O que é phishing, prevenção e medidas corretivas

Os números relativos à ameaças digitais no Brasil, são alarmantes! Segundo o Panorama de Ameaças da Kaspersky de 2022, a maior ameaça na América Latina é o phishing e o país é o líder de casos na região.

Em outros estudos e pesquisas, os usuários brasileiros também aparecem entre os mais afetados quando comparados ao cenário global, ocupando uma nada honrosa quinta posição.

Afinal, o que é phishing? Quais os riscos? Como se manifesta? O que pode ser feito para prevenir? Que medidas adotar se você for vítima?

O que é phishing?

O termo tem origem no idioma inglês e precisamente está associado à palavra fishing, que é pescaria. Ao se pensar no conceito da pescaria, começa-se a compreender o que é phishing, já que da mesma forma que a atividade ancestral da qual empresta o nome, o objetivo é obter alguma coisa – em geral informação – fazendo uso de uma isca para atrair a vítima e induzi-la a uma ação.

O objetivo do criminoso cibernético, é obter informações que possam ser usadas e/ou que lhe rendam algum retorno financeiro, como dados de acesso bancário, dados pessoais, acesso a contas de e-mail, senhas diversas, dados de autenticação a sistemas ou sites.

Portanto, o phishing não é exatamente uma ação única e específica, mas o conceito pelo qual o hacker – na verdade cracker – consegue criar iscas suficientemente atrativas e bem disfarçadas e que serão usadas para iludir as vítimas e quando ela é “fisgada”, o objetivo foi alcançado.

Geralmente são usados princípios de engenharia social, apelo à curiosidade humana, senso de urgência e/ou importância, ganho de vantagens, tudo com o intuito que o alvo negligencie aspectos de segurança.

Sendo assim, uma variedade de artifícios são utilizados por seu autor...

Como ocorre o phishing?

A variedade de manifestações, pode ser bem extensa, porém o mais comum é começar com o envio de mensagens de e-mail, SMS ou mesmo WhatsApp.

  • E-mail – quando faz uso de envios de e-mail, tudo começa com um campo assunto que estimule a abertura da mensagem, como por exemplo, “o arquivo que me pediu”, ou “fotos das férias”, ou ainda “orçamento” e que muitas vezes tem como remetente um contato conhecido que teve a conta invadida ou foi vítima de spoofing. Com a mensagem aberta, o corpo do e-mail tenta induzir o destinatário a clicar em um link ou abrir um anexo e quando isso ocorre, o objetivo foi atingido;

  • SMS – semelhante ao método acima, o criminoso cibernético tenta dar credibilidade ao envio, fazendo-se passar por uma instituição financeira, uma empresa conhecida, ou quem sabe sua empresa de telefonia e fornece um link que deve ser clicado para completar uma ação. No caso de fazer-se passar pelo seu banco, o link que consta pode estar acompanhado de algo como: “Clique para uma importante atualização de segurança do seu app”, ou “Precisamos que você confirme seus dados de acesso”;

  • WhatsApp – tal como nos casos acima, pode parecer que veio de um contato ou de empresa conhecida, que dá credibilidade ao envio. Mas também pode conter na mensagem assuntos que incentivem o acesso ao link fornecido, como “Ganhe tal coisa ou X mil reais”, ou “fotos íntimas vazadas da Fulana do BBB23”, ou “oferta especial e por tempo limitado”.

Qualquer que seja o caso, o que se vê em comum, são mensagens que exigem que você clique em algum link, faça o download de um arquivo e abra-o ou instale um programa, abra um anexo, acesse uma conta ou serviço usando seu usuário e senha.

Se você agir assim, pronto, você foi fisgado e fica claro o porquê do nome phishing (pescaria).

A partir deste ponto algum tipo de malware pode ter sido baixado e instalado no seu computador, no caso de um anexo, você pode ter instalado um programa nocivo, ou foi direcionado para um site que é uma cópia de um site legítimo (ex: site de banco) e no qual você inseriu informações que o cracker quer obter.

