Entenda o que é phishing e como se prevenir desse golpe

Se você chegou aqui, é muito provável que não saiba bem o que é phishing. Mas fique tranquilo, porque ao final deste artigo, você saberá responder exatamente o que é, bem como tudo o que é importante saber e tem relação com este termo e que atualmente consiste em um dos mais graves e maiores problemas da Internet.

Os números são alarmantes, especialmente para os usuários brasileiros, visto que o relatório do primeiro trimestre de 2018 da Kaspersky, mostra que o Brasil é o país com o maior percentual de usuários afetados por phishing. De aproximadamente cada 5 usuários vítimas de phishing no mundo, um está localizado no Brasil. São precisamente 19,07% do total.

Como um todo, segundo dados de 2017, estima-se que os crimes cibernéticos acarretaram prejuízos da ordem de US$ 22 bilhões, com 62 milhões de brasileiros como vítimas, ou seja, mais de 60% da população adulta conectada à Internet. É muita gente e você pode integrar estas estatísticas!

O que é Phishing?

O termo tem origem no idioma inglês e precisamente está associado à palavra fishing, que é pescaria. Ao se pensar no conceito da pescaria, começa-se a compreender o que é phishing, já que da mesma forma que a atividade ancestral, o objetivo é obter algo usando-se uma isca para atrair atenção e desencadear uma ação.

O criminoso cibernético busca obter informações que possam ser usadas e/ou que lhe rendam algum retorno financeiro. Dados bancários, dados pessoais, contas de e-mail e respectivas senhas, dados de acesso a sistemas ou sites, são exemplos de dados úteis e que são usadas para obter ganhos. O papel do “ladrão virtual”, é criar iscas suficientemente atrativas e bem disfarçadas e que serão usadas para iludir as vítimas.

Portanto, o phishing não é exatamente uma ação específica, mas o conceito pelo qual o hacker – na verdade cracker - visa ter acesso a informações privilegiadas ou úteis e para tanto ele pode utilizar uma variedade de ações para atingir sua finalidade.

Como ocorre o Phishing?

Há variações e conforme mencionamos, um conjunto de ações do cracker e o seu objetivo, é o que caracteriza o phishing. No entanto, o mais comum é haver mensagens de e-mail como parte do processo que constitui o phishing.

Geralmente o golpe começa com envio de mensagens cujo assunto tem relação com temas de interesse ou que despertam a curiosidade de quem recebe as mensagens. Exemplos de assuntos muito usados, são: “Atualização de segurança do Banco X”, “Seu pedido foi aprovado” ou “Fotos do fim de semana”.

Qualquer que seja o caso, o que se vê em comum, é que o assunto tem como o objetivo que primeiramente você abra a mensagem e em seguida, clique em algum link ou abra algum anexo. Se você agir assim, pronto, você foi fisgado e fica claro o porquê do nome phishing.

A partir deste ponto algum tipo de malware foi baixado e instalado no seu computador ou foi direcionado para um site que é uma cópia de um site legítimo (ex: site de banco) e no qual você inseriu informações que o cracker quer obter.

O que é malware?

Malware é a designação genérica de todo software criado com o propósito de efetuar ações nocivas ou maliciosas nos dispositivos onde é instalado ou executado, já que não é necessário que seja instalado para atingir seu propósito. É basicamente um pequeno programa de computador, cujo objetivo é explorar alguma brecha de segurança do seu computador, dando por exemplo, acesso às senhas que você digita nele.

Um malware pode pertencer a uma entre várias classes, as quais existem para diferenciá-los segundo suas características e o tipo de ação associada a ele. Assim, entre as mais populares classes de malwares, há os trojans (cavalos de tróia), worns (vermes), vírus, adwares, keyloggers, screeners, spywares. Portanto, os populares “vírus” correspondem a apenas uma das muitas classes existentes.

Em termos técnicos, não faz muita diferença qual o nome ou classe a qual pertence o malware e o que importa, é o que ele faz quando está ativo no seu dispositivo.

É através do malware que o cracker vai conseguir obter o que deseja, como por exemplo, realizando uma busca de conteúdo do seu computador, registrando todas as teclas que você pressiona, ou imagens das telas que você navega, ou simplesmente explorando ou incluindo vulnerabilidades no sistema que você utiliza e assim ganhando algum tipo de acesso ou controle sobre o dispositivo usado.

Resumindo, quando você tem um dispositivo (notebook, tablet, desktop, smartphone, etc) que contém um malware, tudo que você faz nele e todo dado nele contido, são em maior ou menor grau de conhecimento do autor do malware.

Variações ou Tipos de Phishing

Como dissemos anteriormente o phishing não consiste de uma ação única e bem específica. Assim, há variações e conjuntos de ações que caracterizam este golpe virtual:

Phishing por e-mail – é a forma mais antiga e simples e tudo o que o cracker precisa consta no próprio e-mail. Geralmente o malware vem como anexo na mensagem de correio eletrônico ou há um link pelo qual é feito o download para o computador da vítima.

