Tiago Massoni

Logo

Associate Professor in Computer Science

View My GitHub Profile

Você sabe o que significa Phishing? Vamos discutir como funciona esse tipo de golpe online, já pensando em formas de fugir dele.

O phishing é uma fraude eletrônica criada para roubar dados pessoais ou instalar um programa malicioso para isso. O golpe usa uma isca, que pode chegar por email, SMS, redes sociais ou apps de mensagem. Vivemos sob a ameaça de cair no golpe, pois muitas vezes ele consegue romper as proteções tradicionais do computador ou smartphone.

Bom dia ouvintes da CBN,

Se você tem smartphone, conversa com gente nas redes sociais, usa internet, ou seja, todo mundo que está ouvindo…todo dia tem que dar um jeito de fugir do PHISHING!

Mas peraí, como é que é? Phishing, com PH no início. Poderíamos dizer que é um tipo de pescaria digital, da pior espécie. Phishing é um tipo de ataque cibernético em que um criminoso tenta enganar uma pessoa para que ela revele informações confidenciais, como senhas, números de cartões de crédito ou informações bancárias, por meio de um e-mail, mensagem instantânea, SMS ou outro tipo de comunicação eletrônica.

Estatísticas recentes mostra que, a cada minuto em 2022, 2.366 ataques de malware e 110 mensagens fraudulentas (phishing) foram bloqueados na América Latina, com mais de 1.500 apenas no Brasil -que representa 65% de todos os bloqueios de ataques cibernéticos na região. Segundo o levantamento, o Brasil é o país mais atacado por phishing na América Latina, seguido pelo Equador; ambos estão entre os líderes mundiais dos 10 países mais atacados por golpes desta modalidade -ocupam, respectivamente, 6ª e 8ª posições globais.

Se alguém estiver mirando em você pessoalmente - também conhecido como engajamento em spear phishing - eles primeiro vão vasculhar seus perfis de mídia social para reunir informações sobre você. Por exemplo, se eles souberem que você recebe frequentemente encomendas via Amazon, eles podem optar por se passar por um entregador da Amazon para parecerem legítimos. Se eles souberem qual banco você usa, podem optar por enviar um e-mail tentando se passar por alguém que trabalha lá.

E, como sabemos, roubo de identidade não é brincadeira. Para evitar que o phishing aconteça em primeiro lugar, é uma boa regra não compartilhar sua senha, seu ID ou qualquer informação financeira ou pessoal quando você não tem certeza de quem está do outro lado. Além disso, você deve prestar atenção às informações publicamente disponíveis sobre você.

Embora a maioria das tentativas de phishing por e-mail devam ser capturadas pela sua pasta de spam, algumas podem passar despercebidas. 91% dos ciberataques começam com um e-mail de phishing. Mais comuns são as tentativas de phishing baseadas em texto - via e-mail, SMS ou mensagens de mídia social - mas esteja ciente de que nem todo phishing acontece via texto. Algumas pessoas podem tentar enganá-lo criando um site falso. Outros vão tentar enganá-lo via chamada telefônica, às vezes chegando ao ponto de falsificar a voz de alguém que você conhece usando IA. Agora, até mesmo um enxame de golpistas está se aproveitando do chatGPT.

No phishing, a mensagem costuma ser de uma fonte que se passa por confiável. Para comprovar, há um link ou um anexo a seguir. Para isso, os golpistas usam normalmente o nome de: Uma instituição verdadeira, pessoa conhecida ou do seu círculo de contatos; Uma ameaça ou uma promessa; Um link ou anexo (3). A instituição pode ser um banco ou uma grande empresa, não importa qual, ou ainda usar nome ou foto dos seus contatos. Isto acontece para que a mensagem falsa ganhe credibilidade.

