O phishing online, que visa roubar informações confidenciais de um indivíduo por meio de e-mails ou páginas web falsas, é uma verdadeira praga que afeta particularmente os franceses. É uma tática comum que é imperativo conhecer para se proteger, ainda mais porque os cibercriminosos são cada vez mais criativos em seus ataques. Aqui estão os pontos essenciais para melhor compreender e evitar o phishing online.
O que é phishing?
O phishing, ou pescaria em português, é uma técnica de engenharia social usada por fraudadores ou hackers com o intuito de furtar as informações pessoais de um indivíduo, como suas senhas, informações bancárias e outros dados confidenciais.
Geralmente, apresenta-se na forma de um e-mail aparentemente enviado por uma entidade conhecida da vítima (banco, segurança social, impostos, operadora de telefonia, PayPal, etc.), que é convidada a responder ou clicar em um link por algum motivo. Esse link pode, ou redirecionar o indivíduo para uma página onde ele é solicitado a informar suas informações pessoais, ou permitir que um programa malicioso penetre diretamente em seu computador.
Uma vez que isso é feito, os malfeitores têm essas informações e podem ou usá-las (roubar sua identidade, acessar suas contas, etc.), ou revendê-las.
Trata-se claramente de uma usurpação de identidade, pois o cibercriminoso se faz passar por outra pessoa para enganar a confiança da vítima.
Para enganar mais facilmente a vítima, a mensagem pode às vezes induzir uma situação urgente ou estressante, como pressionar o destinatário ameaçando-o com uma multa ou prisão se ele não regularizar um pagamento.
Quais são os principais tipos de phishing online?
O phishing Spray and Pray consiste em enviar a um grande número de endereços um e-mail cujo objetivo é gerar nos destinatários um sentimento de urgência para que estes reajam sem realmente pensar. Geralmente, convida a responder diretamente fornecendo suas informações ou a clicar em um link malicioso.
O spear phishing, ou pescaria direcionada, é semelhante ao « spray and pray », mas em uma versão mais avançada pois dirige-se desta vez a um público alvo com mensagens mais personalizadas, muitas vezes imitando uma organização conhecida do destinatário para furtar suas informações.
O whale phishing (« whale » para « baleia » em inglês) é direcionado aos grandes responsáveis de organizações (diretores, CEOs, executivos de alto escalão, etc.). Os fraudadores, preliminarmente, estudam com atenção seu alvo para criar uma mensagem perfeitamente direcionada e elaborada, passando-se por uma pessoa de confiança. Eles pedem então ao responsável em questão uma soma de dinheiro ou informações confidenciais, fazendo acreditar que tal pedido é justificado.
O pharming é uma das mais perigosas formas de ataques. Consiste em explorar as falhas dos serviços DNS. O fraudador enviará e-mails fraudulentos parecendo vir de fontes confiáveis, instigando os destinatários a tomar uma ação rápida como alterar uma senha. Estas pessoas serão então redirecionadas para uma página falsa parecida em todos os aspectos com a verdadeira. Uma vez que as informações sejam preenchidas, o fraudador poderá então recuperá-las.
Como detectar e evitar uma tentativa de phishing?
Primeiro, é imperativo ler com atenção um e-mail vindo de uma organização (mesmo conhecida) ou de um remetente que você não conhece. Verifique a construção das frases, a ortografia, mas também e principalmente a url da página e o endereço de e-mail completo do remetente. No que se refere à url, passe o cursor sobre ela para visualizá-la completamente, em seguida compare-a com a da página do site verdadeiro aberto anteriormente em seu motor de busca, a fim de verificar se alguns elementos diferem.
Tenha sempre em mente que entidades confiáveis (banco, governo, etc.) nunca pedem aos usuários para transmitir por e-mail suas informações confidenciais.
Outro detalhe a ser considerado: se a mensagem transmite um forte sentimento de urgência e coloca sobre você ameaças, verifique bem os elementos acima. O mesmo vale para e-mails que anunciam o ganho de uma grande soma de dinheiro saindo do nada.
Por fim, recomenda-se usar uma VPN para garantir a segurança de suas atividades online.
