ANTIFRAUDE

Entenda o que é phishing e como se proteger desse golpe

É importante que você entenda o que é phishing e como se proteger desse golpe. Isso porque com o uso cada vez maior dos meios digitais para fazer compras e pagar contas, esse golpe também tem se tornado comum.

Criado 05/07/22         

Compartilhe:

Em geral, os criminosos se passam por empresas renomadas com o intuito de coletar informações pessoais e dados de cartão de crédito. Esse tipo de golpe pode causar prejuízos financeiros não só para a vítima, mas para as pessoas ao seu redor. Definitivamente, a melhor forma de se proteger é obter o máximo de informações possíveis. Inclusive, há pontos de atenção que ajudam a identificar a fraude e estão listados neste texto.

Afinal, o que é phishing?

O termo faz referência a “fishing”, que significa “pescar” em inglês, isso porque são usadas algumas iscas para atrair as vítimas. Em outras palavras, o cibercriminoso ganha a confiança da vítima se passando por uma pessoa conhecida ou empresa legítima. Em seguida, tenta convencer o alvo a informar seus dados, alegando se tratar de uma confirmação de identidade do cliente.

Essa prática ocorre há anos, tendo se popularizado com o crescimento das redes sociais. Por vezes é encaminhado um link para clique, em outras um arquivo para download ou até uma solicitação real de pagamento. Eventualmente, o meio de comunicação mais comum é o email. Porém o contato também ocorre por SMS, perfis falsos nas redes sociais, telefonemas, cópias de sites oficiais ou pop-ups.

A partir do momento em que esses phishers conseguem acesso aos dados pessoais, uma sequência de golpes podem ser aplicados. Desde o uso de cartões de créditos e solicitação de empréstimos em nome da vítima, bem como outras movimentações que impactam a vida e o orçamento de terceiros. Tais ações não são fáceis de rastrear e, em alguns casos, a pessoa afetada tem dificuldades até em provar que não é responsável pelos feitos.

Tipos de phishing mais comuns

Assim como os vários canais de envio, phishers também usam diversos formatos de mensagens maliciosas. Cada um deles faz uso de uma estratégia para convencer o alvo a passar informações específicas, a denominação faz alusão a tipos de pesca. Veja as mais comuns:

Phishing enganoso

É aquele em que o hacker se passa por uma empresa ou pessoa com quem você se relaciona. Dessa forma, as chances de ganhar sua confiança são maiores. A isca usada é justamente associar a origem da mensagem a algo ou alguém que você conhece para não questionar a identidade.

À primeira vista parecem ter sido enviados pelo contato verdadeiro, mas pequenos detalhes mostram a divergência. Costumam ser personalizadas com seu nome ou alguma característica com a qual você se identifique. De qualquer forma, requer muito conhecimento do hacker, portanto haverão falhas fáceis de visualizar.

Spear Phishing

Remete aos barcos de pesca industrial que lançam grandes redes prontas para capturar tudo o que tiver pela frente. Ao contrário da modalidade anterior, essa contém informações genéricas que podem ou não se aplicar ao alvo. Nesse sentido, os golpistas contam com a sorte e a curiosidade das pessoas.

Por exemplo, um dos gatilhos que ajudam a fisgar a vítima é a oferta de produtos por valores extremamente baixos e período limitado. A pressa induz ao clique imediato antes de pensar sobre a veracidade daquela informação. Outra estratégia é usar perfis falsos em redes como LinkedIn, onde eles solicitam dados pessoais em ofertas de empregos que não existem.

Smishing

De maneira idêntica ao email, aqui o golpe é enviado por SMS e usa as emoções da vítima para gerar reações imediatas. Por vezes a mensagem parabeniza pelo ganho de sorteios ou prêmios que atraem o clique. Da mesma forma, o texto pode constranger o destinatário apontando uma suposta dívida e orientando a quitação através de um boleto falso.

Whaling

Esse tipo de phishing visa indivíduos com cargos de alto escalão nas grandes corporações, por isso a metáfora está relacionada à pesca de baleia ou “peixe grande”. Porém o objetivo não é roubar apenas os dados do indivíduo e sim da companhia a qual ele está vinculado. Em outras palavras, a proporção desse golpe é muito maior e mais ambiciosa, já que a partir das credenciais coletadas o golpista tem acesso a várias outras vítimas.