O que é malware?

Malware (malicious software ou software malicioso) é a designação genérica de todo software criado com o propósito de efetuar ações nocivas o/ maliciosas nos dispositivos onde é instalado ou executado, já que não é necessário que seja instalado para atingir seu propósito.

Sim, há programas que não precisam ser instalados e são conhecidos como executáveis.

Em outras palavras, é basicamente um pequeno programa, cujo objetivo é explorar alguma brecha de segurança do seu dispositivo ou ação de interesse do cracker, dando por exemplo, acesso às senhas que você digita nele (keylogger), criptografando seus arquivos pessoais para posterior pedido de resgate (ransomware), fazendo envios automáticos de mensagens usando o dispositivo (mailer), entre várias possibilidades conforme a variante.

Um malware pode pertencer a uma entre várias classes, as quais existem para diferenciá-los segundo suas características e o tipo de ação associada a ele. Assim, entre as mais populares classes de malwares, há os trojans (cavalos de tróia), worns (vermes), vírus, adwares, keyloggers, screeners, spywares, ransomwares.

Portanto, os populares “vírus” – que é como a maioria costuma chamar – correspondem a apenas uma das muitas classes existentes.

Em termos técnicos, não faz muita diferença qual o nome ou classe a qual pertence o malware e o que importa, é o que ele faz quando está ativo no seu dispositivo.

É através do malware que o cracker vai conseguir o que deseja, e que pode ser pelo registro de todas as teclas que você pressiona, ou imagens das telas que você navega, ou simplesmente explorando ou incluindo vulnerabilidades no sistema operacional que você utiliza, para por exemplo, tornar seu computador um zumbi usado em um ataque DDoS.

Resumindo, quando você tem um dispositivo (notebook, tablet, desktop, smartphone, etc) que contém um malware, tudo que você faz nele, pode ser a porta de acesso para o cracker.

Variações ou Tipos de Phishing

Como dissemos anteriormente o phishing não consiste de uma ação única e bem específica. Há muitas variações e conjuntos de ações que caracterizam este golpe virtual:

  • Phishing por e-mail – é a forma mais antiga e simples e tudo o que o cracker precisa consta no próprio e-mail. Geralmente o malware vem como anexo na mensagem de correio eletrônico ou há um link pelo qual é feito o download para o computador da vítima ou que leva a um site falso, no qual o usuário deve fornecer seus dados de acesso;

  • Site Clone – nesta variante, o objetivo é que a vítima acesse um site falso / fraudulento que simula um outro legítimo para roubo de dados dos usuários do mesmo. O exemplo mais comum deste tipo de phishing, são as páginas falsas de bancos, que visam que as vítimas informem seus dados bancários;

  • Whaling – vem da palavra whale, que é baleia em inglês e, portanto, usado quando se pretende uma “grande pescaria”. Normalmente nestes casos é pequena a quantidade de pessoas lesadas, mas as perdas individuais podem ser grandes e/ou importantes, já que os alvos podem ser executivos, CEOs, enfim, pessoas que têm acesso a informações mais valiosas;

  • Smishing – o alvo aqui são sempre usuários de smartphones, visto que a disseminação se faz por meio de envios de SMSs, cujo conteúdo é sobre promoções ou prêmios falsos e que no momento em que o usuário tenta o acesso ou o resgate, acaba tendo seus dados roubados ou um malware é instalado;

  • DNS Cache Poisoning – consiste do tipo mais sofisticado, na medida em que são necessárias mais ações e recursos para se obter os resultados desejados e consiste em “envenenar” servidores de DNS de forma a mudar o servidor de um determinado domínio, informando um falso que é acessado e usado para o “roubo” das informações desejadas;

  • Spear phishing – spear é lança em inglês e por isso está associado às ações que visam um tipo específico de vítima, pois o ataque é mais dirigido. Podem ser administradores de redes empresariais ou de servidores e, portanto, abrem brechas para muitos outros usuários ou sistemas que podem conter informações valiosas ou que podem ser usadas para outros crimes virtuais. É comum que quando isso ocorre, tenhamos um vazamento de dados ou um ransomware;

  • Vishing – nessa variação, para produzir a isca, é usada uma chamada de voz, daí o porquê de “v” em vez de “ph” (voice ou voz). Você recebe um telefonema de alguém se passando por representante de uma empresa ou do seu banco e que relata um problema, cuja solução requer instalação de algo no seu dispositivo e/ou o fornecimento de dados, como usuário e senha de acesso ao serviço.

