Mais de 120 ameaças por dia: por que tanta gente cai em golpe de phishing?

Uma das técnicas mais espalhadas por cibercriminosos para aplicar golpes na internet é o phishing. Utilizado para roubar dados pessoais, dinheiro ou instalar um malware (software malicioso) no dispositivo das vítimas, esse tipo de fraude eletrônica vem crescendo.

A empresa de segurança digital Avast registrou uma média de 3.800 tentativas desse tipo de ataque por mês entre outubro do ano passado e setembro deste ano, pouco mais de 120 tentativas de ameaças por dia. Entre os seus clientes brasileiros, ela observou que 39% já se depararam com um esquema de phishing. Os dados fazem parte de uma pesquisa realizada com 2.888 pessoas no Brasil divulgada na última semana.

Inspirado na palavra inglesa "fish", que significa pescar, o golpe usa o artifício de atrair a vítima com mensagens "bombásticas". Alguns exemplos são a promessa de revelar informações pessoais (violando a privacidade da pessoa) ou cobranças de regularização de pendências financeiras.

"Os cibercriminosos aproveitam as tendências. Como durante a pandemia, onde disseminam golpes que prometem a cura do vírus ou o acesso a informações importantes", afirmou André Munhoz, gerente nacional para o Brasil da Avast, a Tilt.

A neuropsicóloga Roberta Faria, presente na divulgação dos resultados do estudo, ressaltou que fator emocional é o principal motivo para que os golpes sejam bem-sucedidos. "Muitas pessoas seguem caindo nos golpes de internet [também] por vulnerabilidade emocional, apresentam sentimentos de curiosidade, vaidade, ganância, desespero, ansiedade e angústia", disse.

Para Faria, a falsa crença de que "nada vai acontecer comigo", que muitos usuários possuem, é também o que acaba permitindo que esse perfil de pessoa seja alvo ainda mais fácil para os cibercriminosos.

"A maioria das pessoas opera sob a ilusão de invulnerabilidade. Acham que isso só acontece com os outros. Sentimentos de onipotência levam os indivíduos a não perceberem que estão próximos a cair em um golpe", avaliou.

Onde mais ocorrem?

Segundo a Avast, 71% dos usuários entrevistados que se deparam com a tentativa de phishing receberam algum conteúdo por email. Desses, 46% acabaram sendo vítimas.

Em segundo lugar estiveram os sites de phishing (páginas falsas que induzem a vítima a clicar em links maliciosos, fornecer dados pessoais, entre outros), com 46% das pessoas relatando ter encontrado uma ameaça do tipo— 31% foram vítimas do golpe.

Tentativas de phishing por telefone também existem. Elas foram registradas por 40% das pessoas ouvidas na pesquisa.

E 7% se depararam em algum momento com tentativas de phishing físico— quando uma pessoa finge ser alguém que não é, como um policial ou prestador de serviço, por exemplo, para obter acesso a uma área restrita (como a casa da vítima, uma empresa) ou enganar a vítima para conseguir dinheiro ou informações pessoais.

Para o especialista em segurança online, é fundamental que informações sobre essas ameaças sejam divulgadas para que mais pessoas conheçam os riscos. "Quanto mais esses tipos de golpes são discutidos, seja na escola, em casa, entre amigos ou pela mídia, a consciência sobre eles aumentará e as pessoas irão parar de reagir impulsivamente e emocionalmente. Ao invés disso, darão um passo para trás para pensar por um minuto antes de reagir", disse Munhoz.

Burocracia e vergonha impedem denúncias

Em casos de golpes virtuais, a recomendação dos especialistas em segurança digital é sempre para que a vítima faça um boletim de ocorrência para registrar o caso. Isso pode ser feito na delegacia mais próxima ou pelo site da Delegacia Eletrônica do seu Estado.

No entanto, a pesquisa da Avast mostra que essa prática ainda não está naturalizada entre os usuários. Apenas 32% dos entrevistados relataram ter sofrido tentativa de ameaças do tipo phishing, enquanto 38% não reportaram nada por "não saber onde denunciar" esse tipo de golpe online.

Já entre aqueles que se tornaram vítimas, 41% disseram que não denunciaram simplesmente por "não saber a quem reportar", enquanto 23% disseram não denunciar por "não valer a pena o aborrecimento".

Segundo Munhoz, realmente existe uma dificuldade para denunciar o ataque de phishing, pois existem diferentes entidades para as quais as vítimas podem recorrer. Cada tipo de ataque demanda de uma maneira de denunciar (você pode conferir mais abaixo).