Site Clone – nesta variante, o objetivo é que a vítima acesse um site falso que simula um outro legítimo para roubo de dados dos usuários do mesmo. O exemplo mais comum deste tipo de phishing, são as páginas falsas de bancos, que visam que as vítimas informem seus dados bancários.

Ransonware – é o tipo mais recente e que tem sido bastante divulgado, visto que os autores não necessariamente roubam os dados, mas os bloqueiam por meio de criptografia e só os liberam mediante um “resgate virtual” normalmente pago usando-se criptomoedas.

Whaling – vem da palavra whale, que é baleia em inglês e, portanto, usado quando pretende-se uma “grande pescaria”. Normalmente nestes casos é pequena a quantidade de pessoas que são lesadas, mas as perdas individuais podem ser grandes e/ou importantes.

Smishing – o alvo aqui são sempre usuários de smartphones, visto que a disseminação se faz por meio de envios de SMSs, cujo conteúdo é sobre promoções ou prêmios falsos e que no momento em que o usuário tenta o acesso ou o resgate, acaba tendo seus dados roubados.

DNS Cache Poisoning – consiste do tipo mais sofisticado, na medida em que são necessárias mais ações e recursos para se obter os resultados desejados e consiste em “envenenar” servidores de DNS de forma a mudar o servidor de um determinado domínio, informando um falso que é acessado e usado para o “roubo” das informações desejadas.

Como prevenir o phishing?

A melhor arma contra o phishing é a prevenção e esta terá mais chances de ser eficaz se as pessoas envolvidas tiverem informações e conhecimentos relacionados ao problema, já que na maior parte dos casos o phishing ocorre por problemas relacionados ao fator humano e não apenas por falhas de segurança nos sistemas (hardware e software).

Sendo assim, fazer circular as informações abaixo, pode ajudar bastante na sua prevenção. Seguem 20 cuidados que se devidamente observados, podem diminuir significativamente a quantidade de ocorrências de phishing:

  1. Evite senhas simples, sobretudo as que fazem uso de sequências de letras, números, palavras de dicionário, nomes próprios e datas. Senhas consideradas "fortes", devem ter pelo menos 8 caracteres, combinando letras, números e caracteres especiais (@#$%&;*{}…). Neste caso o cracker tenta obter a senha usando “ataque de dicionário” ou “brute force”.

  2. Evite usar a mesma senha para várias contas ou para diversos fins (e-mail, Facebook, Instagram, Dropbox, login no sistema operacional, etc). Se o cracker conseguir acesso a uma senha, em uma situação como esta, conseguirá ter acesso a todos os seus serviços.

  3. Alterar com certa periodicidade as senhas mais importantes, é bastante indicado. Se em alguma ocasião for necessário fornecer senha para algum tipo de suporte técnico, altere-a assim que o suporte for encerrado, ou forneça alguma senha provisória.

  4. Conforme informamos, há diferentes classes de malwares e por esta razão, há programas específicos para detectar e remover cada classe. Você tem mais informações em sites como: http://www.linhadefensiva.org/downloads/antivirus/#on

  5. Conhecidos (amigos, parentes, vizinhos, etc) também são vítimas de malwares e podem ter seus dispositivos (notebook, smartphone, etc) comprometidos. Portanto, não é porque o e-mail recebido é de alguém conhecido, que ele é confiável, além disso muitos malwares se auto-enviam para a lista inteira de contatos.

  6. Ter um software antivírus instalado no seu celular ou computador, não significa que você está 100% seguro. Não há antimalware que identifique todos os malwares existentes e além disso, há classes que exigem programas específicos para sua identificação. Por isso, mesmo que tenha sistemas de segurança, sempre tome cuidado com os anexos que recebe e links em que clica, verificando sua procedência quando possível.

  7. Não é porque as ferramentas de segurança (antivírus, antispyware, firewall, etc) não filtrem a totalidade das ameaças existentes, que deve-se abrir mão delas. Mais que isso, dispor das versões mais recentes e mantê-las atualizadas, é fundamental.

  8. Algumas ações maliciosas têm por objetivo saber se um endereço de e-mail é ativo e é correto. Por esta razão e-mails com auto-respostas e responder à pedidos de confirmação de leitura, são práticas que devem ser evitadas e usadas apenas quando for absolutamente necessário.

  9. Evite acessar e-mails, painéis de controle ou qualquer tipo de acesso em que tenha que fornecer dados sigilosos por meio de computadores ou dispositivos cuja segurança não possa ser garantida, como por exemplo, em lanhouses.

  10. A situação acima também se aplica a computadores de conhecidos, afinal lembre-se que eles também estão sujeitos a serem vítimas de malwares ou outros problemas de segurança.

  11. Geralmente o autor do phishing adota marcas e nomes conhecidos na tentativa de dar mais credibilidade à fraude. Não confie apenas com base na suposta procedência do conteúdo ou nome envolvido. Verifique informações relacionadas no site oficial da empresa ou mesmo em outros canais de atendimento, como um número 0800.