  • 419 ou fraude nigeriana – recebe esse nome, pois as primeiras manifestações originaram-se no país e 419 é o número do código penal para tal delito. Ocorre por e-mail e costuma ter um texto grande para resgatar uma soma elevada de dinheiro, mas que precisa da sua ajuda e que se concordar, será gratificado com uma parte do valor.

Vítima final ou intermediária?

Outro aspecto que precisa ser compreendido, é que você pode ser tanto uma vítima final ou intermediária e até ambas.

Qual a diferença?

No caso de ser uma vítima intermediária, você pode ter o site invadido, por exemplo, por causa de uma vulnerabilidade presente em um CMS e/ou plugin desatualizado, ou o uso de usuários padrão e senhas fracas e o cracker usar sua conta para hospedar um site falso (clone) ou um instalar um mailer para envio de mensagens de e-mail para outros usuários.

Sim, porque frequentemente um site clone e as contas de e-mail usadas para disseminar phishing, são resultado de acessos conseguidos pelo cracker à conta de hospedagem de suas vítimas. Quando não, são contas criadas em serviços gratuitos e de pouco controle ou ainda em serviços pagos, mas usando dados cadastrais e de cartões roubados.

Já a vítima final, é aquela cuja ação configura o atingimento do objetivo do invasor e que é quem teve um malware instalado no seu dispositivo, ou os dados cadastrais e informações de autenticação reveladas, por exemplo.

No pior cenário, quando um usuário assume ambas condições, ele pode ter seu dispositivo sob controle do cracker e ter tanto seus dados vulnerabilizados, como seu dispositivo usado para ações contra outros usuários.

12 dicas de como prevenir o phishing

A melhor prevenção contra a disseminação e ser vítima de ações de phishing, é a informação.

Portanto, a leitura e conhecimento de conteúdos como esse, é o ponto de partida. Compartilhe com amigos e divulgue aos funcionários da sua empresa, já que na maior parte dos casos o phishing ocorre por problemas relacionados ao fator humano e não apenas por falhas de segurança nos sistemas (hardware e software).

Não custa lembrar que geralmente a “pescaria” usa a curiosidade, a confiança, o oportunismo e o senso de urgência e importância para produzir a ação desejada na vítima.

“Uma corrente é tão forte quanto seu elo mais fraco”. Essa famosa frase, aplica-se em segurança e significa que basta que um dos vários aspectos que devem ser observados, falhe, para que todo o resto seja comprometido.

Sendo assim, as orientações e cuidados abaixo, se seguidos todos a risca, podem reduzir drasticamente as chances de problemas de segurança e consequentemente de phishing.

1. Atenção e desconfiança

Agora que você já conhece alguns dos padrões comuns às principais ações envolvendo o phishing, é importante estar atento a tudo o que recebe (e-mails, SMSs, Whats, etc). Seja crítico por uns instantes e reflita se aquele conteúdo é mesmo de um conhecido ou se a vantagem ou a curiosidade implícita na mensagem, é pertinente ou um chamariz.

Qual a chance de ser legítimo aquele conteúdo? No mundo real, benefícios incríveis, ganhos elevados, procedimentos excepcionais, estão mesmo ao alcance de todos?

Geralmente o autor do phishing adota marcas e nomes conhecidos na tentativa de dar mais credibilidade à fraude.

Duvide e procure certificar-se da procedência e veracidade, usando outros canais verificáveis, como o acesso ao site oficial da empresa ou telefonando para o 0800 ou para pessoa que supostamente está lhe enviando um anexo ou link. Nunca clique em nada sem antes checar!

