Phishing é um termo originado do inglês (fishing) que em computação se trata de um tipo de roubo de identidade online. É o tipo mais simples de ataque online e, ao mesmo tempo, o mais perigoso e eficiente.
O que é phishing?
Phishing é o crime de enganar as pessoas para que compartilhem informações confidenciais como senhas e número de cartões de crédito. Como em uma verdadeira pescaria, há mais de uma maneira fisgar uma vítima, mas uma tática de phishing é a mais comum. As vítimas recebem um e-mail ou uma mensagem de texto que imita (ou “engana”) uma pessoa ou organização em que confiam, como um colega de trabalho, um banco ou um órgão governamental. Quando a vítima abre o e-mail ou o texto, eles encontram uma mensagem assustadora que induz a deixar o bom senso de lado ao deixá-los com medo. A mensagem exige que a vítima acesse um website e execute uma ação imediata ou assuma um risco por algum tipo de consequência.
Se os usuários mordem a isca e clicam no link, eles enviam uma imitação de um website legítimo. A partir daí, eles pedem para fazer o login com nome de usuário e senha. Se forem ingênuos o bastante para obedecer, as informações de acesso são enviadas aos ladrões que as usam para roubar identidades, roubam contas bancárias e vendem os dados pessoais no mercado negro.
Diferente de outros tipos de ameaças online, o phishing não requer um conhecimento técnico muito sofisticado. Na verdade, segundo Adam Kujawa, diretor do Malwarebytes Labs, “Phishing é o tipo mais simples de ciberataque e, ao mesmo tempo, o mais perigoso e eficiente porque ele ataca o computador mais vulnerável e poderoso do planeta: a mente humana.” Os phishers não tentam explorar uma vulnerabilidade técnica do sistema operacional de seu dispositivo — eles usam a “engenharia social”. De Windows e iPhones até Macs e Androids, nenhum sistema operacional está completamente seguro contra phishing, não importa quão eficiente é a segurança. Na verdade, os criminosos recorrem ao phishing porque não conseguem encontrar vulnerabilidades técnicas. Por que perder tempo derrubando camadas de segurança se você pode induzir alguém a lhe entregar a chave? Mais do que nunca, o elo mais fraco em um sistema de segurança não é uma falha técnica enterrada em um código de computador, mas sim o ser humano que não verifica com cuidado de onde veio o e-mail. Atente-se e não caia nesse golpe!
Dicas para não cair no golpe de phishing
Quem é o remetente?
Ao receber comunicações eletrônicas como um e-mail ou mensagem no WhatsApp/Telegram, certifique-se que o remetente é confiável. Se você tiver qualquer dúvida, não clique em links ou abra anexos sem primeiro tentar uma forma alternativa de contato, para validar o remetente. É claro, você pode usar de ferramentas de pesquisa, como o Google, para identificar exemplos de tentativas de golpes online.
Analise bem o conteúdo recebido
Antes de mais nada, é muito importante pensar antes de fornecer qualquer tipo de dado, especialmente se forem informações pessoais ou detalhes como senhas ou o número e código de segurança do seu cartão de crédito. Lembre-se que instituições sérias não pedem esse tipo de informação por e-mail, WhatsApp ou canais similares. Na dúvida, busque o site oficial e tente entrar em contato. Tenha sempre muito cuidado com links, valide antecipadamente o redirecionamento colocando o cursor do mouse em cima e certifique-se que o site é o oficial da empresa em questão. Fique especialmente atento se o diálogo começar com um tratamento genérico, como “Sr.”, “Sra.”, “Prezado” ou com o número do celular no lugar do nome. Novamente, se você ficou em dúvida se o remetente é uma fonte confiável, busque o canal oficial da instituição, que normalmente encontra-se disponível no próprio site da empresa.
Atenção com os assuntos do momento
A internet é uma rede de pesca para os cibercriminosos. Anúncios ou manchetes de matérias tendenciosas em redes sociais e sites podem ter sido criadas para induzir a vítima com maior facilidade ao ataque. Desconfie dos anúncios fora da realidade e não dê os seus dados quando solicitados. Procure em ferramentas de buscas sobre o site e os comentários de quem buscou pelo serviço.
Prefira desconfiar
Desconfiar é a palavra-chave nessas horas, mesmo que a mensagem venha de pessoas conhecidas ou familiares, pois eles podem ter sido vítimas de phishing. Não deixe a emoção tomar conta, use o senso crítico. Busque meios alternativos de contactar essas pessoas e ter a certeza de que eram elas mesmas nas mensagens de conteúdo duvidoso. Vale pecar pelo excesso.
Autenticação
Nos dias de hoje, é preciso ter uma noção básica de segurança na internet e de como os aplicativos fazem essa gestão. Verifique se o aplicativo fornece duplo fator de autenticação, a maioria das ferramentas como WhatsApp, Facebook e Instagram já permitem adotar essa medida, e é um ponto essencial para evitar que sua conta seja invadida ou clonada. Periodicamente, troque as senhas e faça disso uma rotina. Por fim, remova o seu cadastro de serviços não utilizados e use o “Just Delete Me” como auxílio de exclusão de contas.
Procedimentos
Sempre tenha uma ferramenta Antivírus Firewall e invista se necessário, mas saiba que existem várias soluções gratuitas que podem te dar um bom nível de proteção básica. A AV-Test e AV Comparatives apresentam dados de testes realizados pelas companhias de segurança e isso pode ajudar a escolher a melhor solução. Lembre-se de manter os navegadores e aplicativos sempre atualizados e, é claro, não deixe de aplicar atualizações e correções no seu sistema operacional. Para acesso mobile, prefira os navegadores que contam com bloqueador de anúncios e, novamente, não esqueça de aplicar as atualizações e correções no seu dispositivo e aplicativos.
Complementos para navegadores
Complementos para navegadores são uma das formas de melhorar a segurança! Veja algumas opções para navegar mais seguro:
HTTPS
Everywhere – Ajuda a forçar os sites a utilizarem protocolo seguro (de
HTTP para HTTPS) e impede o acesso às páginas em caso de protocolo inseguro;
Privacy
Badger – Evita que rastreadores detectem o modo de
navegação e ofereça propagandas baseada em seu uso;
Disconnect –
Bloqueador de rastreadores (também bloqueia rastreadores de rede social). Pode
ser utilizado como alternativa ou em conjunto ao “Privacy Badger”;
AdGuard –
Ferramenta indispensável e poderosa para bloquear anúncios e páginas de
phishing;
Malwarebytes
Browser Guard – Ferramenta contra páginas de phishing,
malware e bloqueador de anúncios. Recomenda-se o seu uso com “AdGuard”;
Netcraft –
Identifica páginas de phishing baseado na reputação. A ferramenta possibilita
enviar informações colaborativas e ajuda a comunidade a se proteger contra
páginas maliciosas;
LastPass –
Gerenciador de senhas. Ótimo para acessar as contas pelo cofre, evitando salvar
senhas no navegador e digitar em campos de senha.
Mas, atenção: tenha certeza de que está baixando o complemento na página oficial do seu navegador.
Serviços temporários
Ao criar um e-mail temporário utilize as ferramentas Mohmal e Temp Mail. Atenção: evite o recebimento de dados sensíveis nos e-mails temporários.
Com informações de malwarebytes