  12. Instituições financeiras, como bancos, raramente fazem contato com os correntistas por e-mail e quando o fazem, é em situações específicas e previamente autorizadas na contratação de um serviço específico. Além disso, quando o fazem, não é com o objetivo de lhe solicitar informações, como dados de conta e senha. Confirme sempre que possível com seu banco, especialmente situações em que lhe são solicitados dados sigilosos e quando envolver transações.

  13. Sites de bancos e sites em que são feitas transações financeiras eletrônicas, como por exemplo uma loja virtual, sempre utilizam conexões com certificados de segurança. Comprova-se facilmente a adoção, visto que sempre será exibido um ícone de um cadeado, e o endereço do site exibirá um HTTPS, indicando que a transação está ocorrendo por meio de conexão segura. A ausência disso, com certeza indica que se trata de um site fraudulento ou no mínimo, com segurança frágil.

  14. Se a ausência de SSL em alguns sites, é certeza de algo errado, a presença do certificado de segurança (SSL), não é garantia de que o site é seguro. O SSL é medida de segurança na troca de informações entre o site e um dispositivo que o acessa, mas não o impede de ser invadido, por exemplo, se tiver problemas na programação.

  15. É indicado desconfiar quando o conteúdo de alguma mensagem parecer exageradamente incrível ou estimular demasiadamente a sua curiosidade. Lembre-se que este é o objetivo do cracker. Sempre que possível verifique antes junto ao remetente a procedência do envio.

  16. Na maior parte dos casos é possível comprovar o endereço real de um link, apenas posicionando – sem clicar – o cursor do mouse sobre o mesmo e será exibido geralmente no rodapé da janela o endereço completo. Veja a grafia completa com atenção e certifique-se de que corresponde a site conhecido, antes de clicar.

  17. Quando não for possível visualizar o endereço correspondente a um link suspeito, clique com o botão direito do mouse sobre o mesmo e selecione copiar link / atalho. Cole em um editor de textos, como o bloco de notas, para poder avaliá-lo com cuidado.

  18. Ao utilizar um CMS (Content Management System) para criar e manter um site (Wordpress, Joomla, Magento, etc), procure informações relativas aos procedimentos de segurança associados ao mesmo e mantenha-o sempre atualizado. Atualmente há muitos problemas de segurança relacionados a eles. Não instale plugins que não tenham sido testados e aprovados pela comunidade de usuários / desenvolvedores do CMS.

  19. Os CMSs mais usados têm comunidades grandes com muitos sites e fóruns, que reúnem atualizações, dicas, informações sobre segurança, falhas e correções relativas ao sistema. Cadastre-se para receber informações deles e manter-se informado sobre.

  20. Certifique-se da procedência de todo programa ou app que instalar nos dispositivos que utiliza, especialmente os gratuitos e que não sejam fornecidos pelas lojas oficiais da Microsoft, Apple e Google, as quais fazem verificações constantes do conteúdo fornecido por eles.

As orientações e cuidados acima se seguidos a risca, podem reduzir drasticamente as chances de problemas de segurança e consequentemente de phishing.

Mas e se eu for vítima de phishing?

O volume de phishing circulante na Internet aumenta dia a dia, bem como o nível de elaboração dos golpes têm ganhado em sofisticação e, portanto, basta um descuido para que se passe a fazer parte das estatísticas. Assim, se perceber que você foi mais um que caiu na "armadilha", não se desespere. A seguir algumas medidas que visam diminuir o impacto e prováveis consequências:

  • Se suspeita que seu computador está comprometido por malware e foi usado para phishing, desligue-o imediatamente e entre em contato com as empresas relacionadas (banco, site de comércio eletrônico, provedor de acesso, empresa de hospedagem, etc) e explique a sua suspeita. Isso é fundamental, para que medidas como mudança de senhas e bloqueios, interrompam a propagação e aumento do problema.

  • Comprovando-se a situação anterior, é necessário proceder com a remoção dos malwares. Se não souber exatamente o que fazer, chame um técnico ou especialista de sua confiança.

  • Convém utilizar mais de uma ferramenta antimalware para certificar-se que sua máquina está livre de problemas.

  • Se e-mails associados a phishing foram enviados por sua conta de e-mail para seus contatos, é altamente indicado elaborar e enviar um e-mail aos mesmos, informando que foi vítima de malware e que é recomendável que façam uma varredura em seus computadores para certificarem-se que não foram comprometidos.

  • Uma vez que tenha certeza de que os dispositivos que usa para acessos à Internet, tiveram os malwares removidos, altere as senhas de todos os serviços que acessa pelo dispositivo.

Conclusão

Na medida em que a cada dia usa-se mais e mais a Internet para trabalho, questões pessoais e lazer, mais há exposição aos problemas e questões que envolvem a segurança na rede, aproveitando-se do fator humano para disseminação do problema. Assim, cabe ao usuário a diminuição dos problemas, mantendo-se atualizado, tomando cuidados básicos, adotando boas práticas e disseminando informação.