O que é e como se proteger de phishing, esquema que envolveu Pablo Marçal

há 4 meses 52

De acordo com o Ministério Público Federal, pegava e-mails de vítimas para um dos líderes da organização, o pastor Danilo de Oliveira. O atual candidato admitiu que colaborou com o grupo, mas disse que não tinha conhecimento dos atos ilícitos.

O empresário nunca foi preso pelo crime. Em 2018, a Justiça entendeu que a pena já havia prescrito e a extinguiu.

O que é pishing?

É uma técnica para roubar dados pessoais ou instalar um malware (software malicioso), com a mesma finalidade. Essa coleta de informações da vítima pode incluir os seus contatos que, invariavelmente, podem ser alvos de outras ameaças virtuais.

O phishing usa uma isca, que pode chegar por e-mail, SMS, redes sociais ou apps de mensagem. A estratégia é popular, pois muitas vezes consegue romper as proteções tradicionais de seu computador ou smartphone. Afinal, é você a pessoa que entrega (mesmo sem saber) os seus dados pessoais —ao preencher formulários ou esquemas semelhantes, por exemplo.

Como surgiu o phishing

Segundo a MalwareBytes, empresa de segurança digital, há duas possíveis origens para o termo:

Continua após a publicidade
  • Na primeira delas (e mais aceita), o nome nasce da junção das palavras "phony" (enganoso") e "fishing" (pescaria), numa espécie de "jogar no mar para ver quem cai no golpe".
  • Na segunda delas, estaria ligado aos "phreaks", os primeiros hackers. O termo junta "phone" (telefone) e "freaks" (fanáticos) para designar uma subcultura dos anos 1970 que enganava operadores de telefonia --com técnicas muito parecidas com as do phishing-- para fazer chamadas a distância sem pagar nada.

Os primeiros incidentes de phishing foram detectados em 2 de janeiro de 1996. Na ocasião, hackers se passaram por empregados do AOL (America Online) e, numa combinação de e-mails e mensagens falsas, enganaram diversos usuários da plataforma, roubando senhas e credenciais.

No começo dos anos 2000, ataques começaram a se espelhar. O alvo já não eram só pessoas, mas também instituições bancárias, que migravam para a internet.

As táticas da época são, até hoje, bem populares. Entre elas, a estratégia de registrar sites e e-mails com caracteres muito parecidos com os de empresas originais e confiáveis para enganar potenciais vítimas.

Tipos mais comuns de phishing

Segundo a empresa de cibersegurança TrendMicro, podemos encontrar os seguintes tipos:

Continua após a publicidade
  • E-mail phishing: a forma mais popular deste ataque. O cibercriminoso manda um e-mail falso de maneira generalizada para uma lista de pessoas para roubar credenciais, dados e contas de quem clica no link malicioso e cai no esquema.
  • Spearphishing: "pescaria de arpão". É um phishing mais específico, com mensagens e informações voltados a enganar uma pessoa. Ex.: pedir dinheiro via WhatsApp porque número novo está no conserto.
  • Whaling: tenta atingir empresas líderes em seus setores ou em posições econômicas confortáveis --como "pescar uma baleia".
  • Smishing: são golpes em que mensagens de texto (SMS), normalmente se passando por bancos ou serviços digitais, levam a pessoa a clicar em links falsos ou enviar informações sensíveis.
  • Vishing: é o mesmo princípio do smishing, mas por uma chamada falsa de voz por telefone, com o criminoso do outro lado se passando por uma instituição bancária.

Outras formas de phishing se tornaram tão elaboradas que deixam de ser facilmente reconhecidas e contam com uma série de táticas em conjunto, como os golpes do namoro e do pig-butchering (criminosos seduzem vítimas para conseguir dinheiro para investir em moedas virtuais).

Por que o phishing engana tanto

Ele joga com o psicológico da pessoa. A técnica cria urgência e legitimidade em um curtíssimo espaço de tempo.

No phishing, a mensagem costuma ser de uma fonte que se passa por confiável. Para comprovar, há um link ou um anexo junto.

Para isso, os golpistas usam normalmente o nome de:

Continua após a publicidade
  1. Uma instituição verdadeira, pessoa conhecida ou do seu círculo de contatos;
  2. Uma ameaça ou uma promessa;
  3. Um link ou anexo.

A instituição pode ser um banco ou uma grande empresa, não importa qual, ou ainda usar nome ou foto dos seus contatos. Isto acontece para a mensagem falsa ganhar credibilidade.

Depois, o corpo da mensagem apresenta uma ameaça ("sua conta será apagada") ou uma promessa ("depósito em sua conta" ou "restituição financeira").

Esta combinação instituição e ameaça/promessa é um disfarce. O objetivo é que você finalmente clique no link ou baixe o anexo, o verdadeiro anzol. E é aí que mora o perigo. Nestes casos:

  1. O link tem a finalidade de encaminhar você a uma página falsa preparada pelo golpista;
  2. O anexo pode ser desde um formulário praticamente idêntico ao de uma instituição oficial, um boleto falso ou, no pior dos casos, um malware.

Ao clicar, você se torna vulnerável para que o criminoso do outro lado do golpe furte credenciais, dados pessoais ou até mesmo acesso a suas contas bancárias.

Continua após a publicidade

Como diminuir os riscos de cair no golpe

Para escapar, mais do que antivírus, é sempre necessário desconfiar das mensagens que recebe.

Separamos alguns passos simples para toda vez que você tiver dúvida:

  • Confira a origem da mensagem. A forma de contato (endereço de e-mail, número de telefone) é mesmo daquele órgão ou pessoa conhecida? Muitas vezes são letras ou palavras não relacionadas.
  • Não clique imediatamente no link. Vá direto na página do banco ou loja para ver se o aviso está lá também.
  • Na dúvida, tente outra forma de contato. Busque falar com a instituição ou pessoa antes de abrir anexos, ou clicar em qualquer link.
  • Dá para checar presencialmente? Então cheque. Vá até a pessoa ou instituição e mostre a mensagem. Peça para que eles confirmem a autoria ou validade.

*Com informações de reportagem publicada em 27/01/2023

Leia o artigo completo