Entenda o que é phishing e como se proteger desse golpe
Entenda o que é phishing, de onde vem este termo, quais são os exemplos mais comuns e como se proteger desse tipo de ataque
Os golpes financeiros, conhecidos também como phishing bancário, praticamente dobraram entre 2022 e 2021: foi um aumento de 97%, segundo um levantamento da PSafe, empresa de cibersegurança.
De janeiro a julho de 2022, foram mais de 5 milhões de tentativas de golpes financeiros.
No entanto, apesar de ser comum nesse segmento, esse é um problema que acontece também em outros contextos, pois envolvem o roubo de qualquer informação confidencial.
A seguir, entenda mais sobre esse problema, os principais exemplos dele e também dicas de como se proteger desse ataque.
O que é phishing?
O ataque phishing é um tipo de crime cibernético popular no qual os criminosos tentam obter informações confidenciais, como senhas, números de cartão de crédito, informações bancárias ou outros dados pessoais, fingindo ser uma entidade confiável.
Os golpistas se passam, por exemplo, como organizações legítimas, como bancos, empresas de comércio eletrônico, serviços de pagamento ou provedores de serviços online populares.
O principal objetivo do phishing é enganar as vítimas e, assim, obter informações confidenciais ou fazer com que essas pessoas realizem ações prejudiciais, como clicar em links maliciosos, abrir anexos infectados por malware ou fornecer dados pessoais em sites falsos.
No geral, táticas psicológicas, como urgência, medo ou recompensa, são usadas para manipular as pessoas e fazê-las agir rapidamente, sem suspeitar da autenticidade da comunicação.
Como surgiu o termo?
O termo “phishing” tem origem na palavra em inglês “fishing” (pesca), devido à semelhança entre as táticas utilizadas pelos criminosos cibernéticos e a prática de pescar.
Ele se combina com “phreaks”, termo usado para se referir aos primeiros hackers da internet. A grafia “ph” foi usada para vincular golpes de phishing a essas comunidades clandestinas.
Os golpistas empregam essa estratégia para obter ilegalmente as informações das vítimas que caem na armadilha criada pelo phisher (ou “pescador”), termo utilizado para descrever aqueles que realizam ataques de phishing.
Essas informações são do projeto phishing.org, projeto educativo sobre o tema.
Segundo o site, a primeira vez que o termo “phishing” foi usado e registrado foi em 2 de janeiro de 1996, dentro de um fórum de notícias da American Online (AOL), como forma de identificar os ataques dentro da rede.
O termo ganhou popularidade à medida que os ataques de phishing se tornaram mais comuns e sofisticados. Desde então, o termo “phishing” é amplamente utilizado para descrever esse tipo específico de ataque cibernético.
Hoje, a prática de enviar mensagens fraudulentas para obter informações pessoais e financeiras das vítimas é reconhecida como uma ameaça significativa na era digital.
3 exemplos de phishing
Segundo uma pesquisa da empresa de segurança Proofpoint, aproximadamente um quarto das empresas brasileiras relataram perdas financeiras devido a ataques digitais em 2022.
A maioria dessas empresas afirmou ter sofrido casos de roubo de dados. O levantamento revelou que 78% das empresas brasileiras tiveram pelo menos uma experiência bem-sucedida de ataque de roubo de dados por e-mail, ou seja, phishing.
Além disso, 23% delas relataram perdas financeiras como resultado desses ataques. A pesquisa da Proofpoint foi conduzida em 14 países, incluindo o Brasil, e constatou que 58% das empresas brasileiras sofreram tentativas de ransomware no ano anterior.
Dessas tentativas, 46% foram bem-sucedidas para os hackers, demonstrando a seriedade e a eficácia desses ataques.
Há uma grande quantidade de exemplos de phishing que podem ser aplicados nas vítimas. Entenda melhor a seguir.
Scam
Esses são ataques generalizados que visam um grande número de pessoas de forma indiscriminada.
Geralmente, os golpistas enviam e-mails em massa fingindo serem de bancos, empresas de comércio eletrônico ou órgãos governamentais, solicitando informações pessoais, detalhes de contas bancárias ou senhas.
