O que é phishing? Evite que roubem seus dados na internet

O phishing é uma técnica de fraude eletrônica criada para roubar dados pessoais ou instalar um malware (software malicioso), com a mesma finalidade. Essa coleta de informações da vítima pode incluir os seus contatos que, invariavelmente, podem ser alvos de outras ameaças virtuais.

O phishing usa uma isca, que pode chegar por email, SMS, redes sociais ou apps de mensagem. A estratégia é popular, pois muitas vezes ela consegue romper as proteções tradicionais de seu computador ou smartphone. Afinal, é você a pessoa que entrega (mesmo sem saber) os seus dados pessoais — ao preencher formulários ou esquemas semelhantes, por exemplo.

Relacionadas

Caçadores de golpistas: 'gincana' premia quem dribla criminoso por diversão

Tem muito fake curtindo fotos e stories no seu Instagram? Veja o que fazer

Criminosos reinventam o golpe do romance para roubar criptomoedas

De acordo com o Panorama de Ameaças da Kaspersky, empresa de cibersegurança russa, o Brasil registrou 110 mensagens de phishing por minuto em 2022, tornando o país o maior alvo do ataque na América Latina, e o quarto colocado no ranking mundial.

Como surgiu o phishing

Segundo a MalwareBytes, empresa de segurança digital, há duas possíveis origens para o termo:

• Na primeira delas (e mais aceita), o nome nasce da junção das palavras "phony" (enganoso") e "fishing" (pescaria) -- numa espécie de "jogar no mar para ver quem cai no golpe".
• Na segunda delas, estaria ligado aos "phreaks", os primeiros hackers. O termo junta "phone" (telefone) e "freaks" (fanáticos) para designar uma subcultura dos anos 70 que enganava operadores de telefonia -- com técnicas muito parecidas com as do phishing -- para fazer chamadas a distância sem pagar nada.

Os primeiros incidentes de phishing foram detectados em 2 de janeiro de 1996, quando hackers se passaram por empregados do AOL (America Online) e, numa combinação de emails e mensagens falsas, enganaram diversos usuários da plataforma, roubando senhas e credenciais.

Já no começo dos anos 2000, ataques similares começaram a mirar não só pessoas, mas também instituições bancárias, que migravam para a internet.

As táticas da época são, até hoje, bem populares, como registrar sites e emails com caracteres muito parecidos com os de empresas originais e confiáveis para enganar potenciais vítimas.

Tipos mais comuns de phishing

Segundo a empresa de cibersegurança TrendMicro, podemos encontrar os seguintes tipos:

• Email phishing: a forma mais popular deste ataque. O cibercriminoso manda um email falso de maneira generalizada para uma lista de pessoas para roubar credenciais, dados e contas de quem clica no link malicioso e cai no esquema;
• Spearphishing: "pescaria de arpão". É um phishing mais específico, com mensagens e informações voltados a enganar uma pessoa. Ex.: pedir dinheiro via WhatsApp porque número novo tá no conserto;
• Whaling: tenta atingir empresas líderes em seus setores ou em posições econômicas confortáveis -- como "pescar uma baleia";
• Smishing: São golpes em que mensagens de texto (SMS), normalmente se passando por bancos ou serviços digitais, levam a pessoa a clicar em links falsos ou enviar informações sensíveis;
• Vishing: É o mesmo princípio do Smishing, mas por uma chamada falsa de voz por telefone, com o criminoso do outro lado se passando por uma instituição bancária.

Outras formas de phishing se tornaram tão elaboradas que deixam de ser facilmente reconhecidas e contam com uma série de táticas em conjunto, como os golpes do namoro e do pig-butchering (criminosos seduzem vítimas para conseguir dinheiro para investir em moedas virtuais).

Por que o phishing engana tanto

Ele joga com o psicológico, criando urgência e legitimidade em um curtíssimo espaço de tempo.

No phishing, a mensagem costuma ser de uma fonte que se passa por confiável. Para comprovar, há um link ou um anexo a seguir.

Para isso, os golpistas usam normalmente o nome de:

1. Uma instituição verdadeira, pessoa conhecida ou do seu círculo de contatos;
2. Uma ameaça ou uma promessa;
3. Um link ou anexo (3).

A instituição pode ser um banco ou uma grande empresa, não importa qual, ou ainda usar nome ou foto dos seus contatos. Isto acontece para que a mensagem falsa ganhe credibilidade.

Depois, o corpo da mensagem apresenta uma ameaça ("sua conta será apagada") ou uma promessa ("depósito em sua conta" ou "restituição financeira").

Esta combinação instituição e ameaça/promessa é um disfarce. O objetivo é que você finalmente clique no link ou baixe o anexo, o verdadeiro anzol. E é aí que mora o perigo. Nestes casos:

1. O link tem a finalidade de encaminhar você a uma página falsa preparada pelo golpista;
2. O anexo pode ser desde um formulário praticamente idêntico ao de uma instituição oficial, um boleto falso ou, no pior dos casos, um malware.

Ao clicar, você se torna vulnerável para que o criminoso do outro lado do golpe furte credenciais, dados pessoais ou até mesmo acesso a suas contas bancárias.

Como diminuir os riscos de cair no golpe

Para escapar desses malandros, mais do que antivírus, é sempre necessário desconfiar das mensagens que recebe.

Separamos alguns passos simples para toda vez que você tiver dúvida:

• Confira a origem da mensagem. A forma de contato (endereço de email, número de telefone) é mesmo daquele órgão ou pessoa conhecida? Muitas vezes são letras ou palavras não relacionadas.
• Não clique imediatamente no link. Vá direto na página do banco ou loja para ver se o aviso está lá também.
• Na dúvida, tente outra forma de contato. Tente para a instituição ou pessoa antes de abrir anexos ou clicar em qualquer link.
• Dá para checar presencialmente? Então cheque. Vá até a pessoa ou instituição e mostre a mensagem enganosa. Peça para que eles conformem a autoria ou validade.

*Com texto de Fabio Andrighetto, em colaboração para Tilt e informações de TrendMicro e MalwareBytes