O phishing visa dados pessoais que podem ser "pescados" online. De conversas privadas a dados financeiros e até acesso a contas bancárias, de fotos pessoais a histórico de pesquisa ou detalhes de comportamento online - tudo isso é valioso para os usuários, mas também para os hackers que tentam enganar os usuários para obtê-lo.
O que é Phishing?
Phishing é um tipo de fraude online que se baseia em ataques de engenharia social para induzir os usuários a divulgar suas informações confidenciais, incluindo número de cartão de crédito e credenciais de login, se passando por uma entidade confiável. O phishing geralmente é realizado por e-mail, SMS ou aplicativos de mensagens instantâneas por meio de um link perigoso. Mas links de phishing também podem ser inseridos em mensagens postadas em redes sociais, quadros de avisos, etc.
Os golpes de phishing são o vetor de ataque mais eficiente para roubar informações confidenciais. Embora os invasores tenham muitas opções, eles preferem o phishing porque ele faz uma coisa melhor do que qualquer outro método: engana as vítimas para que participem de seu próprio ataque.
Como acontece um ataque de Phishing?
Um ataque de phishing clássico começa com um e-mail ou SMS supostamente do seu banco, seu provedor de serviços de e-mail ou outra empresa respeitável com a qual você se inscreveu. Essas mensagens geralmente exigem que você siga um link para validar algumas informações pessoais. O não cumprimento levará à suspensão ou encerramento da conta. Para ganhar credibilidade, uma mensagem de phishing geralmente inclui logotipos e identidades visuais roubados da entidade personificada. Em vez de levá-lo à página do banco, porém, o link aponta para o site do fraudador. Qualquer coisa que você preencher será enviada ao invasor e usada para acessar ilegalmente a conta. Depois que a conta é comprometida, o invasor pode abusar dela de várias maneiras, dependendo do tipo de conta. No caso de um site de e-banking, um hacker pode fazer pagamentos ou transferir dinheiro da conta do usuário. Uma conta de e-mail pode ser usada para acessar conversas privadas ou enviar spam para outros usuários e assim por diante.
Imagine que você está esperando na fila para tomar um café e seu telefone começa a tocar. De repente, você recebe duas mensagens de texto, um e-mail e uma chamada perdida – tudo do seu banco dizendo que suspeitam de atividade fraudulenta em sua conta. Eles suspenderam suas contas por motivos de segurança e pedem que você entre em contato com eles para desbloquear as contas. Você quer acompanhar, mas algo não parece certo.
A análise da Cofense Intelligence descobriu que 70% dos incidentes de phishing envolvem ladrões de informações e keyloggers, que são tipos de programas de malware que coletam secretamente informações do seu computador, permitindo que os fraudadores roubem suas credenciais.
Golpes de e-mail de phishing comuns envolvem uma mensagem dizendo que houve atividade suspeita na conta e, para desbloquear sua conta, você deve fornecer informações pessoais. Depois que você fornecer essas informações, o invasor poderá usá-las para limpar suas contas bancárias ou fazer compras fraudulentas usando seu cartão de crédito. Um golpe “smishing” (SMS + phishing) segue a mesma lógica, exceto que o modo de contato do golpista é por mensagem de texto.
Indicadores e exemplos de um e-mail de Phishing
À medida que você encontrar mais e mais mensagens de phishing, aprenderá a identificá-las com apenas uma olhada rápida. Normalmente, essas mensagens estão repletas de erros de ortografia. Isso acontece principalmente porque o invasor não é um falante nativo. A mensagem também é impessoal e genérica. Geralmente começa com "Prezado usuário" e não inclui seu nome de usuário ou nome completo. Ao contrário das mensagens legítimas do provedor de serviços, as mensagens de phishing não mencionam seu nome completo ou nome de usuário. Eles são projetados para enganar todos os destinatários, não apenas você e os invasores não sabem quem você é. Eles apenas esperam que você tenha uma conta no respectivo serviço. O link que você deve seguir também é diferente da URL que você digita no seu navegador quando acessa o respectivo serviço. Muitas vezes, o URL começa com um endereço IP.
Alguns dos e-mails de phishing mais lucrativos fingem vir da Apple Inc. em Cupertino, Califórnia. Os operadores por trás dessas campanhas aprimoraram suas habilidades para criar mensagens quase indistinguíveis dos gráficos da Apple. Assim armados, eles enganam milhares de usuários para entregar suas senhas e dados de cartão de crédito, pensando que estão se comunicando com o suporte real da Apple. Na verdade, eles estão entregando seus dados para invasores. Como mostra a captura de tela abaixo, a mensagem causa medo dizendo que sua conta foi comprometida, que a Apple a bloqueou "por motivos de segurança" e que agora você precisa inserir novamente todos os seus dados para confirmar que é você e não o hacker .
