Mulher diante do computador infectado

O que é phishing? Conheça essa fraude e saiba como se proteger

Você sabe o que é phishing? Saiba tudo sobre esta ameaça online, que já fez mais de 150 milhões de vítimas no Brasil.

Você sabe o que é phishing? Apesar desse termo parecer relativamente novo, ele pode remeter a vários tipos de riscos bastante familiares, e os prejuízos desse tipo de ataque já não são novidade aqui no Brasil.

Em 2017, o dfndr lab classificou essa ameaça como a segunda maior no período, com 21 milhões de detecções. Em 2020, o registro é de que 47 milhões de golpes aconteceram. Já em 2021, a PSafe estima que o phishing fez mais de 150 milhões de vítimas.

Como você pode perceber, este é um perigo que não para de crescer. Descubra tudo sobre ele e aprenda a proteger seus dispositivos agora mesmo, com a leitura deste post.

Afinal, o que é phishing?

O phishing é um tipo de ciberataque que se assemelha a uma tentativa de enganar usuários da tecnologia digital. Geralmente ocorre via e-mail, mas também pode aparecer em forma de ligações, mensagens em redes sociais e SMS.

Frequentemente os autores se disfarçam de alguém que você conhece ou de uma instituição conhecida, como um banco, uma marca famosa ou qualquer instituição legítima para atrair indivíduos. O objetivo é conseguir o fornecimento de dados confidenciais, como informações de identificação pessoal, dados bancários e senhas.

Os conteúdos típicos de phishing também podem conter links que, quando acessados, levam o usuário a um site ou programa fraudulento. Nele, um programa de software mal-intencionado roubará informações pessoais do seu computador, como senhas, arquivos e números de contas bancárias.

Essas informações são usadas para acessar contas importantes e até mesmo roubar sua identidade ou seu dinheiro. Também é possível adquirir bens em seu nome e realizar outras atividades fraudulentas.

As diferenças entre phishing e SPAM

Enquanto o SPAM se trata de todo tipo de comunicação eletrônica enviada em massa e sem autorização do destinatário, o phishing se encaixa dentro desta categoria com um diferencial: ele é expressamente projetado por um agente maligno para tirar vantagem de você ou sua empresa.

Os tipos mais comuns de SPAM incluem encaminhamentos de correntes, conteúdo adulto, newsletters e solicitações de boletins indesejados (normalmente de natureza comercial). Já o phishing se disfarça de uma mensagem aparentemente confiável, cujo remetente pode ser um falso banco, uma pessoa se passando por recrutadora ou um anúncio de uma premiação/bonificação que não existe. Tudo com o objetivo de obter informações confidenciais.

Quais são os principais perigos do phishing?

Para entender melhor o que é phishing, é preciso que você conheça os riscos e consequências que estes tipos de ataques podem gerar a nível pessoal e corporativo.

Os riscos de phishing a nível pessoal

Algumas consequências que o phishing pode causar para uma pessoa que o acessa em seu dispositivo pessoal incluem:

  • Dinheiro sendo roubado de sua conta bancária.
  • Cobranças fraudulentas em cartões de crédito.
  • Perda ou sequestro do acesso a fotos, vídeos e arquivos pessoais.
  • Postagens falsas em redes sociais (feitas em sua conta pessoal).
  • Cibercriminosos se passando por você diante de um amigo ou membro da família, colocando-os em risco.

Os riscos de phishing no trabalho

Algumas consequências que o phishing pode causar no âmbito profissional incluem:

  • Perda de fundos corporativos.
  • Exposição de informações pessoais de clientes e/ou colegas de trabalho.
  • Arquivos corporativos bloqueados e/ou inacessíveis.
  • Danos graves à reputação da empresa.

Como identificar um ataque de phishing?

Você sabe identificar um ataque de phishing via e-mail? Cerca de 97% das pessoas que utilizam internet não sabem. Este foi o resultado de uma pesquisa da Intel sobre hábitos de consumidores digitais, ao analisar suas capacidades de reconhecer e-mails falsos. A pesquisa contou com 20 mil participantes em 144 países do mundo, e apenas 3% dos usuários conseguiram identificar os e-mails maliciosos (sendo que 80% se enganaram ao apontar os e-mails legítimos como falsos).

Nos testes, os homens se saíram melhor que as mulheres, e os países que tiveram melhor desempenho foram: França, Suécia, Hungria, Holanda e Espanha. Os Estados Unidos aparecem apenas na 27ª posição.

