Descubra como evitar cair no 'phishing'

'Phishing': um clique faz toda a diferença

Informática Ciberseguranca Internet

O que é 'phishing'?

O phishing consiste no envio de mensagens, tanto através de e-mail, quanto de SMS (conhecido como smishing), mensagem instantânea ou, inclusive, de redes sociais, em que os delinquentes cibernéticos usurpam a identidade de qualquer organização conhecida para conseguirem nossas informações mais confidenciais (senhas, dados bancários, etc.) incitando-nos a clicar em um link que redireciona para um site falso.

Os e-mails costumam incluir um link que leva o usuário para sites falsos. Uma vez ali, solicita informações pessoais do próprio usuário e este, pensando que é de confiança, as proporciona, caindo nas mãos dos trapaceiros (ou phishers).

O phishing também pode estar em sites através de banners publicitários que incitam a descarregar um antivírus ou qualquer outro programa e em um formulário que solicita dados pessoais.

Os ataques de phishing, além de aumentarem ano após ano, são cada vez mais sofisticados e convincentes, conseguindo confundir os usuários, que ficam com sua própria segurança comprometida. O pior desses ciberataques está no fato de que na maioria das ocasiões, infectam seu terminal — seja celular ou computador — sem que se aperceba.

São muitas as desculpas que esses cibercriminosos utilizam para captar nossa atenção a fim de nos redirecionar para sites falsos que simulam ser os legítimas: atualizações urgentes, pacotes que não solicitou, mas que é preciso recolher quanto antes, avisos de um último pagamento, o banco pedindo para alterar suas senhas, etc.

Mas podemos enfrentar esses ciberataques. Monitorar um site ou usar um bom antivírus são algumas das formas mais eficazes de derrotar o phishing. Caso se aperceba de que um site é falso — isso acontece quando não começa por https:// ou não tem um cadeado fechado na barra do navegador —, nossa recomendação é que limpe a memória cache do navegador. Isso permitirá a eliminação de qualquer software não desejado.

História e evolução do 'phishing'

As técnicas e os objetivos do phishing evoluíram ao longo de sua história. Na década de 1970, surgiu seu precedente mais importante: uma subcultura em torno de ataques por meio do sistema telefônico. Estes primeiros hackers eram conhecidos como phreaks, uma combinação das palavras "phone" (telefone) e "freak" (raro). Em uma época em que não havia muitos computadores conectados em rede, o phreaking tornou-se a primeira técnica para fraudar usuários.

A criação do termo phishing foi atribuída a Khan C Smith, um hacker conhecido em meados da década de 1990. Naquela época, a America Online (AOL) era o principal provedor de acesso à Internet e os hackers e piratas informáticos a utilizavam para realizar ataques de phishing contra os usuários. Mesmo quando a AOL adotou medidas de segurança, os hackers recorreram a outras técnicas, como se passar por funcionários da AOL para pedir aos usuários que verificassem suas contas e fornecessem informações de cobrança.

Na década de 2000, os criminosos cibernéticos desenvolveram uma estratégia de phishing bem definida: eles se passavam por uma marca mundialmente conhecida e atacavam endereços de e-mail em grande escala. Qualquer assunto era válido para enganar as vítimas: avisos de encerramento de contas bancárias, campanhas de caridade, prêmios... O objetivo era usurpar a identidade de marcas conhecidas e comuns para obter as informações e o dinheiro das vítimas. O phishing progressivamente voltou sua atenção para a exploração de sistemas de pagamento bancário on-line, e as redes sociais se tornaram um alvo fácil para o roubo de identidade devido a todos os dados pessoais registrados nelas.

Em resposta às medidas de segurança implementadas ao longo do tempo e a uma certa maturidade do público em relação à ameaça, as campanhas de phishing se tornaram cada vez mais sofisticadas. Criou-se, então, um cenário em que os provedores de segurança cibernética continuam inovando para enfrentar os novos desafios.