O Olhar Digital preparou um material completo para você saber o que é phishing e como se proteger. Resumidamente:

  • Phishing é um golpe na internet em que o criminoso se passa por uma pessoa ou empresa confiável.
  • Onde ocorre? Geralmente, os locais mais comuns são sites, e-mails, redes sociais e mensagens via SMS ou app, como WhatsApp.
  • Para quê? O objetivo do golpe é coletar dados do usuário, como nome, senha e cartão de crédito.
  • Como se proteger do phishing? Preste atenção no remetente do e-mail, não clique em links enviados (principalmente por desconhecidos) nas redes sociais ou baixe anexos de mensagens. Em caso de dúvida, procure os canais oficiais da empresa para se certificar que a mensagem é verdadeira.

O que é phishing na internet?

Phishing é um golpe comum na internet em que um criminoso se passa por uma pessoa ou empresa confiável por meio de e-mail, site ou app para roubar dados sensíveis do usuário, como: nome de usuário, senha e cartão de crédito. Um mecanismo bastante comum é o uso de URL ou endereço de e-mail semelhantes ao da empresa.

Ofertas tentadoras por e-mail é um dos mecanismos para phishing
Tenha cuidado com e-mails de ofertas, principalmente aqueles que oferecem produtos muito baratos. Imagem: TippaPatt / Shutterstock

Quais são as 6 etapas do phishing

Agora que você já sabe o que é esse golpe, deve estar se perguntando como funciona o phishing? Os ataques de phishing basicamente funcionam em seis etapas:

  1. Planejamento: o criminoso escolhe a pessoa ou empresa pela qual irá se passar e qual é o objetivo do golpe, que pode ser desde adquirir dados até a receber transferências;
  2. Preparação: o fraudador preparar o material que servirá como isca: boleto, site, e-mail etc.
  3. Ataque: quando as mensagens são enviadas. Alguns exemplos desta etapa são as newsletters com promoções imbatíveis ou mensagens em WhatsApp com um link para um site clonado.
  4. Coleta: agora, é hora de esperar as vítimas morderem a isca e preparar os dados coletados para a próxima etapa.
  5. Fraude: o golpista usa os dados coletados para: acessar uma conta; roubar dinheiro (seja usando o cartão de crédito, seja disponibilizando um boleto para pagamento); e até vender para outras pessoas.
  6. Pós-ataque: é a hora de o cibercriminoso limpar os rastros e fazer a lavagem do dinheiro para evitar ser pego.
Um golpe de phishing envolve seis etapas
O golpe de phishing tem seis etapas: planejamento, preparação, ataque, coleta, fraude e pós-ataque. Imagem: Net Vector / Shutterstock

Tipos de ataque

Por ser um golpe muito eficiente, o phishing possui várias adaptações. Veja oito tipos de ataque:

publicidade
  • Blind phishing: disparo de e-mails em massa, geralmente com um link ou anexo com vírus.
  • Smishing: disparo de SMS em massa em que a mensagem tem um senso de urgência, como dizer que a pessoa está endividada ou ganhou um sorteio.
  • Scam: tentativa de coletar informações pessoas das vítimas por meio de ligação, e-mail, mensagem de texto ou redes sociais.
  • Clone phishing: clonagem de um site ou app original para enganar o usuário de que ele está em um ambiente seguro. No caso de aplicativos, eles podem estar disponíveis inclusive em lojas oficiais, como Google Play e App Store. Em redes sociais, perfis fakes são criados para enganar os usuários.
  • Spear phishing: ataque com objetivo de acessar um banco de dados específico para obter informações sigilosas ou arquivos confidenciais.
  • Whaling: mira empresários e executivos do alto escalão de uma empresa para conseguir de cargos estratégicos.
  • Vishing: quando o golpe é aplicado por chamada de voz, também com senso de urgência para que o usuário forneça informações rapidamente – por exemplo, informando a necessidade de atualização, validação ou confirmação de informações.
  • Pharming: um site legítimo é manipulado e redireciona o tráfego para sites falsos – que podem coletar dados pessoais ou instalar malwares em celulares e computadores das vítimas.
Pharming é um tipo de golpe phishing, em que o usuário é redirecionado de um site confiável para uma cópia
Pharming é um tipo de golpe phishing, em que o usuário é redirecionado de um site confiável para uma cópia feita pelo golpista. Imagem: Golden Dayz / Shutterstock

Exemplo de golpe

A seguir, veja um exemplo de clone phishing com o Banco Santander. O site oficial URL usa HTTPS (um padrão que é seguro) e certificado SSL — representado por um cadeado verde na barra do navegador:

Reprodução
Imagem: Reprodução

Agora, veja um site falso do Santander em golpe clone phishing. Não há HTTPS, nem cadeado na barra do navegador — o que indica que o site não é confiável:

Reprodução
Imagem: Reprodução

Como se proteger do phishing?

Vale a pena, então, ficar atento ao receber mensagens que pedem a confirmação de dados por e-mail ou que contenham links diretos para sites. Por isso, sempre que tiver dúvidas sobre a legitimidade de um comunicado, entre em contato com a instituição remetente por outro canal.

Diferentemente de outras pragas virtuais, o phishing não pode ser removido — afinal, nada é instalado previamente no computador. Por outro lado, é possível se prevenir e evitar ser enganado por ele. Para isso:

  • não clique em links que chegarem em e-mails não solicitados (ou estiverem no Facebook, WhatsApp etc.);
  • não abra anexos de e-mail se não tiver certeza quem é o destinatário;
  • proteja suas senhas e não as revele a ninguém;
  • não forneça informações confidenciais por telefone ou e-mail;
  • verifique o endereço dos sites que visitar: muitas vezes, o e-mail parece legítimo, mas a URL pode ter erro de grafia ou domínio diferente;
  • mantenha seu sistema operacional, navegador e antivírus atualizados.

Qual a importância da cibersegurança?

É aí que entra a cibersegurança. Ela garante a proteção de sistemas, redes e programas contra invasões que buscam obter acesso, mudar ou destruir informações, extorquir pessoas ou empresas e interromper processos e sistemas operacionais. Por isso, é essencial compreender e respeitar normas básicas de segurança digital.

Profissionais de cibersegurança protegem sistemas, redes e programas contra invasões. Imagem: Gorodenkoff / Shutterstock

Entram aí os backups, a atualização de senhas, os cuidados na navegação e assim por diante. Uma das medidas mais básicas (e que pode ser adotada em qualquer ambiente) é, ao visitar o site do banco ou da Netflix, por exemplo, verificar se a página tem certificado válido — que aparece em forma de cadeado na barra do navegador. Além disso, vale a pena atualizar o roteador frequentemente e configurar as credenciais com uma senha forte.

Em empresas, esse mindset deve envolver todas as áreas, não apenas a de segurança. Por isso, elas devem ter processos e condutas bem definidos: da navegação na web ao acesso a informações sensíveis e bancos de dados. Paralelamente, é preciso estabelecer regras a serem seguidas em casos de ameaça à segurança digital. Assim, se houver qualquer tentativa de ataque, sabe-se quais atitudes tomar e por quê.

Com informações do Gerencianet.

Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!