Para que você não faça parte da estatística de possíveis vítimas, é preciso ter um olhar apurado para este tipo de golpe. Veja abaixo o que pode ser verificado em cada dispositivo.

  • Em qualquer e-mail: você pode examinar a URL do remetente para se certificar de que é legítima. Ele parece provir de uma empresa conhecida, como redes sociais populares ou a página de uma celebridade? O conteúdo pede para você clicar na foto de um famoso ou outra imagem gráfica? Estes são alguns sinais de alerta.
  • Ao verificar os hiperlinks: tenha cuidado ao clicar em links que contenham caracteres estranhos ou sejam abreviados. Na dúvida, sempre utilize nosso verificador de links para se certificar de que aquele endereço é seguro.
  • Em dispositivos móveis: você pode observar a URL de destino em links ao manter seu dedo pressionado sobre ele. Como resultado, a URL aparecerá em uma pequena janela pop-up.
  • Em páginas da web: a URL de destino será revelada no canto inferior esquerdo da janela do navegador, ao passar o mouse sobre o texto âncora.

Também é importante desconfiar caso você encontre qualquer detalhe abaixo em seu conteúdo:

  • Remetentes desconhecidos.
  • URL com erros ortográficos.
  • Mensagens com erros ortográficos ou gramaticais.
  • Presença de anexos ou links suspeitos.
  • Conteúdos com senso de urgência (que demandam a execução de algo rapidamente) ou até mesmo ofertas “boas demais para serem verdade”, como uma premiação ou vantagem que você precisa garantir.

Leia mais: Como saber se um link é phishing no WhatsApp

Como saber se um link é phishing no Facebook

O que fazer ao receber um phishing?

Se você receber um e-mail suspeito, a primeira dica é não abri-lo. Em vez disso, denuncie o conteúdo à sua empresa como suspeita de phishing. Quanto mais cedo suas equipes de TI e segurança forem avisadas sobre a ameaça potencial, mais cedo sua empresa poderá tomar medidas para evitar que danifiquem sua rede.

Caso receba o conteúdo em seu computador pessoal, denuncie-o e bloqueie o remetente. A maioria dos e-mails serviços online hoje já apresentam essa opção diretamente em um botão ou menu.

Se você perceber que se envolveu acidentalmente com um ataque de phishing e forneceu qualquer informação confidencial, deve relatar a ocorrência diretamente a um profissional especializado em segurança da informação. Se você não informar o ataque imediatamente, poderá colocar seus dados e sua empresa em risco.

Quais são os principais tipos de phishing?

Se há um denominador comum entre todos os ataques de phishing, é o disfarce. Os invasores falsificam o remetente para que pareça que ele está vindo de outra pessoa, criam sites falsos que se assemelham muito a aqueles em que a vítima confia e usam conjuntos de caracteres estrangeiros para disfarçar URLs.

Ainda assim, há uma variedade de técnicas que se enquadram no conceito de phishing. Existem maneiras diferentes de dividir os ataques em tipos. Conheça agora os principais deles.

Spear phishing

O spear phishing tem como alvo indivíduos específicos, em vez de um amplo grupo de pessoas. Dessa forma, os invasores podem personalizar suas comunicações e parecer mais autênticos.

O spear phishing costuma ser a primeira etapa usada para penetrar nas defesas de uma empresa e realizar um ataque direcionado. De acordo com uma análise feita pelo SANS Institute, 95% de todos os ataques à redes corporativas são resultado de um spear phishing bem-sucedido.

Whaling/fraude do CEO

Quando os cibercriminosos vão atrás de um “peixe grande” como um CEO, este tipo de ataque é chamado de “whaling” (algo como “caça às baleias”, em português). Esses invasores geralmente gastam um tempo definindo o perfil do alvo para encontrar o momento oportuno e os meios corretos para roubar credenciais de login.

O whaling é considerado um ataque de alta gravidade, que causa bastante preocupação porque executivos de alto nível podem ter acesso a uma grande quantidade de informações confidenciais da empresa.

Smishing

O “smishing” nada mais é do que a junção das palavras “SMS” e “phishing”. Ou seja: trata-se da fraude de phishing praticada exclusivamente via SMS. Neste tipo de ataque (geralmente praticado em nomes de bancos ou instituições financeiras), a vítima recebe uma mensagem de alerta, com intenção de coletar informações pessoais ou fazer o destinatário acessar links suspeitos.

