Phishing

Saiba mais sobre phishing, uma forma de crime cibernético onde fraudadores se passam por organizações respeitáveis. Isso pode transformar comunicações online em cenários perigosos com consequências graves.

Proteção contra roubo de identidade

O que é phishing? 

Phishing é uma forma de crime cibernético em que criminosos tentam obter suas informações confidenciais via e-mail com links fraudulentos, levando você a preencher um formulário com suas informações pessoalmente identificáveis. Eles podem então usar essas informações para obter suas credenciais online de perfis de mídia social, contas bancárias e mais.

ilustração de phishing

Como o phishing funciona?

O phishing pode ocorrer por meio de e-mails, ligações telefônicas ou mensagens de texto. Os trapaceiros enviam mensagens que parecem reais e urgentes, pedindo à pessoa para agir. Por exemplo, um e-mail pode parecer que é de um banco confiável, pedindo à pessoa para atualizar suas informações de conta para evitar problemas. Como a mensagem parece urgente e real, as pessoas podem compartilhar informações confidenciais como senhas e números de cartão de crédito, que os trapaceiros podem então usar indevidamente.

Posando como uma entidade legítima, o atacante atrai as vítimas para um site falso onde são persuadidas a inserir informações confidenciais. Esta fachada bem elaborada, junto com um senso de urgência, permite que o golpe de phishing colha com sucesso dados pessoais valiosos, deixando a vítima desavisada vulnerável a roubo de identidade e perdas financeiras.

O remetente: Em um ataque de phishing, o remetente imita (ou "falsifica") alguém confiável que o destinatário provavelmente conheceria. Dependendo do tipo de ataque de phishing, pode ser um indivíduo, como um membro da família do destinatário, o CEO da empresa para a qual trabalha, ou até mesmo alguém famoso que supostamente está oferecendo algo. Freqüentemente, mensagens de phishing imitam e-mails de grandes empresas como PayPal, Amazon ou Microsoft, além de bancos ou escritórios governamentais.

A mensagem: Sob a fachada de alguém confiável, o atacante pedirá ao destinatário que clique em um link, baixe um anexo ou envie dinheiro. Quando a vítima abre a mensagem, ela encontra um texto assustador destinado a sobrepor seu melhor julgamento, enchendo-a de medo. A mensagem pode exigir que a vítima vá a um site e tome uma ação imediata ou arrisque algum tipo de consequência.

O destino: Se os usuários caírem na isca e clicarem no link, eles são enviados para uma imitação de um site legítimo. A partir daí, são solicitados a fazer login com suas credenciais de usuário e senha. Se forem ingênuos o suficiente para atender ao pedido, as credenciais de login vão para o atacante, que as usa para roubar identidades, saquear contas bancárias e vender informações pessoais no mercado negro. A URL de destino no e-mail de phishing muitas vezes se parece muito com a URL legítima, o que pode enganar ainda mais a vítima.

Como reconhecer o phishing?

Tentativas de phishing são atividades fraudulentas onde os golpistas usam e-mails ou mensagens de texto para tentar enganar as pessoas a revelarem informações sensíveis como senhas, números de contas bancárias ou números de Segurança Social. Reconhecer phishing pode ser alcançado ao estar atento a certos sinais de alerta.

Normalmente, as mensagens de phishing podem parecer vir de fontes respeitáveis, como bancos, empresas de cartão de crédito ou plataformas online conhecidas. Elas frequentemente criam um senso de urgência, sugerindo atividade suspeita ou problemas com sua conta, instando você a agir rapidamente.

Alguns indicadores comuns de phishing incluem comunicados inesperados solicitando informações pessoais ou financeiras, endereços de e-mail de remetentes desconhecidos, saudações genéricas, erros de ortografia e gramática, e URLs enganosas. Ao ser cauteloso e verificar diretamente com as instituições envolvidas antes de responder, os indivíduos podem se proteger melhor contra tentativas de phishing. Agora queremos entrar em mais detalhes sobre os sinais de phishing e ajudá-lo a identificá-los.

Sinais de phishing

Detectar tentativas de phishing pode ser um desafio, mas com vigilância, diretrizes básicas e uma dose de bom senso, você pode reduzir significativamente os riscos. Procure irregularidades ou peculiaridades no e-mail. Use o “teste do cheiro” para determinar se algo não lhe parece certo. Confie nos seus instintos, mas afaste o medo, já que os golpes de phishing frequentemente exploram o medo para prejudicar o seu julgamento.