Ao receber uma mensagem de um remetente com identidade não verificada, há várias coisas que você deve procurar. Em primeiro lugar, eles muitas vezes seguem um manual de jogadas para parecer confiáveis e/ou jogar com sua sensação de urgência, impedindo você de pensar duas vezes sobre clicar em um botão:

Por exemplo, você recebe uma mensagem dizendo assim: “Há atividade suspeita em sua conta”: golpistas fingem que alguém pode ter entrado em sua conta, e que eles precisam que você verifique se sua conta está segura. Ou então: “Seu próximo pagamento não pode ser processado”: golpistas também adoram fingir que você precisa atualizar suas informações de pagamento. “Você tem uma dívida não paga”: confrontado com esse tipo de mensagem onde golpistas se passam pelo estado, fingem ser o escritório de impostos, as pessoas da previdência social, etc., você pode sentir ainda mais pressão. “Você ganhou um grande prêmio!” ou ganhe algo de graça: alerta de spoiler, não há um iPhone grátis esperando por você, e você também não foi o 999º visitante no site deles.

Se você receber um e-mail ou mensagem de texto mencionando um desses ganchos, você já deve estar em modo de baixa alerta. Aí, o que fazer? Primeiro, você tem uma conta com essa empresa? Se não, então eles não têm motivo para estar pedindo informações a você, e provavelmente é uma fraude. Eles estão se dirigindo a você pelo nome, ou estão usando uma linha de abertura genérica como “Prezado cliente”? Se você tem uma conta lá, eles conhecem seu nome e provavelmente o usarão. Como se parece o endereço de e-mail do remetente? Golpistas muitas vezes mudam o nome “De” para parecer autêntico, então você deve verificar se o endereço de e-mail está correto. Por exemplo, um endereço terminando em @netflix.com é mais provável de ser autêntico do que um em @netflix-customer-service.com (um site não oficial), @netflix.io (o domínio de nível superior errado), @netlfix.com (um domínio com um erro de digitação), ou mesmo um endereço em @gmail ou @yahoo. Para onde o link ou botão leva? Verificar o destino ao passar o cursor sobre ele é ótimo para identificar sites falsos.

Finalmente, olhe atentamente para o caractere nos links que você está vendo. Golpistas às vezes vão tão longe a ponto de usar homóglifos, ou seja, caracteres de aparência semelhante para tentar se passar por uma organização. Alguns desses homóglifos incluem o “O” maiúsculo com o número “0” ou o “I” maiúsculo (maiúsculo para “i”) com o “l” minúsculo (minúsculo para “L”). Cada caractere Unicode tem um código único diferente, e substituir O por 0 em uma URL levará a um site diferente.

Lembre-se de que os golpistas estão tentando se passar por organizações em que você confia, ou até mesmo por amigos. Eles podem até ter projetado um site inteiro para parecer semelhante a um que você conhece. Se você acha que o e-mail, mensagem ou site é falso, não clique em nada.

Se, depois de verificar cuidadosamente, você acredita que um e-mail ou mensagem de texto é confiável, ainda recomendo evitar clicar no link / botão nele. Em vez disso, abra uma nova aba e faça login indo para o site você mesmo. Se você precisar atualizar suas informações de pagamento ou tomar alguma ação semelhante, confie que você verá isso ao fazer login em sua conta. s O que fazer se for realmente uma tentativa de phishing? Em primeiro lugar, bloqueie o remetente para impedi-los de entrar em contato novamente. Se puder, sinalize a mensagem como spam para o provedor de e-mail, a plataforma de mídia social que está usando ou qualquer canal de comunicação que tenham usado para entrar em contato. Em segundo lugar, sinalize para as autoridades. Há uma variedade de maneiras de fazer. Por exemplo, há sites especializados em segurança na Internet, como o SaferNet Brasil, que oferecem uma plataforma para denunciar crimes cibernéticos. Você pode usar esses sites para denunciar o phishing e obter informações sobre como se proteger de ameaças na internet. Tem também o site da própria plataforma em que houve a tentativa de roubo. A maioria das empresas tem um canal de denúncia de phishing em seus sites para que os usuários possam relatar incidentes de fraude.

Mesmo assim, no fim das contas, nós mesmos temos que tomar atitudes de auto-proteção. Mesmo que se consiga punir os culpados, os prejuízos são irremediáveis, na maioria das vezes. Você já parou pra pensar o quanto da sua vida está no mundo digital?

Um abraço e até a próxima.