Um e-mail de phishing típico
A mensagem é elaborada o suficiente para enganar os olhos destreinados, mas alguns sinais indicadores mostram que estamos sendo enganados aqui.
Pista nº 1: “[email protected] foi temporariamente desativado”
Pergunte a si mesmo: Como minha conta é desativada se estou recebendo isso na minha conta de e-mail atual do iCloud, que ainda posso acessar com meu ID e senha da Apple atuais? Algo não está certo aqui.
Pista nº 2: remetente do e-mail
Os golpistas geralmente tentam imitar o endereço de e-mail da empresa que estão representando. Nesse caso, eles usaram o icônico apelido “i” normalmente encontrado na nomenclatura da Apple. Isso visa adicionar credibilidade e evitar mecanismos anti-phishing. Clicar no nome do endereço também revela o endereço real do e-mail. O endereço “[email protected]” dificilmente soa como a verdadeira Apple em Cupertino.
Para qualquer outro serviço ou empresa que os invasores possam representar, verifique os e-mails legítimos anteriores para ver como é o endereço real.
Pista nº 3: “Seu ID Apple foi bloqueado por motivos de segurança”
Linha de assunto típica de scareware. Golpes de phishing tentam assustá-lo dizendo que algo deu errado e você precisa tomar medidas IMEDIATAS. É uma pista clássica de que você está lidando com uma fraude. E “razão” (em inglês, a palavra “razão”) não deveria estar no plural aqui? Inglês pobre é sempre um sinal de que você deve ser cauteloso.
Pista nº 4: “ir AQUI” não leva você ao site da Apple
Passe o cursor do mouse sobre qualquer hiperlink e você verá o URL real sem precisar clicar nele. Neste exemplo, o iCloud Mail está aberto no Chrome, o que revela a URL no canto inferior esquerdo da janela do navegador. O Microsoft Outlook revela o URL em uma bolha quadrada, logo acima do cursor do mouse.
A primeira coisa a notar aqui é que o URL foi encurtado. Nenhuma empresa legítima, particularmente a Apple, jamais fará isso. Mas, diga que você não percebe isso e prossiga para clicar no link. Normalmente, você será levado a uma página projetada para se parecer com o site da Apple. É provável que a página hospede um formulário solicitando que você insira seus dados pessoais e, às vezes, até dados financeiros. Não faça isso! A Apple nunca pedirá que você faça nada disso, mesmo que sua conta seja invadida.
Exemplo de um formulário falso - golpe de Phishing
Pista nº 5: “Sua conta será desativada permanentemente se você não verificar sua conta em 24 horas.”
Outra dose de scareware, para o caso de as primeiras tentativas falharem. Nenhuma empresa NUNCA desativará permanentemente sua conta simplesmente com base em que ela foi hackeada. Pelo contrário. Eles tentarão corrigir o problema da conta e ajudarão você a continuar usando.
Também está faltando um verbo aqui, na frase original em inglês.
Pista nº 6: assinatura de e-mail
Grandes empresas como Apple, Facebook e Google normalmente assinam e-mails usando apenas o nome da empresa. Alguns podem conter termos como “Suporte” ou “Equipe” etc. Isso varia de acordo com a empresa. Mas “Informações da Apple?”
Isso não soa muito como um nome de departamento, não é? Na verdade, quase parece que os golpistas estavam ficando sem ideias.
Em caso de dúvidas, procure o último e-mail legítimo da mesma empresa e compare as assinaturas. Se eles não corresponderem, você sabe que é uma tentativa de phishing.
Pista nº 7: nenhum URL onde deveria haver um
As palavras Apple ID e Política de Privacidade podem parecer hiperlinks. Na verdade, eles são hiperlinks falsos que não levam a lugar nenhum. Outro sinal de que algo está errado. Uma “Política de Privacidade” deve ser acessível ao cliente para revisar os direitos e obrigações de todas as partes envolvidas.
Aqui, estamos vendo uma réplica incompleta do modelo da Apple:
Este é um exemplo clássico de como os golpistas operam por meio de campanhas de phishing.
Como faço para parar e-mails e SMS de phishing?
A defesa antiphishing envolve um mecanismo de várias camadas.
