscas pela infinidade de contas existentes na internet e tentar fisgar alguma.
Não confunda com spam
Ah, mas o spam também chega nos e-mails ou no privado das redes sociais. É o mesmo que phishing? Não!
O spam nada mais é que o lixo eletrônico, com inúmeros anúncios de empreendedores, marcas e assim por diante. Eles só querem tentar vender alguma coisa para você –– apesar de, muitas vezes, serem incômodos e invasivos.
Já o phishing tem intenções mais maldosas: como vimos, roubar seus dados. E, diferentemente do spam, que dá para cancelar o recebimento em muitos casos, aqui é preciso redobrar os cuidados.
Como o phishing funciona?
Quem nunca recebeu um e-mail de banco pedindo a confirmação de informações ou um SMS de oferta que parecia boa demais para ser verdade?
Muitas vezes, contatos como esses podem ser tentativas de ataque de phishing. Em outras palavras, esse golpe nada mais é do que o envio de comunicações, geralmente feitas por e-mail, que parecem ser de fonte confiável, mas não são.
Assim, com um aviso de conta atrasada, por exemplo, você é levado a clicar em um site ou baixar um anexo. Dessa forma, o aparelho utilizado na conexão fica vulnerável a softwares maliciosos, os malwares, que podem acessar dados e outras informações.
Há, ainda, casos em que a vítima pode passar informações de login, senha e dados financeiros para o que acredita ser seu gerente do banco.
Dados sobre o phishing
Praticamente qualquer pessoa está sujeita a essas situações. O alvo aqui não é alguém sem instrução ou afinidade com a tecnologia: é qualquer um que o golpista encontra pela frente.
Para você ter uma ideia, até uma das juízas do Shark Tank já caiu no golpe do phishing. Em 2020, o contador dela recebeu um e-mail que se parecia bastante com o da assistente, com um boleto a ser pago em quase 40 mil dólares.
O caso só foi descoberto quando, em um segundo momento, o contador enviou um e-mail para o endereço eletrônico correto, com dúvidas sobre a transação.
Aliás, de acordo com uma pesquisa da Device Fraud Scan, o país registrou no ano passado 3,7 tentativas de fraude por minuto entre as 9h e 20h. Segundo a Federação Brasileira de Bancos (Febraban), 2021 marcou um aumento de 80% nos ataques de phising.
Por outra pesquisa, da Atividade Criminosa Online no Brasil, temos que o nosso país é o campeão quando se fala em fraudes e vazamento de dados.
Momentos para ficar de olho nas fraudes
Os criminosos se aproveitam especialmente de épocas com desastres naturais, enchentes ou mesmo durante a pandemia. Isso porque essas situações são mais atraentes para quem quer se informar ou ainda ajudar de alguma maneira.
Por outro lado, também usam algumas datas sazonais para aumentar os ataques, pelo maior apelo que têm. Tome como exemplo a Black Friday. Muitos consumidores estarão atentos e sedentos por promoções.
Com chamadas que seduzem e despertam o senso de urgência, o usuário pode cair mais facilmente no golpe e entregar seus dados de bandeja para as "falsas varejistas".
Por essa razão, é bom ficar atento aos sinais que ajudam a reconhecer o phishing antes que ele se torne um problemão daqueles.
Como reconhecer a comunicação fraudulenta?
A intenção do comunicado
A comunicação fraudulenta costuma ser vaga e genérica, comentando algum problema em uma conta pessoal.
Outra opção é falar sobre temas em tendência, como desastres naturais, utilizando elementos-chave de call to action, ou seja, que fazem a pessoa clicar em links ou fazer download de arquivos.
Pediu informações pessoais, confirmação de algum dado de cartão? Pode desconfiar! As empresas raramente fazem isso, até por questões de segurança.
Em outros casos, os golpistas podem ir além e falar de contas vencidas, possibilidade de sujar seu nome nos órgãos de proteção de crédito e até usar seus dados reais (CPF, por exemplo).