Não raramente também, existem erros gramaticais e ortográficos nos textos e que revelam a farsa.

Há casos em que a simples abertura de uma mensagem de e-mail, dá ao invasor a certeza de que a conta de e-mail associada está ativa e o respectivo usuário a visualizou.

2. Antivírus

As melhores soluções antivírus oferecem um leque de opções que são capazes de detectar ameaças, tanto nos links, como nos arquivos, evitando assim que você clique neles.

Também têm filtros de SPAM embutidos, ajudando a livrá-lo dessa outra praga virtual.

Enviam alertas ao detectar comportamentos suspeitos de software no seu PC e analisam possíveis ameaças. Também bloqueiam barras de navegadores e extensões de navegadores que representam risco.

Podem incluir firewalls mais restritivos, filtros de DNS, proteção contra ransomware de arquivos / pastas determinados e proteção de dados de autenticação, para que não possam ser descobertos ou alterados.

Por outro lado, ter um software antivírus instalado no seu celular ou computador, não significa que você está 100% seguro. Não há antimalware que identifique todas as pragas digitais existentes e além disso, quando um novo malware é criado, é normal que exista um intervalo de tempo até que a solução que você usa, seja capaz de identificá-lo.

Resumindo, não é porque você tem um bom programa instalado, que deve negligenciar os demais cuidados.

3. Senhas

Senhas fracas e que são facilmente descobertas por meio de métodos como brute-force ou ataque de dicionário, são uma maneira de ter uma conta ou serviço invadido, tornando-o tanto uma vítima final como intermediária. Portanto, aprenda a criar senhas fortes, seguras e fáceis de memorizar.

Evite usar a mesma senha para várias contas ou para diversos fins (e-mail, Facebook, Instagram, Dropbox, login no sistema operacional, etc). Se o cracker conseguir acesso à senha em uma situação desta, conseguirá ter acesso a todos os seus serviços.

Alterar com certa periodicidade as senhas mais importantes, é bastante indicado. Se em alguma ocasião for necessário fornecer senha para algum tipo de suporte, altere-a assim que o suporte for encerrado, ou forneça alguma senha provisória.

É altamente indicado também, que sempre que possível use métodos de autenticação de dois (2FA) ou mais fatores (MFA), de tal modo que se a senha seja descoberta, o segundo método impeça a intrusão no sistema ou serviço.

Considere quando possível, o uso de um serviço como o Google Passkey.

4. Todo mundo pode ser vítima

Essa dica se relaciona com a primeira, ou seja, não confie com base em relacionamentos.

Conhecidos (amigos, parentes, vizinhos, etc) também são vítimas de malwares e podem ter seus dispositivos (notebook, smartphone, etc) comprometidos ou controlados por um cracker. Portanto, não é porque o e-mail recebido é de alguém conhecido, que ele é confiável.

Além disso muitos malwares se auto enviam para a lista inteira de contatos.

Partindo do mesmo princípio, se for absolutamente necessário o uso de um dispositivo de terceiro, evite fazê-lo para acessos de dados sensíveis.

Não acesse e-mails, painéis de controle, áreas administrativas de sistemas ou qualquer tipo de acesso em que tenha que fornecer dados sigilosos por meio de computadores ou dispositivos cuja segurança não possa ser garantida, como por exemplo, e principalmente em lanhouses.

5. Não dê pistas

Algumas ações maliciosas têm por objetivo saber se um endereço de e-mail é ativo e é correto. Por esta razão e-mails com auto respostas e responder à pedidos de confirmação de leitura, são práticas que devem ser evitadas e usadas apenas quando for absolutamente necessário.

Como mencionamos, apenas a abertura de uma mensagem de e-mail ou de Whats e o remetente tem a capacidade de saber que a mensagem foi visualizada. Todavia, algumas soluções antivírus são capazes de identificar e bloquear tal recurso.