SPAM de SMS

BEC

A sigla BEC (business email compromise) se refere a um disfarce de e-mail corporativo. Essas mensagens geralmente assumem a forma de solicitações “urgentes” de uma empresa, pretendendo ser de uma equipe sênior, como o CEO ou CMO. Eles usam táticas de engenharia social para enganar os membros mais jovens da equipe, fazendo-os enviar dinheiro para o destinatário errado ou revelar informações comerciais confidenciais.

Phishing de Social media

Você já recebeu algum DM suspeito de um desconhecido? Muitas vezes, invasores fazem uma pesquisa sobre suas vítimas nas redes sociais e outros sites para coletar informações detalhadas e, em seguida, planejar o ataque.

Phishing bancário

O phishing bancário consiste em sites falsos, iguais às páginas de instituições bancárias, criados para enganar os usuários e roubar suas credenciais do banco, como tokens, senhas, números da conta, dados de cartão de crédito, entre outros.

Phishing de voz

O phishing de voz, ou “vishing”, é uma uma chamada telefônica fraudulenta, projetada para obter informações confidenciais. Nelas, o criminoso pode ligar fingindo ser um agente de suporte, ou representante de sua empresa. Novos funcionários são mais vulneráveis ​​a esses tipos de golpes, mas eles podem acontecer com qualquer pessoa – e estão se tornando mais comuns.

Em quais armadilhas virtuais o phishing está presente?

O phishing pode estar mais presente em sua rotina do que você pensa, e acompanhado de outras armadilhas virtuais. Confira abaixo em quais veículos este golpe pode se esconder (ou até mesmo complementar).

Publicidade suspeita

Estamos falando de páginas ou notificações com avisos falsos sobre o funcionamento do celular, induzindo o usuário a instalar um aplicativo ou redirecionando-o a outro link malicioso. Esta modalidade ficou em segundo lugar no ranking do dfndr lab, somando mais de 60 milhões detecções em 2017.

O golpe do SMS pago

Sites que cadastram automaticamente ou induzem o usuário a se cadastrar em um serviço pago de SMS também se enquadram em ataques de phishing. O golpe do SMS pago somou, em 2017, mais de 20 milhões de detecções, ficando em terceiro lugar no ranking do dfndr lab.

Perfis falsos

Estes tipos de contas são criadas com o objetivo de aplicar golpes de estelionato ou espalhar notícias falsas. No caso de estelionato, os perfis falsos se passam por marcas famosas e induzem o usuário a acessar páginas falsas que roubam credenciais bancárias. Existem também os scammers, que são pessoas que se passam por terceiros para conquistar a confiança de suas vitimas e, depois, aplicar golpes.

Fake News

As Fake News (ou notícias falsas, em português) são conteúdos sensacionalistas produzidos com a intenção de levar os usuários da internet a uma determinada página, para visualizar anúncios publicados ali. Os temas, geralmente polêmicos e exagerados, também podem ser criados com o intuito de manipular a opinião pública.

Malware

Um malware se refere a todo e qualquer arquivo ou aplicativo que apresenta comportamentos nocivos para o usuário. Este tipo de ameaça se divide em algumas subcategorias, que são:

  • Vírus: tipo de malware que infecta outros arquivos, alterando seu conteúdo, de forma que eles passem a ter códigos maliciosos.
  • Ransomware: outro tipo de malware que “sequestra” algum dado sigiloso do usuário ou bloqueia o celular da vítima e, posteriormente, cobra pelo “resgate” dessas informações ou desbloqueio do aparelho.
  • Worm: ao invés de infectar outros arquivos, este tipo de malware procura se espalhar para outros dispositivos, por meio de e-mail e mensagens via aplicativo, por exemplo.

Segundo Emilio Simoni, diretor do dfndr lab, os cibercriminosos podem obter diferentes retornos sobre cada tipo de fraude digital.

“Não dá para generalizar o lucro dos criminosos, pois ele pode variar muito. No ransomware, por exemplo, o hacker cobra dinheiro da vítima para devolver os dados sequestrados ou para realizar o desbloqueio do celular. Os demais tipos de ciberataques podem levar ao download de aplicativos perigosos, o registro do telefone da vítima em serviços de SMS pagos e, outra prática comum, é o celular do usuário passar a receber dezenas de propagandas diárias. A cada visualização de publicidade, download de aplicativos maliciosos e assinaturas de SMS, o hacker ganha dinheiro”, explica Simoni.