Aqui, há a combinação de deixar o usuário preocupado e inserir algo que deixe a mensagem mais confiável. No desespero, alguém pode clicar no link, passar mais dados e assim por diante. Não seja essa pessoa! Tenha calma, em primeiro lugar.
Algumas das tentativas alarmantes comuns envolvem:
- Alerta de banco sobre desatualização de dados, pontos expirando, fatura vencida, débitos etc.;
- Você ganhou um prêmio muito fantástico em um sorteio;
- Sua fatura está com problema ou a empresa não recebeu o pagamento;
- O governo está atrás de você por um delito grave.
O endereço de envio do e-mail
Por vezes, a mensagem pode ser quase idêntica à original, mas golpes de phishing não incluem roubar o endereço de correio eletrônico.
Assim, em vez de estar contato@banco.com, é possível que seja próximo ao domínio verdadeiro, com o uso de outros provedores como hotmail, gmail ou yahoo. Exemplo: contatobanco@provedor.com.
Outras vezes, em tentativas mais rudimentares, os golpistas nem se dão ao trabalho de deixar o e-mail parecido. Enviam o phishing com endereços eletrônicos cheios de números e letras aleatórias.
A escrita
Na pressa ou, muitas vezes, no desconhecimento da gramática e ortografia, as mensagens no e-mail, SMS ou rede social vão com erros. Pode ser de digitação, ç por ss, falta de plural e por aí vai. Na maioria dos casos, acontecem não só uma, mas diversas ocorrências no mesmo parágrafo.
Pense bem: as grandes marcas e personalidades têm equipes para idealizar e revisar qualquer comunicado. Elas não iriam deixar passar erros tão grotescos, concorda?
Os links
Nos e-mails de phishing, muitas vezes, há um link para captar dados, levar a compras falsas e assim por diante. Se você não desconfiou do e-mail, essa é a hora de ter ainda mais atenção.
Sempre verifique a URL. Por exemplo, a nossa aqui é:
Os golpistas podem fazer um site quase idêntico ao nosso, com as fontes, cores e ícones parecidos. Mas você vai descobrir isso pela URL, caso tenha alguma letra trocada, palavras antes ou depois, subdomínios estranhos etc.
A saudação
A mensagem começou com "Prezado cliente"? Outro ponto de alerta. É claro que algumas empresas podem usar essa saudação. Mas, na maioria dos casos, elas buscam a aproximação com os consumidores e, para isso, utilizam o primeiro nome.
Anexos
Essa é outra tática de phishing nos e-mails. Os golpistas enviam alguns anexos maliciosos que, quando clicados pelo usuário, dão acesso ao computador.
Por isso, evite clicar neles também!
Quais são os principais tipos de phishing?
O phishing caracteriza qualquer comunicação fraudulenta com objetivo de obter informações pessoais confidenciais ou ainda de instalar um malware na máquina. Contudo, existem tipos diferentes dessa ameaça dependendo do meio pelo qual atua e do foco.
Spear Phishing
É um tipo de ataque que tem como alvo indivíduos específicos ou organizações. Afinal, por meio de e-mails pessoais também é possível atingir empresas, caso infecte o computador de um administrador de sistema, desenvolvedor ou executivo.
Por sua vez, o modelo é utilizado, principalmente, a fim de obter informações confidenciais que possam ser vendidas por altos preços para partes interessadas.
Voice Phishing
Não é apenas via computador que esse golpe pode ser aplicado. Assim, o phishing de voz é uma chamada telefônica que, supostamente, é de uma instituição confiável projetada para conseguir informações tais como credenciais de login.
Essa situação é cada vez mais comum no mundo e no Brasil. No país, os registros aumentaram 340% durante a pandemia em ameaças com falsa central telefônica ou funcionário.
Clone Phishing
Essa é uma forma bastante perigosa, pois se baseia na cópia de um e-mail legítimo recebido pelo usuário que contém um link ou anexo. Assim, os criminosos trocam os arquivos e enviam uma duplicata.