Fraude de CEO

Tal qual o whaling, a Fraude de CEO visa atacar membros de uma companhia, especialmente seus funcionários. Mas nesse caso, as credenciais do executivo de alto escalão já foram roubadas e o criminoso utiliza sua identidade para obter informações de pagamento entre outras informações privilegiadas dos outros colaboradores.

Clone phishing

Em síntese, os hackers copiam o email de uma empresa e reencaminham para os mesmos destinatários se passando pela marca. O ponto crucial desses emails é que são uma cópia fiel ao legítimo, com uma única diferença: os links foram substituídos. Por fim, aqueles que acessarem os links maliciosos preencherão seus dados em páginas falsas ou darão abertura a malwares. De qualquer forma, essas informações serão entregues diretamente aos malfeitores.

Manipulação de links

Frequentemente, em alguns casos mais elaborados, os links tem exibição bem parecida com os verdadeiros. As diferenças estão em um caractere semelhante ou alternância de letras maiúsculas e minúsculas. Também chamados de ataques homográficos, esse tipo de golpe pode até mesmo exibir o nome de um site confiável na exibição do link. Porém ao clicar, o usuário é redirecionado para uma página falsa.

Scripting entre sites

Por fim uma técnica ainda mais avançada: o hacker sequestra o site original e usa para seus próprios interesses. Explorando os pontos fracos da página oficial, invade sem precisar fazer qualquer alteração. Desde o visual, até os certificados de segurança são os mesmos, por isso essa ação é indetectável já que tudo é legítimo. Ainda assim, mantenha a calma porque tem como proteger seus dados.

Quais os riscos de acessar links maliciosos

Principalmente em casos de phishing, um simples clique pode custar caro. Você pode estar se perguntando o que um hacker pode fazer com seus dados, a verdade é que existem muitas possibilidades.

Antes de mais nada, o phisher vai tentar tirar alguma vantagem das informações que conseguiu. O mais comum é o roubo de dados bancários, a partir disso passam a fazer movimentações financeiras como transferência de saldo ou uso do cheque especial. Em geral, pequenas quantias também interessam aos criminosos já que eles costumam atacar diversas vítimas ao mesmo tempo. Dessa forma a soma do golpe resulta em alto valor.

Seu cartão de crédito pode estar em risco

Da mesma forma, os cartões de crédito podem ser facilmente clonados se você não tomar cuidado. Ao inserir os dados do cartão em sites maliciosos, essas informações são replicadas em compras não autorizadas pelo titular. Como resultado, a fatura fica repleta de cobranças inesperadas causando endividamento.

Além disso, os hackers podem se aproveitar de outros conhecimentos que aparentam ser inofensivos.

Alguns malwares acessam seus contatos e através disso o golpista se conecta a eles fingindo ser você. Imediatamente contata as pessoas que você conhece e as convence a fazer transferências bancárias para a conta do golpista como um favor. Nesse sentido, é preciso estar atento às mensagens de pessoas conhecidas solicitando quantias financeiras. Procure outra forma de contatar a pessoa e confirmar o pedido antes de fazer qualquer depósito.

Como evitar ser fisgado?

Com alguns cuidados simples é possível se proteger das tentativas de phishing. Primeiramente, o uso de um antivírus pode te proteger dos chamados malwares. Além de alertar as tentativas de invasão, a maioria bloqueia a ação desses softwares mal intencionados.

Sempre que receber links por emails ou outras formas de contato, posicione o mouse sobre o link e verifique a descrição. Não clique caso o endereço pareça suspeito, principalmente se forem os chamados shortlinks (links encurtados que não exibem a página final do redirecionamento).

Outra forma de evitar o roubo de dados é ficar atento a pequenos detalhes. No caso dos emails, o remetente terá origem suspeita já que os hackers não usarão as contas oficiais. Sempre que entram em contato com os clientes, as empresas usam emails de domínio próprio. 

Observe a origem do contato

Os contatos oficiais costumam ter o formato contato@nomedaempresa.com e não utilizam plataformas como Gmail, Hotmail, Outlook, etc. Se o remetente for uma sequência de caracteres aleatórios, com certeza não é confiável. Além disso, empresas reais já têm os dados que você fornece no cadastro, por isso costumam personalizar o contato com o nome do cliente. Se não tem o teu nome, não é para você. Lembre-se que empresas nunca farão contato para solicitar dados pessoais, seja por telefone, email ou SMS.