- A primeira linha de defesa é o filtro de spam: um recurso normalmente integrado à sua solução de segurança e que filtra o lixo eletrônico de mensagens legítimas. Um bom filtro antispam bloqueia a tentativa de phishing em seu estágio inicial, para que você nem veja a isca que está sendo lançada em você.
- A segunda linha de defesa é um bom filtro para golpes de phishing do Android. O filtro de Alerta de Golpe do Bitdefender monitora as mensagens SMS recebidas em tempo real e alerta você quando um link perigoso chega em uma mensagem de texto em seu smartphone.
- A terceira camada de defesa é o módulo anti-phishing ou antifraude - outro componente do antivírus que analisa a página da Web em que você acessa e determina se ela foi projetada para roubar seus dados. Mesmo que você tenha caído no golpe e aberto a mensagem de phishing, o módulo antiphishing deve impedir que você preencha o formulário com suas informações confidenciais (número do cartão de crédito, data de validade, CVV ou número PIN, entre outros).
- Por último, mas não menos importante, configurar a autenticação de dois fatores para as contas que a suportam garante que, mesmo que alguém obtenha suas credenciais de login, não possa fazer login sem uma senha secundária enviada pelo serviço em seu dispositivo móvel ou token.
O que fazer se você receber uma tentativa de Phishing
Dada a explosão de ataques de engenharia social, como phishing, vishing ou golpes de smishing, é aconselhável desconfiar de e-mails, telefonemas e mensagens de texto urgentes e inesperados que você recebe. Use seu discernimento. Se você receber um e-mail, mensagem de texto ou telefonema informando que houve atividade suspeita em uma conta, tenha cuidado. Como regra geral, nunca forneça seus dados pessoais, senha ou informações de cartão de crédito por e-mail antes de verificar completamente se o remetente é quem ele afirma ser.
A coisa mais importante a lembrar é o seguinte: empresas legítimas nunca pedirão que você forneça suas informações pessoais por e-mail ou texto. Eles também não vão ligar para você e pedir. As instituições financeiras podem notificá-lo de que tiveram que congelar suas contas com base em atividades suspeitas, mas depois instruirão você a desbloqueá-las. Em vez de pedir suas credenciais, eles normalmente aconselham você a fazer login em sua conta online por meio de uma conexão segura à Internet para verificar as transações. Se você receber essa mensagem, marque-a como spam e exclua-a. Isso não quer dizer que você deva considerar cada mensagem de aviso uma farsa. Apenas certifique-se de investigar minuciosamente antes de tomar qualquer ação da qual possa se arrepender mais tarde.
Para evitar golpes de phishing:
- Nunca clique no link fornecido no e-mail e não ligue para nenhum número de telefone fornecido. Em vez disso, visite o site oficial da organização e entre em contato com o número de atendimento ao cliente listado lá. Como alternativa, você pode ligar para o número listado no verso do seu banco ou cartão de crédito.
- Configure sua caixa de entrada de e-mail para filtrar spam e e-mails de phishing. Ative o Bitdefender Antispam em computadores Windows que usam o Microsoft Outlook e o Mozilla Thunderbird. No que diz respeito aos usuários da Apple, se você receber o que acredita ser um e-mail de phishing supostamente de Cupertino, a Apple recomenda encaminhar a mensagem com informações completas do cabeçalho para [email protected] para que a empresa possa investigar o assunto.
- Passe o mouse sobre cada link para verificar se ele está indo para onde você espera antes de clicar.
- Tenha em mente que os golpes de impostores são o tipo nº 1 de fraude online. Além de phishing e smishing, esses ataques também assumem a forma de vishing (ou phishing de voz) em que alguém está se passando pela polícia, seu banco ou outras formas de autoridade.
O que fazer se você já respondeu a uma mensagem de Phishing
Se você foi vítima de um golpe e forneceu sua senha, dados bancários, informações de identificação pessoal ou outras informações pessoais confidenciais, o fraudador já possui seus dados.
Dependendo de quais informações foram divulgadas, tome essas ações imediatamente:
- Altere a senha da conta - e-mail, mídia social, etc. - sobre a qual você forneceu informações. Se você usar a mesma senha em outro lugar, altere-a também. Se você se esforça para lembrar de todas as suas senhas, pode se beneficiar do uso de um gerenciador de senhas.
- Se você forneceu seus dados bancários a um fraudador, entre em contato com seu banco imediatamente e explique que você foi vítima de um golpe.
- Denuncie o phishing às autoridades competentes se você pagou a alguém que acredita ser um golpista, forneceu informações pessoais ou se o golpista tiver acesso aos seus dispositivos.