Aqui estão sinais adicionais de tentativas de phishing:

Sinal 1: O e-mail apresenta uma oferta que parece boa demais para ser verdade.

Pode afirmar que você ganhou na loteria, ganhou um prêmio extravagante ou outras recompensas improváveis.

Sinal 2: O remetente é reconhecido, mas não alguém com quem você geralmente interage.

Mesmo se você reconhecer o nome do remetente, exerça cautela se não for alguém com quem você se comunica regularmente, especialmente se o conteúdo do e-mail for estranho às suas tarefas habituais de trabalho. Da mesma forma, fique atento se você for cco em um e-mail com indivíduos desconhecidos ou colegas de departamentos não relacionados.

Sinal 3: A mensagem instiga o medo.

Tenha cuidado se o e-mail usar linguagem carregada ou alarmante para criar um senso de urgência, pedindo que você clique e “aja imediatamente” para evitar o cancelamento da conta. Lembre-se, organizações legítimas não solicitarão informações pessoais por e-mail.

Sinal 4: A mensagem inclui anexos inesperados ou estranhos.

Esses anexos podem abrigar malware, ransomware ou outras ameaças online.

Sinal 5: A mensagem incorpora links que parecem duvidosos.

Mesmo que os indicadores acima não levantem suspeitas, nunca confie cegamente em hyperlinks incorporados. Passe o cursor sobre o link para revelar o URL real. Preste atenção especial a pequenas grafias incorretas em uma URL de site aparentemente familiar, pois é um alerta para engano. É sempre mais seguro digitar manualmente a URL em seu navegador em vez de clicar no link incorporado.

Quem é alvo de phishing?

Phishing é uma ameaça a todos, visando diversos indivíduos e indústrias, desde executivos corporativos até usuários cotidianos de redes sociais e clientes de bancos online. O amplo alcance do phishing torna imprescindível ter cautela online e adotar medidas preventivas. Ser vigilante e proativo pode reduzir significativamente o risco de cair em golpes de phishing, garantindo uma experiência online mais segura para todos.

Como se proteger contra ataques de phishing

Como mencionado anteriormente, o phishing é uma ameaça igualitária, podendo aparecer em desktops, laptops, tablets e smartphones. A maioria dos navegadores de Internet tem formas de verificar se um link é seguro, mas a primeira linha de defesa contra phishing é o seu julgamento. Treine-se para reconhecer os sinais de phishing e tente praticar a computação segura sempre que verificar seu e-mail, ler postagens no Facebook ou jogar seu jogo online favorito.

O Malwarebytes Labs compartilhou algumas das práticas chave para proteger-se contra ataques de phishing:

  1. Não abra e-mails de remetentes que você não conhece.
  2. Nunca clique em um link dentro de um e-mail a menos que você saiba exatamente para onde ele está indo.
  3. Se você for solicitado a fornecer informações sensíveis, verifique se o URL da página começa com "HTTPS" em vez de apenas "HTTP". O "S" significa "seguro". Não é uma garantia de que um site é legítimo, mas a maioria dos sites legítimos usa HTTPS porque é mais seguro. Sites HTTP, mesmo legítimos, são vulneráveis a hackers.
  4. Habilite a Autenticação Multifator (MFA): Utilize MFA sempre que possível para adicionar uma camada extra de segurança. Mesmo que phishers obtenham sua senha, precisarão contornar etapas adicionais de verificação para acessar sua conta.
  5. Procure pelo certificado digital de um site.
  6. Para adicionar essa proteção, se você receber um e-mail de uma fonte da qual não tem certeza, navegue pelo link fornecido manualmente inserindo o endereço legítimo do site em seu navegador.
  7. Passe o mouse sobre o link para ver se é um link legítimo.
  8. Se você suspeitar que um e-mail não é legítimo, pegue um nome ou um texto da mensagem e coloque-o em um mecanismo de busca para ver se há ataques de phishing conhecidos usando os mesmos métodos.

Recomendamos fortemente o uso de soluções confiáveis de antivírus/anti-malware como Malwarebytes Premium para melhorar sua segurança digital. A maioria das ferramentas modernas de cibersegurança, equipadas com algoritmos inteligentes, pode identificar links ou anexos maliciosos, fornecendo um escudo vigilante mesmo contra tentativas de phishing astutas.