Tais e-mails costumam conter erros gramaticais e ortográficos e podem tentar criar um senso de urgência para levar as vítimas a tomar ações precipitadas.
Whaling
O whaling é um tipo de ataque phishing direcionado a indivíduos ou organizações de alto perfil, como CEOs, executivos de alto escalão ou funcionários-chave de uma empresa.
Os golpistas se passam por pessoas de confiança, como advogados, fornecedores ou colegas de trabalho, a fim de obter informações confidenciais ou acesso a sistemas internos.
Esse tipo de ataque requer uma pesquisa prévia sobre a vítima para tornar o e-mail ou a mensagem convincente e persuasiva
Spear phishing
O spear phishing é uma forma mais avançada de ataque direcionado. Nesse caso, os golpistas pesquisam informações específicas sobre a vítima, como seu nome, cargo, conexões profissionais e interesses pessoais.
Com base nesses detalhes, eles personalizam os e-mails ou mensagens para parecerem legítimos e confiáveis.
O objetivo é enganar a vítima e fazê-la acreditar que está lidando com uma comunicação autêntica de um colega, cliente ou parceiro de negócios, levando-a a fornecer informações confidenciais ou realizar ações prejudiciais.
Como identificar um ataque de phishing?
Identificar um ataque phishing nem sempre é fácil, mas existem algumas dicas que podem ajudar a reconhecer e evitar esse tipo de golpe.
Algumas práticas são:
- desconfiar de mensagens que parecem muito boas ou muito ruins para ser verdade, como prêmios milionários, ofertas imperdíveis ou ameaças de bloqueio de contas;
- observar o remetente e o destinatário do e-mail ou da mensagem, e ver se eles correspondem à pessoa ou organização que dizem representar;
- identificar se há erros de ortografia, gramática ou formatação na mensagem, pois isso pode indicar que ela não foi escrita por um profissional;
- jamais clicar em links ou anexos suspeitos, pois eles podem levar a sites falsos ou infectar seu dispositivo com malware;
- passar o mouse sobre os links e ver se eles apontam para o endereço correto do site oficial da instituição ou empresa.
Dicas essenciais para se proteger do phishing
A primeira dica, segundo Daniel Filla, diretor da AdPolice, para os consumidores, é comprar em lojas confiáveis dentro do online. “Escolher bons marketplaces, verificar os meios de pagamento e ter a certeza de referências são práticas muito importantes”, diz.
Para fazer isso, ele dá como exemplo a prática de checar se a loja tem boas avaliações e um bom volume de entregas.
O cliente também deve verificar fora dos marketplaces. “É fundamental você checar pesquisas como comentários do Google Meu Negócio e sites como o Reclame Aqui, buscando por índices de qualidade, reclamações e satisfação de outros compradores”, explica.
Daniel também orienta que não se pode comprar com pressa. “Ofertas milagrosas muito frequentemente escondem golpes”, esclarece. É preciso ficar de olho em lojas que oferecem soluções muito rápidas, como pagamento antecipado no PIX e entrega em um dia.
“As empresas também devem se preocupar em garantir ao seu público que o que elas encontram é legítimo. O vendedor deve ter cuidado ao oferecer cuidado ao comprador na outra ponta”, explica.
Nesse aspecto, a LGPD também é um ponto importante porque os dados exigidos pelos vendedores também é uma segurança para eles.
Considerando isso, Daniel aponta que os compradores podem, então, perguntar ao vendedor como a empresa faz a cautela desses dados e com quais finalidades vão usá-los. “Essa é uma premissa da Lei Geral da Proteção de Dados”, lembra.
Outra forma da empresa dar mais segurança à compra é dando a certeza de que o usuário está em um site confiável. “Uma forma de verificar isso, seja no computador ou seja no celular, é perceber na barra de navegação se a URL é um endereço oficial”.
No momento do pagamento, também é possível checar a veracidade da loja. Por exemplo, o comprador pode “colocar propositadamente o código de verificação errado para checar se aquela loja vai rebater o pagamento”.
Caso o valor seja compensado, isso pode ser um bom sinal de que a loja é autêntica. Os cartões virtuais, usados para apenas uma única compra, também são uma dica para evitar golpes.