Outro fator que influencia a decisão, segundo a especialista em neuropsicologia, é o sentimento de vergonha. "Nem toda vítima de phishing denuncia o ataque por vergonha e frustração, considerando também que o tempo perdido e a burocracia do sistema não serão ressarcidos pelas perdas sentidas. Então, preferem se calar", afirmou.

Além disso, chama atenção na pesquisa da Avast que algumas pessoas optam por não denunciar nada por considerar que quantia roubada pelos cibercriminosos não é alta— 5% das vítimas relataram isso, segundo a empresa.

De acordo com a Avast, as quantias perdidas giram em média entre R$ 1 e R$ 259. Isso ocorre porque os atacantes preferem pegar uma quantidade pequena, que não chama tanta atenção das pessoas, mas compensam com o grande número de usuários afetados.

"Para um cibercriminoso, é melhor atingir uma vítima e roubar uma quantia menor em dinheiro, já que há mais chance de que nada vai acontecer. Muitas vezes a vítima não vai se importar ou não vê problema em perder um valor menor e, por isso, pode nem mesmo chegar a reportar o golpe para a polícia porque sua perda financeira foi baixa", explicou Munhoz.

O que fazer quando cair no golpe?

De acordo com a Avast, 24% dos que caíram em um golpe do tipo acreditam que é necessário apenas mudar as senhas. Outros 23% afirmaram que não alteraram nada após o phishing. 15% relataram que cancelaram os cartões de crédito e débito, enquanto apenas 9% se preocuparam com a chance terem tido dados pessoais roubados.

Na dúvida, existem algumas práticas que a vítima deve seguir caso tenha certeza de que foi alvo de ataque de phishing (ou desconfie), segundo Munhoz.

• Todas as credenciais de login online devem ser alteradas com o uso de senhas fortes.
• Phishing bancário: em casos de páginas falsas de bancos, o usuário deve entrar em contato com os canais específicos da sua instituição financeira para reportar a fraude. Caso suspeite de acesso indevido aos dados do seu cartão de crédito, é fundamental informar à operadora do cartão e solicitar o cancelamento imediato.
• Se a pessoa foi enganada por meio de um site ou aplicativo, ela pode informar isso também ao site oficial e ao desenvolvedor do app, para ajudar a impedir que outras pessoas sejam enganadas.
• Se houver perdas financeiras em qualquer tipo de ataque de phishing, elas também deverão ser reportadas ao banco da vítima.

Se a pessoa recebeu um email ou SMS suspeito, ou foi vítima de fraude online, ela deve procurar o seu banco e reportar o SMS, a página falsa do banco na internet, email falso e demais golpes para os canais de atendimento exclusivos para esses assuntos disponibilizados pelo próprio banco Munhoz.

Phishing por email

Os casos de ameaça vinda por email merecem um destaque maior por serem muito comuns.

Em casos assim, as ameaças devem ser reportadas para o provedor do serviço de email do usuário (Gmail ou Outlook, por exemplo). Isso pode ajudar as empresas a criar estratégias para impedir que outras pessoas sejam enganadas.

No caso de falsos emails enviados em nome de empresas reais, a vítima também pode procurar um canal de contato para informá-la que um phisher está usando a marca para tentar enganar as pessoas.

Em qualquer um dos casos acima, o usuário deve copiar o email para o endereço cert@cert.br, que pertence ao CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil), do Núcleo de Informação e Coordenação do Ponto BR.

Ao receber o comunicado, o CERT.br irá acrescentar as informações em seus relatórios estatísticos sobre a incidência e origem de fraudes por email no Brasil.

Em seu site oficial, o CERT.br ressalta que "é muito importante incluir o conteúdo completo da mensagem na reclamação, pois só assim será possível identificar o site utilizado para hospedar o esquema fraudulento, que pode ser uma página clonada de uma instituição financeira, um arquivo malicioso para furtar dados pessoais e financeiros de usuários, entre outros."

Caso haja conflito entre a vítima e a empresa envolvida, a pessoa pode ainda procurar apoio junto ao Consumidor.gov.br. É um serviço público gratuito que permite a interlocução entre consumidores, companhias cadastradas no site e o Procon da sua localidade.

"Tudo depende do tipo de golpe de phishing e a quem ele está sendo denunciado. Em qualquer caso, uma opção bastante direta é denunciar o esquema de phishing ao APWG (Grupo de Trabalho AntiPhishing), já que muitos fornecedores de segurança, entidades financeiras e empresas de telecomunicações trabalham juntos para impedir o phishing", acrescentou Munhoz.