Se uma tática de phishing passar despercebida, nosso robusto software de segurança mantém suas informações com segurança sob seu controle. Oferecemos um teste gratuito do Malwarebytes, permitindo que você experimente sua proteção superior antes de realizar uma compra.

Diferentes tipos de ataques de phishing

Ataques de phishing usam métodos enganosos para coletar ilegalmente informações sensíveis, e vêm em várias formas, cada uma com suas próprias características. Estas são maneiras específicas que os atacantes de phishing usam para enganar seus alvos:

Spear Phishing

Spear phishing é uma forma de phishing direcionado onde os atacantes personalizam mensagens para indivíduos ou organizações específicas, usando dados coletados para tornar a fraude mais convincente. Isso requer reconhecimento prévio ao ataque para descobrir nomes, títulos de trabalho, endereços de e-mail, e similares.

Os hackers vasculham a Internet para combinar essas informações com outros conhecimentos pesquisados sobre os colegas da vítima, juntamente com os nomes e relações profissionais de funcionários-chave em suas organizações. Com isso, o fraudador cria um e-mail convincente.

Exemplo: Os golpistas podem se passar por executivos para enganar funcionários a autorizarem pagamentos fraudulentos.

Phishing de baleias

Whale phishing mira indivíduos de alto perfil, como executivos, celebridades ou empresários do nível C. Ele tenta enganá-los a revelar informações pessoais ou detalhes profissionais.

Compreender e identificar as diversas formas de ataques de phishing é crucial para implementar medidas de proteção eficazes, garantindo a segurança e integridade de bens pessoais e organizacionais.

Phishing de e-mail

Comumente vistos desde o início do e-mail, os e-mails de phishing envolvem mensagens enganosas que parecem vir de fontes confiáveis (por exemplo, bancos, varejistas online) incentivando os destinatários a clicar em links ou baixar anexos.

Exemplos:

  • Comprometimento de e-mail comercial (BEC): Um ataque de comprometimento de e-mail comercial (BEC) mira alguém no departamento financeiro de uma organização, frequentemente o CFO, e tenta enganá-los a enviar grandes somas de dinheiro. Os atacantes costumam usar táticas de engenharia social para convencer o destinatário de que enviar o dinheiro é urgente e necessário. 
  • Clone phishing: Nesse ataque, os criminosos fazem uma cópia - ou clone - de e-mails entregues anteriormente, mas legítimos, que contêm um link ou um anexo. Em seguida, o fraudador substitui os links ou arquivos anexados por substituições maliciosas disfarçadas como reais. Usuários desavisados clicam no link ou abrem o anexo, o que frequentemente permite que seus sistemas sejam assumidos. Então o fraudador pode falsificar a identidade da vítima para se passar por um remetente confiável para outras vítimas na mesma organização.
  • 419/Esquemas nigerianos: Um e-mail de phishing verboso de alguém que afirma ser um príncipe nigeriano é um dos golpes mais antigos e duradouros da Internet. Este 'príncipe' oferece-lhe dinheiro, mas diz que você precisa enviar-lhe uma pequena quantia primeiro, para reivindicá-lo, ou ele diz que está em apuros e precisa de fundos para resolver. O número '419' está associado a esse golpe. Refere-se à seção do Código Penal nigeriano que trata de fraudes, as acusações e penas para os infratores.

Vishing (phishing por voz)

Os atacantes se passam por figuras de autoridade (por exemplo, funcionários de bancos, agentes da lei) ao telefone para assustar as pessoas a compartilhar informações sensíveis ou transferir fundos.

Smishing (SMS Phishing)

Semelhante ao vishing, mas conduzido via SMS, o smishing envia mensagens fraudulentas incitando os destinatários a clicar em links maliciosos ou compartilhar detalhes pessoais.

Catphishing

Uma tática enganosa onde os atacantes criam personas online falsas para atrair indivíduos para relacionamentos românticos com a finalidade de exploração financeira ou acesso a informações pessoais.

Exemplos de ataques de phishing

Aqui está um exemplo de uma tentativa de phishing que falsifica um aviso do PayPal, pedindo ao destinatário para clicar no botão "Confirmar Agora". Ao passar o mouse sobre o botão, revela-se o verdadeiro destino do URL no retângulo vermelho.