Por que os casos de phishing aumentam durante uma crise?

Como você pode ver, o número de ataques de phishing cresce a cada ano. Isso porque, além da popularização do golpe, criminosos confiam na criação de um senso de urgência para obter sucesso com suas abordagens. Momentos de incerteza (como a pandemia do coronavírus) oferecem uma grande oportunidade de atrair as vítimas.

Durante uma crise, as pessoas se sentem ansiosas e inseguras. Querem informações e estão procurando a orientação de seus empregadores, do governo e de outras autoridades relevantes. O resultado? Mais de 5 milhões de downloads de aplicativos não-oficiais da da Caixa Tem e do Auxílio Emergencial.

Outro exemplo pode ser baseado na alta taxa de emprego atual. Isso favorece a disseminação do “golpe da falsa vaga de emprego”, que já teve mais de 346 mil detecções em 2021. Nela, os cibercriminosos se passam por gerentes de grandes marcas, como Amazon, ou simplesmente prometem altos salários em vagas de meio período, sem mencionar a empresa.

Diante da necessidade de apoio, é fácil entender por que uma mensagem que parece ser de uma dessas entidades e promete novas informações (ou instrui os destinatários a concluir uma tarefa rapidamente) receberá mais adesão do que antes da crise. Um clique impulsivo depois, o dispositivo da vítima pode ser infectado.

Como se proteger do phishing?

Os especialistas de segurança do dfndr separaram algumas dicas essenciais para você não cair em golpes de phishing.

  1. Olhe bem o teor do conteúdo recebido. Ele contém um link com um nome anônimo, por exemplo, uma corrente de números e letras sem sentido? Existem erros ortográficos ou gramaticais? Esses são sinais de advertência de um golpe.
  2. Cuidado com os “amigos”. Se o remetente parece ser alguém que conhece, leia atentamente a mensagem. O texto inclui seu nome ou é genérico, dizendo algo como: “olhe isto” ou “olá, está nesta foto”?. Contém vocabulário que é rebuscado ou pouco familiar? Estes são sinais de que alguém roubou a lista de contatos de seu amigo e se faz passar por ele.
  3. Tome cuidado com ameaças. A técnica favorita dos golpistas é tentar causar medo para que você clique no link falso. Se disser algo como, “responda em 24 horas ou sua conta vai ser cancelada”, quase sempre é um golpe.
  4. Não caia em uma farsa. Inclusive se parecer um link seguro e logo clicar nele, leia cuidadosamente o site de destino e evite escrever qualquer informação pessoal ou senhas. Os golpistas são bons “suplantando” sites populares e criando janelas pop-up que parecem confiáveis.
  5. Crie o hábito de duvidar das informações compartilhadas na internet, principalmente quando se tratar de supostas promoções, brindes, descontos ou até promessas de emprego.
  6. Em vez de clicar em um link de e-mail, abra seu navegador web e escreva o nome do banco (ou do suposto remetente) você mesmo. Dessa forma, pode saber se está indo a um site legítimo. Alternativamente, chame ao suposto remetente e pergunte para ele se enviou mensagem para seu e-mail. Se não, notifique ele que pode estar acontecendo um golpe.
  7. Reserve um pouco do seu tempo para inspecionar e-mails duvidosos, e ter certeza que o endereço do link indicado na mensagem é mesmo legítimo.
  8. Antes de clicar em qualquer link, verifique no site oficial da empresa se aquele conteúdo ou oferta já está publicado.
  9. Nunca forneça dados pessoais por e-mail, como senhas e logins.
  10. Baixe aplicativos apenas pelas lojas oficiais (Play Store e Apple Store). Assim, você evita o risco de fazer downloads de arquivos maliciosos.
  11. Mantenha um antivírus instalado e atualizado no seu dispositivo. Para sistema Android, a recomendação é o aplicativo dfndr security, que é gratuito e conta com proteção completa contra phishing. Além disso, ele detecta e avisa se um link é perigoso assim que você recebe uma mensagem maliciosa.

Agora que você já sabe o que é phishing e como escapar dele, não pare por aí. Preparamos mais um conteúdo com 10 dicas para se proteger de malware, phishing e e-mails falsos para você aprimorar ainda mais a segurança de seus dados!