Para quem recebe contas de luz e internet via correio eletrônico, esse pode ser um grande problema. Afinal, a comunicação é idêntica e, por isso, pode não gerar suspeita. De novo, aqui é fundamental checar o remetente.
Phishing nas redes sociais e apps de conversa
Para quem pensa que os ataques se restringem a e-mails, a realidade está longe disso e bem perto de algo que nos acompanha diariamente: as redes sociais. O phishing também é uma prática comum nos sistemas Android e iOS, via SMS, bem como nas plataformas Instagram, Facebook, WhatsApp e TikTok.
Um desses exemplos é o SMS Phishing, que consiste em mensagens de texto enviadas para o celular com links maliciosos. Nas redes sociais, anúncios e links também podem levar à perda de acesso à conta. Abaixo, saiba o que fazer nesses casos.
Facebook e Instagram
Depois de muitos relatos sobre e-mails falsos e invasão de contas nas redes sociais, todo cuidado é pouco.
Para começar a se proteger, fique atento ao remetente. Informações relacionadas à sua conta só serão enviadas pelos endereços @mail.instagram.com ou @facebookmail.com.
Além do mais, é possível ativar a autenticação de dois fatores. Isso garante que, mesmo que uma pessoa possua sua senha, ela ainda precise ser autorizada a acessar o perfil.
Porém, se você acredita que já foi vítima de phishing, clicando em um e-mail que pediu login, por exemplo, outros cuidados são necessários:
- Se ainda consegue acessar sua conta, altere a senha e desconecte todos os dispositivos ligados a ela;
- Se perdeu o acesso ao seu perfil, pode solicitar um link de login. Para isso, clique em “Obter ajuda para entrar”, no Android, ou em “Esqueceu a senha?”, no iPhone. Em seguida, coloque o nome de usuário, o contato associado à sua conta (e-mail ou telefone) e toque em “Enviar link para login”. Depois, basta seguir as instruções dessa comunicação.
Um ataque bastante comum hoje em dia é o roubo de WhatsApp. Assim, o criminoso consegue falar com amigos e familiares e até pedir dinheiro. Aliás, se receber mensagens assim, desconfie e ligue para a pessoa para confirmar.
Esse tipo de phishing acontece de forma simples: entram em contato e requisitam uma senha recebida por SMS para continuar o atendimento. Porém, o que é recebido é o código de confirmação do WhatsApp. Quando ele é compartilhado, perde-se o acesso à conta naquele celular.
Uma maneira de se proteger dessa situação é nunca repassar esse tipo de verificação, bem como acionar a autenticação de dois fatores. Entretanto, caso você suspeite que outra pessoa já está usando sua conta, pode recuperá-la da mesma forma.
Basta entrar no aplicativo com seu número de telefone, utilizar o código de seis dígitos que receber e, em alguns casos, colocar a senha de duas etapas.
Assim, a conta voltará ao seu aparelho. Caso o criminoso também tenha alterado a segunda etapa de autenticação, ainda é possível bloquear o uso, mas o acesso só retorna para você depois de sete dias.
Como se prevenir desse ataque cibernético?
Sabemos que ao mesmo tempo em que os golpes de phishing estão se atualizando e ficando mais sofisticados, é possível se prevenir. Veja como!
Redobrar a atenção
Ser vigilante com seus e-mails pessoais e até do trabalho, bem como com as redes sociais é uma prática que pode evitar muitas dores de cabeça futuras.
Isso porque a tendência para os próximos anos é de que esse tipo de ameaça continue crescendo, principalmente considerando que estamos cada vez mais conectados.
A regra geral é sempre ter atenção e realizar a conferência de remetentes antes de acessar qualquer coisa.
Não clique em qualquer link ou arquivo
Agora você sabe que links, anexos e outros arquivos são suspeitos até que se prove o contrário. E, se não tem certeza, melhor não clicar diretamente neles.