E-mail de phishing do Paypal

Aqui está outra imagem de ataque de phishing, desta vez alegando ser da Amazon. Note a ameaça de fechar a conta se não houver resposta em 48 horas.

E-mail de phishing da Amazon

Clicar no link leva você a este formulário, convidando você a entregar o que o golpista precisa para saquear seus valores:

E-mail de phishing da Amazon-2

Por que o phishing é eficaz?

O phishing é notavelmente eficaz devido à sua exploração da psicologia humana em vez de confiar em táticas técnicas avançadas. Muitas vezes disfarçado como comunicações urgentes de figuras autoritárias, os golpes de phishing exploram a confiança e o medo das pessoas.

Adam Kujawa, anteriormente do Malwarebytes Labs, resume: “O phishing destaca-se como o ataque cibernético mais simples, mas mais potente, visando principalmente o elemento mais vulnerável e ainda mais poderoso: a mente humana.” A falta de sofisticação técnica e o potencial para provocar reações imediatas destacam por que o phishing continua sendo uma ameaça online generalizada e séria.

"O phishing é o tipo mais simples de ataque cibernético e, ao mesmo tempo, o mais perigoso e eficaz."

Os phishing não tentam explorar uma vulnerabilidade técnica no sistema operacional do seu dispositivo - eles estão usando engenharia social. De Windows a iPhones, de Macs a Androids, nenhum sistema operacional é completamente seguro contra phishing, não importa quão forte seja sua segurança. De fato, os atacantes frequentemente recorrem ao phishing porque não encontram vulnerabilidades técnicas.

Por que perder tempo atravessando camadas de segurança quando você pode enganar alguém a entregar a chave? Muitas vezes, o elo mais fraco em um sistema de segurança não é uma falha enterrada no código de computador, é um ser humano que não verifica de onde veio um e-mail.

Agora que exploramos o que é phishing e como funciona, vamos dar uma olhada onde tudo começou, voltando aos anos 70 com hackeamento de sistemas telefônicos, também conhecido como 'phreaking'.

A história do phishing

O termo "phishing" compara as tentativas de golpe à pesca, onde é usado isca para atrair as vítimas. Acredita-se que tenha se originado da cultura "phreaking" dos anos 70, que envolvia hackear sistemas telefônicos.

Antes que o termo "phishing" fosse cunhado, uma técnica similar foi apresentada em uma conferência de tecnologia em 1987. O primeiro uso conhecido do termo remonta a 1996, associado ao hacker Khan C Smith, em meio a um golpe em usuários do America Online (AOL), explorando a popularidade do AOL ao se passar por funcionários do AOL para coletar informações de usuários.

Entrando nos anos 2000, os phishers mudaram o foco para sistemas de pagamento online, bancos e plataformas de mídia social. Eles criavam domínios falsos convincentes, especialmente falsificando eBay e PayPal, enganando os usuários a compartilhar informações sensíveis. O primeiro ataque de phishing voltado para bancos foi relatado em 2003. Em meados dos anos 2000, o phishing se tornou uma grande ameaça cibernética com campanhas sofisticadas e organizadas, causando perdas financeiras significativas.

Os danos aumentaram ao longo dos anos, com incidentes notáveis, incluindo uma campanha patrocinada pelo Estado em 2011, a massiva violação de dados da Target em 2013, e tentativas de phishing político de alto perfil em 2016. A tendência continuou em 2017, com um golpe levando a mais de $100 milhões sendo desviados de gigantes da tecnologia como Google e Facebook.

O que é whale phishing?

O que é quishing?

O que é catfishing?

O que é spear phishing?

E-mail de phishing

Mensagens RCS

FAQs

Por que o phishing é ilegal?

Quando perguntado se o phishing é ilegal, a resposta geralmente é sim. Já que roubar informações pessoais de alguém visa cometer roubo de identidade, pode ser punido por lei.

Por que as pessoas praticam phishing?

O principal objetivo é conseguir dinheiro, seja obtendo detalhes de cartões de crédito ou outras informações pessoais para vender na dark web. Às vezes, eles enganam as pessoas para que compartilhem seus dados bancários ou usam softwares nocivos para obter o que desejam.