6. Procedimentos de empresas

Instituições financeiras, como bancos, raramente fazem contato com os correntistas por e-mail e quando o fazem, é em situações específicas e previamente autorizadas na contratação de um serviço específico, como no caso de um gerente de conta e normalmente você já foi apresentado a ele e tem informações que permitem checar a sua autenticidade.

Mesmo em casos assim, seu gerente jamais pedirá informações como sua senha bancária.

Também não é comum que outras empresas façam chamadas telefônicas e solicitem dados sensíveis, exceto em algum caso para confirmar sua identidade, mas nada que dê acesso ao serviço por parte do atendente. Esse é um tipo de política comum em toda empresa que resguarda a privacidade e segurança dos seus clientes.

7. SSL e HTTPS

Atualmente todo site e especialmente os sites de bancos e sites em que são feitas transações financeiras eletrônicas, como sites de e-commerce, sempre utilizam conexões com certificados de segurança SSL. Comprova-se facilmente a adoção, visto que sempre será exibido um ícone de um cadeado, e o endereço do site exibirá um HTTPS, indicando que a troca de dados entre o seu dispositivo e o servidor que hospeda o site, está ocorrendo por meio de conexão segura.

A ausência disso, com certeza indica que se trata de um site fraudulento.

Se a ausência de SSL em alguns sites, é certeza de algo errado, a presença do certificado de segurança (SSL), não é garantia de que o site é seguro.

O SSL é medida de segurança na troca de informações entre o site e um dispositivo que o acessa, mas não o impede de ser invadido, por exemplo, se tiver problemas na programação.

8. Verifique os links

Na maior parte dos casos é possível comprovar o endereço real de um link, apenas posicionando – sem clicar – o cursor do mouse sobre o mesmo e será exibido geralmente no rodapé da janela o endereço completo. Veja a grafia completa com atenção e certifique-se de que corresponde a site conhecido, antes de clicar.

Quando não for possível visualizar o endereço correspondente a um link suspeito, clique com o botão direito do mouse sobre o mesmo e selecione copiar link / atalho. Cole em um editor de textos, como o bloco de notas, para poder avaliá-lo com cuidado.

Fique atento à verificação, pois é comum o uso de domínios similares e que são capazes de iludir quem não presta atenção. Assim, em www.1tau.com, o que deveria ser a letra “I”, na verdade é o número 1.

9. Cuide da segurança do seu site

Ao utilizar um CMS (Content Management System) para criar e manter um site (Wordpress, Joomla, Magento, etc), procure informações relativas aos procedimentos de segurança associados ao mesmo e mantenha-o sempre atualizado, para que ele não seja invadido e usado para ações de phishing, tornando-o uma vítima intermediária.

Atualmente há muitos problemas de segurança relacionados a eles. Os CMSs mais usados têm comunidades grandes com muitos sites e fóruns, que reúnem atualizações, dicas, informações sobre segurança, falhas e correções relativas ao sistema. Cadastre-se para receber informações deles e manter-se informado a respeito

Não instale plugins que não tenham sido testados e aprovados pela comunidade de usuários / desenvolvedores do CMS e assim como o núcleo da aplicação, precisam estar sempre atualizados.

Por outro lado, no caso de CMS muito usados, como o WordPress, há plugins de segurança que ajudam na tarefa de minimizar as invasões ao site.

10. Cuide do seu dispositivo

Mantenha o sistema operacional do seu dispositivo atualizado, especialmente com as atualizações marcadas como de segurança.

Certifique-se da procedência de todo programa ou app que instalar, especialmente os gratuitos e que não sejam fornecidos pelas lojas oficiais da Microsoft, Apple e Google, as quais fazem verificações constantes do conteúdo fornecido por eles.

Entretanto, isso não é garantia absoluta, uma vez que não é raro que se descubram alguns maliciosos, mesmo nessas lojas.

Jamais use software pirata! A “economia” feita, pode custar muito mais caro, além de poder torná-lo uma vítima intermediária.

11. Wi-Fi

O uso do Wi-Fi é inevitável e tornou-se maciço, seja porque ainda o 5G ainda não se popularizou, seja porque é mais conveniente e prático em termos de mobilidade.