Procure alternativas não só para checar os cenários, mas para fugir ao máximo da abertura desses formatos de conteúdo. Evite dar acesso a golpistas!
Se abriu algum link, verifique a URL antes de qualquer outro passo. Veja se tem https no início e aquele ícone de cadeado ao lado. Do contrário, não compartilhe nenhuma informação por ali.
Cuidado com onde coloca suas senhas
Não estamos falando de salvar suas senhas em qualquer lugar do celular – embora essa seja uma prática que mereça mais cuidado!
Estamos falando mesmo é das páginas de login que dão acesso a contas importantes (de redes sociais, e-commerce com cartão salvo etc.).
Não vá colocando sua senha em qualquer um deles. Verifique primeiro se está em um site confiável e, mais uma vez, evite abrir links de e-mails ou SMS.
Utilize filtros antiphishing
Alguns navegadores já contam com filtros que bloqueiam phishing automaticamente. No geral, ele consegue ler as URLs suspeitas e/ou maliciosas e avisa ou bloqueia o acesso.
Para ativar os filtros antiphishing, pesquise nas páginas de extensões do seu navegador. Então, é só fazer a instalação e acessar com mais tranquilidade. Mas não vale dar bobeira só porque tem essa ferramenta, combinado?
Tenha um antivírus
Também é recomendado contar com medidas adicionais de segurança, como um bom antivírus. Assim como os navegadores, eles já têm alguns algoritmos para identificar determinados golpes e, se não barrarem a visualização, pelo menos te sinalizarão dos riscos.
Proteja suas redes sociais e apps de mensagem
A engenharia social, que já falamos aqui, é um grande perigo para esses aplicativos. O bandido se passa por alguém e tenta convencer você a enviar algumas informações importantes – por exemplo, o código de acesso ao seu WhatsApp.
Eles falam que são códigos para outra finalidade e podem insistir bastante. Já com acesso à sua conta, podem ir em busca de novas vítimas entre seus contatos.
Por isso, o principal passo é habilitar a autenticação em dois fatores. Isso ajuda a reforçar a sua segurança e colocar mais uma barreira com verificação para evitar acessos de terceiros não autorizados.
E a dica mais óbvia: nunca, jamais, em momento algum compartilhe senhas, códigos ou outras informações (até mesmo com pessoas conhecidas). Melhor se proteger de todas as formas!
Na dúvida, sempre desconfie
Ainda que a maioria das tentativas pisem na bola em algum quesito, pode ter certeza que virão outras mais sofisticadas. Não duvide da capacidade técnica dos golpistas.
Você pode dar de cara com sites muito parecidos, e-mails ou mensagens que parecem reais e/ou confiáveis. Mas, se em qualquer momento, acender aquele alerta na sua mente, desconfie.
Se a promoção for boa demais ou o comunicado for muito alarmante, desconfie também. Melhor pecar pelo excesso de preocupação nesses casos.
Jogue no Google a sua dúvida –– por exemplo, se o e-mail fala que o banco está fazendo uma grande operação de fechar contas que não têm atualização dos dados, procure por notícias em grandes portais. Certamente isso seria pauta, caso fosse real.
Ou, então, abra o e-commerce do varejista pelo navegador, em vez de clicar no link enviado por SMS ou e-mail com aquela promoção de arrasar. Se ela realmente existir, estará no site!
Prevenir é a melhor solução para se proteger dos riscos do phishing e aproveitar as oportunidades do mundo digital! Como vimos, essa é uma ameaça silenciosa e cada vez mais presente nos meios online em que convivemos. Todo cuidado é pouco.
Antes de ir embora, que tal ler mais sobre segurança da informação para evitar esses e outros golpes na internet?
Até a próxima!
Dicas de segurança para proteger seu celular
Saiba como usar antivírus e antimalware com as dicas do Vivo Guru
Leia também: