O que é phishing?

O significado e os 5 exemplos mais perigosos

Phishing

Tal como os pescadores lançam uma rede para apanhar o peixe, os phishers lançam e-mails falsos ao mar que é a Internet para apanhar a sua informação pessoal. Enquanto que os pescadores usam isco para atrair o peixe, os phishers usam falsificações e manipulação para lhe fazer o mesmo a si. Se for vítima de phishing, pode perder a sua privacidade, a sua forma de ganhar a vida, ou mesmo a sua identidade.

Sumário: O phishing é uma tentativa de adquirir a informação pessoal de outra pessoa por meios ilícitos. Conduzido normalmente através de e-mails e websites falsos, o phishing permite aos hackers aceder às credenciais de login das vítimas, informação da conta bancária e cartão de crédito, ou número de Segurança Social. Continue a ler para ficar a saber mais sobre os tipos mais comuns de ataques de phishing e as formas de se manter seguro na Internet.

Phishing

O que é o phishing?

O phishing é qualquer tentativa de adquirir a informação pessoal de outra pessoa, ou outros detalhes pessoais, por meios ilícitos. Talvez a forma mais predominante de fraude na Internet, o phishing envolve normalmente e-mails fraudulentos ou websites que tentam enganar potenciais vítimas e levá-las a partilhar informação sensível com o malfeitor por detrás da fraude. Em vez de usarem eles próprios a informação que adquirem, muitos burlões vendem-na no mercado negro da Internet, maioritariamente a hackers e cibercriminosos que se especializam em roubo de identidade.

Com os avanços na cibersegurança, muitas ciberameaças chegaram e partiram, mas o phishing tem sobrevivido ao passar dos tempos. A principal razão pela qual os ataques de phishing são ainda muito comuns é o facto de usarem falsificações, manipulação, e técnicas de engenharia social para enganar as potenciais vítimas. Regra geral, os e-mails de phishing são escritos de forma a que a mensagem pareça urgente (apesar de ser falsa), normalmente sob a forma de notificações do fornecedor de serviços de Internet (ISP), carteiras digitais, instituições financeiras, ou outras organizações. Além disso, muitos deles incluem logótipos e outras imagens oficiais.

Muitas vezes conhecidos como phishers, os malfeitores responsáveis por estes ataques pedem à potencial vítima uma peça fulcral da sua informação pessoal – seja o número de Segurança Social, detalhes do cartão de crédito, ou informações de login. Para dar um cariz mais urgente à mensagem, normalmente o infrator dá uma razão importante á vítima para fornecer tal informação. Por exemplo, esta pode perder acesso à sua conta bancária, ou pode ficar impedida de aceder ao seu perfil nas redes sociais caso não forneça a informação pedida dentro do prazo estabelecido.

Para recolher a informação que precisam, os phishers constroem websites falsos que imitam na perfeição os originais. Ainda para mais, os URLs também são muito semelhantes, tornando ainda mais difícil às vítimas a tarefa de detetar a fraude. De acordo com estatísticas recentes, são criados todos os meses mais de 1.5 milhões de novos websites de phishing, com um tempo de vida médio entre três e cinco dias por website. Isto corresponde a quase 50,000 novos websites por dia, e, por isso, o facto de o phishing ser o principal causador de fugas de dados em todo o mundo não constitui uma surpresa.

Que tipos de phishing existem?

Há vários tipos de esquemas de phishing, sendo alguns deles possíveis apenas através do telemóvel (i.e., voice phishing, ou vishing) ou mensagens de texto (i.e., SMS phishing, ou SMiShing). No que toca aos esquemas de phishing online, cinco dos tipos mais comuns são os seguintes:

  1. Phishing “Spray and Pray”

Comummente conhecido como phishing decetivo, o “spray and pray” é a forma mais antiga, e a mais primitiva, de phishing online. Os phishers usam esta técnica para enviar um conjunto de e-mails rotulado como “urgente”, pedindo à potencial vítima para atualizar a sua palavra-passe do PayPal ou para introduzir os seus dados pessoais para reclamar um prémio na lotaria. Estes e-mails contêm habitualmente links para páginas de login falsas. Quando a vítima introduz os seus dados pessoais nestes formulários forjados, eles são imediatamente guardados num servidor remoto ao qual o phisher tem acesso.

  1. Spear Phishing

O spear phishing é muito mais sofisticado que o phishing decetivo, devido ao simples facto de ser personalizado. Em vez de enviarem uma mensagem genérica, os phishers visam organizações, grupos, ou mesmo indivíduos específicos com o objetivo de obterem a sua informação pessoal. O nome, endereço de e-mail, e outros dados pessoais do alvo são recolhidos a partir de redes como o LinkedIn, ou da obtenção de registos de e-mail por meios ilícitos.

Este tipo de phishing visa principalmente empresas e organizações, razão pela qual os e-mails de spear phishing diferem um pouco dos e-mails decetivos. Apesar de ambos seguirem uma estrutura semelhante, os e-mails de spear phishing incluem geralmente inquéritos falsos, ou recibos de parceiros de negócios. Os phishers podem também alegar que anexaram um documento importante no e-mail, e pedir à vítima que o descarregue para o seu computador. Assim que o fazem, é instalado software malicioso que espia a sua atividade e recolhe a sua informação pessoal.

  1. Phishing de CEO

Esta é uma forma extremamente sofisticada de phishing, e pode custar imenso tempo ao phisher responsável. O phishing de CEO envolve cibercriminosos que visam funcionários de uma empresa, sejam eles dos recursos humanos ou do departamento financeiro, e que se fazem passar pelo diretor executivo da empresa (CEO) ou qualquer outro alto cargo. O infrator troca várias mensagens com o seu alvo, aumentando gradualmente o nível de confiança.

Ao fim de algum tempo, o phisher pede subitamente ao alvo para lhe enviar a informação pessoal dos funcionários da empresa, ou, mais habitualmente, para transferir uma certa quantia para uma conta por ele especificada. Na maioria dos casos, o infrator dirá à vítima que os fundos são necessários para um novo contrato e que precisa urgentemente da transferência. Por mais disparatado que pareça, vários negócios por todo o mundo já perderam mais de 5 mil milhões de dólares como resultado do phishing de CEO.

  1. Phishing de Alojamento de Ficheiros

Muitas pessoas usam serviços online de alojamento de ficheiros, tais como a Dropbox e o Google Drive, para armazenar cópias dos seus ficheiros para acesso e partilha fáceis. Os phishers estão cientes disto, e, por isso mesmo, já houve inúmeras tentativas para comprometer as credenciais de login das vítimas. O desenrolar deste esquema é muito semelhante ao do phishing decetivo, na medida em que envolve páginas de login forjadas. Contudo, em vez de procurarem algo específico, os hackers querem, na realidade, aceder ao armazenamento online das suas vítimas para recolher qualquer informação valiosa que aí possam encontrar.

  1. Phishing de Criptomoedas

O phishing de criptomoedas é uma forma recente de fraude online. Para a levar a cabo, os hackers criam páginas de login falsas para websites de criptomoedas. Quando os utilizadores, desprevenidos, introduzem as suas credenciais nestas páginas falsas, os hackers ganham imediatamente acesso às contas digitais das suas vítimas, podendo levantar os fundos numa questão de segundos. Houve apenas um grande ataque de phishing de criptomoedas até à data, mas tendo em conta que as moedas digitais estão em crescimento, podemos assumir que irá haver mais no futuro.

Exemplos de ataques de phishing

Alguns dos ataques de phishing mais destrutivos dos últimos anos incluem os seguintes:

  • No final de 2014, hackers usaram e-mails de spear phishing para recolher os IDs da Apple de vários funcionários da Sony Pictures. Assumindo que a maioria dos funcionários usava a mesma palavra-passe em várias contas online, os hackers tentaram usar estas credenciais para fazer login nos e-mails de trabalho das vítimas. Esta tentativa foi bem-sucedida, e, como resultado, foram revelados milhares de e-mails pessoais e outros documentos confidenciais, causando uma tempestade dos media em Hollywood.
  • Em 2014 e 2015, hackers atacaram a Anthem, uma seguradora de saúde estadunidense. Foram usados e-mails de phishing para infetar os computadores de cinco funcionários com keyloggers, um tipo de spyware que monitoriza as teclas pressionadas pelo utilizador. Isto permitiu aos hackers roubar quase 80 milhões de registos médicos dos servidores da Anthem, sendo que todos eles incluíam os números de Segurança Social dos seus utentes.
  • Em 2017, um grupo de hackers enviou e-mails de phishing aos funcionários de três grandes cadeias de restauração nos Estados Unidos – a Chipotle, a Arby’s, e a Chili’s. Nestes e-mails, estava anexado um software malicioso que se instalava silenciosamente nos computadores-alvo e dava aos hackers acesso às redes internas destes negócios. Usando este software, os hackers conseguiram roubar mais de 15 milhões de registos de cartões de crédito pertencentes aos clientes destas cadeias.

Como proteger-se do phishing

Tal como acontece com todos os outros tipos de ciberameaça, a melhor forma de se manter seguro é adotar hábitos responsáveis quando navega na Internet e usar o melhor software antivirus. Os bons hábitos de navegação são particularmente importantes, até porque alguns tipos de e-mails de phishing podem roubar os seus dados após contornarem o seu software de cibersegurança de eleição.

Nunca deve divulgar qualquer informação pessoal – seja ela relativa ao cartão de crédito, credenciais de login, ou números de Segurança Social – em e-mails ou mensagens instantâneas. Se a sua página de e-mail, de online banking, carteira digital, ou compras digitais, lhe parecer diferente do habitual, verifique se o texto na página contém erros de ortografia ou gramaticais, sinais típicos de um website falso. Procure sempre o prefixo “https” na barra de endereços e o ícone do cadeado junto a ele para se certificar que a informação que introduz é segura.

Não abra e-mails enviados de endereços desconhecidos nem clique em links ou anexos que estes possam conter. Clicar nestes e-mails pode instalar spyware no seu computador que dá aos hackers acesso à sua informação pessoal. Felizmente, o melhor software antivirus deteta imediatamente qualquer software malicioso instalado e elimina-o do disco rígido. Além disso, estes programas inspecionam os certificados de segurança de todos os endereços que visita, impedindo-o de aceder a websites de phishing.

Fontes (em inglês):

 

    Você está protegido?

    Com milhões de e-mails de phishing a serem enviados e milhares de novos websites de phishing a serem criados diariamente, não deve descurar a sua segurança online.