Motivado pelas diversas vantagens que ela traz, o mundo depende cada vez mais da tecnologia. Porém, à medida que ela avança, a preocupação com a segurança cibernética cresce em igual proporção. Afinal, com os ataques virtuais alcançando níveis crescentes de sofisticação, práticas criminosas como o phishing elevam as chances de alguém cair em golpes e fraudes.
Para se ter uma ideia do tamanho do problema, levantamento da desenvolvedora de antivírus Avast indica que os riscos de uma pessoa sofrer um ataque digital é atualmente 24% superior ao registrado em 2023.
Nesse cenário, 90% das ameaças cibernéticas identificadas em todo o mundo correspondem a ataques de engenharia social, com o phishing figurando como uma das principais técnicas utilizadas.
Olhando para o Brasil, verifica-se que este é o segundo país com mais ocorrências de crimes cibernéticos no continente latino-americano, segundo uma pesquisa do SAS Institute, empresa de inteligência de negócios.
Tanto que, ainda de acordo com a publicação, oito em cada dez brasileiros afirmam ter se deparado ao menos uma vez com algum tipo de golpe ou fraude no ambiente digital, onde seus dados são negociados a peso de ouro pelos cibercriminosos.
Nesse sentido, as estimativas apontam que o cibercrime movimenta trilhões de dólares anualmente, podendo vir a passar de mais de US$ 10 trilhões globalmente até 2025, conforme relatório da Cybersecurity Ventures.
Dessa forma, a prevenção ao phishing é mais do que crucial para evitar que indivíduos, governos e empresas incorram em prejuízos não só financeiros, mas também de reputação.
O que é phishing e como ele funciona
O termo é derivado da combinação da palavra em inglês “fishing”, que de forma direta pode ser traduzida como “pescaria”, acrescentada do “ph”, vindo da expressão “phreaks”, comum nos anos 1950, para se referir àqueles que realizavam testes nas redes de telecomunicações para decifrar como elas operavam.
Na prática, o phishing é uma espécie de ataque virtual bastante utilizado para ludibriar suas vítimas, a fim de que compartilhem informações pessoais e confidenciais, a exemplo de dados bancários, acessos, números e senhas de cartões.
Como se vê, o termo é bastante apropriado ao que se propõe, pois o que os cibercriminosos buscam é exatamente chamar a atenção de alguém conectado à internet e, assim, “fisgar” essas e outras informações capazes de lhes ajudar a aplicar golpes e fraudes.
Para isso, essas pessoas mal-intencionadas se passam por empresas confiáveis, órgãos do governo, bancos, colegas de trabalho e até mesmo por familiares de quem pretendem enganar.
Embora seja um dos golpes mais antigos da internet, o phishing ainda é o que mais causa vítimas no meio virtual, sendo aplicado através de comunicações eletrônicas, como e-mails, redes sociais, aplicativos de mensagens instantâneas e ainda de chamadas telefônicas.
Por meio desses instrumentos, os cibercriminosos encaminham conteúdos especialmente preparados e direcionados para convencer as possíveis vítimas a clicarem em um determinado link, baixarem arquivos e softwares maliciosos (malwares), enviarem dados privados ou efetuarem um pagamento.
Alguns desses impostores chegam, inclusive, a criar perfis fictícios nas redes sociais e a construir uma relação com vítimas potenciais com o objetivo de estabelecer confiança.
Como resultado, os ataques de phishing levam não só a perda de dinheiro, mas também a roubo de identidade e servem para praticar espionagem nas organizações.
Principais tipos de phishing
Grande parte dos ataques de phishing se dá pelo envio de e-mails em massa para vítimas potenciais. A saber, é o que se denomina Blind Phishing. Contudo, existem outros formatos que apresentam características mais específicas. Entre os mais comuns estão:
- Spear phishing: destinado a atacar um alvo determinado, como uma organização ou indivíduo específico, exigindo um conteúdo criado especialmente para a vítima. Para isso, o cibercriminoso costuma fazer um levantamento prévio para identificar o máximo de informações possíveis a fim de conferir mais veracidade à mensagem enviada;
- Clone phishing: aqui, os golpistas clonam um e-mail verdadeiro contendo um arquivo ou link, com esse anexo sendo substituído por outro malicioso. Nesse caso, a identidade de uma pessoa ou empresa é roubada para que quem receba o conteúdo acredite ser de confiança, facilitando um clique no link ou que o anexo seja baixado;
- Phone phishing: esse tipo de phishing é praticado através de um contato telefônico, com o cibercriminoso se passando como representante de uma organização para ludibriar a vítima;
- SMS phishing: nesse caso, o golpe se dá através de mensagens SMS, contendo um link malicioso na tentativa de quem o receba clique;
- Whaling: onde procura-se atacar vítimas de grande porte, como empresas multinacionais, altos cargos dessas organizações ou personalidades; e, finalmente,
- Pharming: que se caracteriza pela contaminação do sistema que transforma os números de identificação de um computador (IP na sigla em inglês) nos nomes de domínios da internet (URL). Dessa maneira, sempre que alguém buscar um site, digitando a respectiva URL, o golpe acontece modificando o domínio verdadeiro para o IP do servidor, que se estiver comprometido, irá direcionar a vítima para uma página falsa, sem que ela perceba.
Como se proteger de tentativas de golpe?
Quem nunca recebeu e-mails com títulos alarmantes ou até mesmo tentadores, informando que a conta bancária da pessoa será bloqueada, que ela ganhou uma herança ou prêmio em dinheiro ou ainda oferecendo uma promoção com descontos fora do comum?
Embora seja impossível listar todas as possibilidades utilizadas pelos cibercriminosos, até porque os ataques estão cada vez mais bem elaborados e difíceis de perceber, essas são as mensagens de phishing mais comuns.
Como exposto, o propósito desse tipo de comunicação é fazer com que quem a receba clique em um link que direciona a um site falso para coletar dados confidenciais, como senhas ou detalhes de contas bancárias e cartões.
Portanto, estar atento a essas e outras situações e como se proteger é fundamental. Confira algumas dicas:
- Haja com bom senso antes de fornecer dados confidenciais. Por exemplo, ao receber alertas de bancos, jamais clique no link que consta no e-mail, pois eles podem conter softwares maliciosos. Nesse caso, abra o navegador da internet e digite a URL enviada a fim de saber se o site é verdadeiro;
- Ao mesmo tempo, mensagens alarmantes não merecem confiança. Empresas respeitáveis não solicitam dados de identificação ou detalhes de conta por e-mail. Desse modo, exclua imediatamente e contate a empresa para confirmar;
- Nunca abra anexos de mensagens de texto e de e-mails suspeitos ou estranhos;
- Se por algum motivo você forneceu seus dados e depois percebeu que caiu em um golpe, redefina imediatamente suas credenciais de acesso e senhas e informe ao banco e administradora de cartão;
- Denuncie todas as tentativas de golpes;
- Procure manter softwares e sistema operacional sempre atualizados, assim como tenha instalado um antivírus de confiança e use filtros de spam.
Veja mais:
Ataques cibernéticos evoluem, exigindo políticas de cibersegurança das organizações
Fraudes online miram público mais jovem: millennials na mira dos ataques cibernéticos