Porém há problemas com o Wi-Fi que devem ser tratados, para que você não se torne tanto uma vítima final, não por phising, mas por intrusão na rede wireless, bem como uma intermediária. Temos um post dedicado a segurança do roteador Wi-Fi, com 13 dicas importantes que devem ser adotadas para que o uso de uma rede sem fio, doméstica ou corporativa, seja mais seguro.

Outra tentação que precisa ser evitada, especialmente para aqueles que não têm planos de dados elevados ou já consumiram boa parte deles, é o uso do Wi-Fi público e seus riscos e que também dedicamos um artigo.

12. O perigo mora ao lado

Não é raro que dentro de casa ou no escritório, haja um usuário menos atento, mais descuidado, especialmente as novas gerações que são ávidas por clicar e acessar tudo que é novo.

Tal como a quarta dica, seu filho, seu irmão ou pai / mãe, ou quem sabe um colega de trabalho, pode ser vítima e ao confiar que o seu dispositivo ou um arquivo compartilhado é de procedência segura, você automaticamente pode estar comprometendo a sua também.

Imagine o estrago que um arquivo malicioso pode provocar se armazenado na nuvem da empresa, no servidor de arquivos, ou na intranet, ou ainda um dispositivo infectado e conectado na rede de computadores, seja a doméstica, seja a empresarial.

Logo, conscientizar todas as pessoas próximas, fazendo circular conteúdos como esse, é o primeiro passo para melhorar o ambiente que você frequenta.

Aplicar a 11ª dica, também contribui.

Mas e se eu for vítima de phishing?

O volume de phishing circulante na Internet aumenta dia a dia, bem como o nível de elaboração dos golpes têm ganhado em sofisticação e, portanto, basta um descuido para que se passe a fazer parte das estatísticas.

Assim, se perceber que você foi mais um que caiu na "armadilha", não se desespere.

A seguir algumas medidas que visam diminuir o impacto e prováveis consequências:

  • Se suspeita que seu computador está comprometido por malware e foi usado para phishing, desligue-o imediatamente e entre em contato com as empresas relacionadas (banco, site de comércio eletrônico, provedor de acesso, empresa de hospedagem, etc) e explique a sua suspeita. Isso é fundamental, para que medidas como mudança de senhas e bloqueios, interrompam a propagação e o aumento / disseminação do problema;

  • Comprovando-se a situação anterior, é necessário proceder com a remoção dos malwares. Se não souber exatamente o que fazer, chame um técnico ou especialista de sua confiança;

  • Convém utilizar mais de uma ferramenta antimalware para certificar-se que sua máquina está livre de problemas;

  • Se e-mails associados a phishing foram enviados por sua conta de e-mail para seus contatos, é altamente indicado elaborar e enviar um e-mail aos mesmos, informando que foi vítima de malware e que é recomendável que façam uma varredura em seus computadores para certificarem-se que não foram comprometidos;

  • Uma vez que tenha certeza de que os dispositivos que usa para acessos à Internet, tiveram os malwares removidos, altere as senhas de todos os serviços que acessa pelo dispositivo;

  • Bloqueie o remetente, usando um filtro de e-mail.

Adicionalmente, é vital que exista uma rotina de backup e que preferencialmente os arquivos sejam mantidos em mídia sem acesso remoto, ou seja, que não seja na nuvem, em um servidor na Internet ou mesmo em rede. Essa é uma das mais fáceis soluções se o pior acontecer, como no caso de um ataque de ransomware.

Conclusão

Na medida em que a cada dia usa-se mais e mais a Internet para trabalho, questões pessoais e lazer, mais há exposição aos problemas e questões que envolvem a segurança na rede, aproveitando-se do fator humano para disseminação do problema. Assim, cabe ao usuário a diminuição dos problemas, mantendo-se atualizado, tomando cuidados básicos, adotando boas práticas e disseminando informação.

 
 

 

 

Comentários ({{totalComentarios}})