Por último, mas não menos importante, troque suas senhas com frequência. Um phisher não conseguirá fazer o acesso caso a senha tenha sido alterada. Outro cuidado é não repetir senhas ou usar dados pessoais que possam ser usados facilmente como nome, data de aniversário ou número de telefone.

Se você possui um banco de dados que precisa ser protegido, existem empresas especializadas com serviços anti-phishing e bloqueios de invasores. De qualquer modo, quanto maior o banco de dados ou grau de sigilo das informações, mais vale a pena investir nesse tipo de serviço.

Como identificar a tentativa de phishing

Aqui vai um checklist que ajuda a identificar se o email é fraude ou confiável.

    • O e-mail não está endereçado a você: lembre-se que as empresas reais já tem seus dados e te chamarão pelo nome;
    • “É bom demais para ser verdade”: é comum o uso de ofertas tentadoras que atraiam o consumidor pelo bolso, mas se os preços forem muito baixos podem ser apenas uma isca e a oferta não é real;
    • Urgência ou tempo limitado: empresas costumam fazer seus anúncios com antecedência, já os phishers precisam convencer a vítima antes que ela possa pensar a respeito. Se o prazo for curto demais ou imediato, não confie;
    • Ameaças: “seu serviço será cancelado…” ou “sua conta foi bloqueada…”, esse tipo de mensagem sem avisos anteriores indicam fraude. As regras de bloqueio, suspensão e cancelamento estão informadas no contrato, portanto antes de gerar qualquer restrição a empresa fará mais de um aviso;
    • Links abreviados: como dito na seção acima, o link confiável deve exibir o endereço de destino. Se estiver encurtado ou tiver algum caractere incomum, não clique;
    • Erros ortográficos: seja no endereço do link ou no corpo do email, erros na escrita não são bom sinal. Empresas sérias investem em redatores e outros profissionais que revisam seus textos, por isso erros grotescos podem ser um indício de fraude;
    • Anexos de fontes desconhecidas: abra somente os anexos vindos de pessoas conhecidas ou se você tiver solicitado para a empresa. Além de enviarem boletos e faturas falsas, os hackers costumam esconder malwares em arquivos anexados para que você faça o download;
    • Solicitação de informações pessoais: correndo o risco de ser repetitivo, é preciso ressaltar que as empresas já tem os dados que precisa dos clientes, portanto não vão solicitar por telefonema ou email.
    • Você não contratou esse serviço/empresa: phishers normalmente não conseguem saber quem são os clientes das empresas pelas quais se passam, então encaminham mensagens para pessoas aleatórias. Se você não consome nada dessa empresa, suspeite do contato.

Saiba agir ao suspeitar da mensagem

Antes de mais nada, denuncie e exclua!

Independente do provedor de email que você utiliza, ele deve oferecer uma opção direta para sinalizar tentativas de phishing. Essa atitude ajuda que a mesma mensagem seja sinalizada como potencialmente perigosa para os outros destinatários do golpista. Além disso, várias denúncias podem causar o bloqueio e a exclusão da conta fraudulenta impedindo que outras pessoas sejam enganadas.

Sobretudo nos casos de páginas fraudulentas, você pode usar o Google Safe Browsing para denunciar usando o link do site. Esse mecanismo de denúncia está disponível no mundo todo e em diversos idiomas, inclusive português. Outra opção é o site da Antispam.br, um site mantido pelo Comitê Gestor da Internet no Brasil (CGI.br).

Em seguida, avise a empresa real de que phishers estão usando a marca para aplicar golpes. Você pode usar o SAC, email, redes sociais ou qualquer forma de contato disponibilizado nos canais oficiais.

A informação é a ferramenta mais poderosa contra a fraude. Além disso, ensinando aqueles ao seu redor a se protegerem também, você constrói uma barreira de proteção para os seus dados. Sendo assim, ajude a criar uma internet mais segura compartilhando esse material com quem você conhece. 

Por fim, continue acompanhando o blog da Solução Financeira, aqui você aprende a cuidar do seu dinheiro em todos os aspectos. Até a próxima!

Posts relacionados

Solução Financeira – CNPJ: 23.847.868/0001-27