Tudo que você precisa saber para não cair no phishing

Por Pedro Silveira*

O termo phishing tem origem na palavra em inglês fishing, que significa pesca. O termo traduz muito bem o conceito desse tipo de ameaça digital: a tentativa de “pescar” dados pessoais da vítima. Sejam eles senhas, números de documentos, cartões de crédito, endereços etc.

O objetivo final do fraudador é utilizar os dados da vítima para obter vantagens financeiras com a transferência eletrônica de valores ou realizar compras utilizando os dados do cartão de crédito.

Apesar deste tipo de ameaça existir há mais de duas décadas, quatro em cada 10 usuários ainda não conseguem identificar uma mensagem falsa ou têm de adivinhar se o conteúdo é real ou malicioso. Usando a Engenharia Social cada vez mais sofisticada, os cibercriminosos continuam a obter êxito nos ataques, tanto contra usuários individuais quanto contra empresas.

Os tipos de phishing

O phishing pode ser classificado pelo volume de mensagens enviadas, técnicas de disfarce utilizadas e até direcionamento do ataque. O tipo mais tradicional de ataque é caracterizado pelo envio em massa de mensagens para endereços de e-mail obtidos em vazamentos de dados ou comprados na web. Não é difícil encontrar kits de phishing (que incluem o disparo do e-mail) por cerca de R$ 40,00. No entanto, para ter mais ganhos e efetividade, os cibercriminosos passaram a estudar suas vítimas, seu círculo social e comportamentos, criando outros tipos de phishing direcionados.

Os argumentos

Para ter sucesso, os ataques de phishing devem convencer o usuário de que são comunicações reais, devem incitar o clique para levar ao compartilhamento de dados e para as páginas maliciosas na web. Para isso, essas mensagens são criadas com os mais variados argumentos, por exemplo, comunicados oficiais do governo, contas ou cadastros que estão com problema que frisam a importância da checagem, mensagem de falha de segurança em bancos ou revalidações de tokens e até mesmo vantagens incríveis como sorteios e descontos imperdíveis.

Como não ser fisgado?

Se você está entre as pessoas que não sabe como identificar uma mensagem de phishing, não se preocupe, aqui estão algumas dicas importantes para não cair nessa rede maliciosa.

Dica 1: Não confie no nome do remetente

Uma das técnicas preferidas dos cibercriminosos em ataques do tipo phishing é utilizar um nome de remetente falso. Ou seja, uma mensagem que pode chegar com o nome do seu banco no campo "De:", mas na realidade o endereço de e-mail utilizado não é o da instituição financeira. Há casos em que a mensagem traz um domínio parecido com o do site que tenta imitar, com apenas algumas letras diferentes ou um sufixo diferente de “.com.br” comumente usado no país.

Dica 2: Olhe, mas não clique

Passe o mouse sobre qualquer um dos links que esteja no corpo do e-mail. Se o link parecer esquisito, não clique nele. Outra boa dica é digitar o URL diretamente na janela do browser ao invés de clicar na mensagem suspeita.

Dica 3: Preste atenção em erros no texto

Gerentes de comunicação das marcas prestam muita atenção nas mensagens enviadas aos clientes. Um e-mail legítimo não terá erros de ortografia ou gramática.

Dica 4: Analise como a mensagem se dirige a você

E-mails legítimos de empresas sérias não de dirigem aos clientes com um "Prezado Cliente" na saudação, normalmente as mensagens carregam o nome do cliente e outro dado de identificação.

Dica 5: Não forneça informações pessoais

Empresas, bancos e administradoras de cartão de crédito não pedem informação pessoal utilizando e-mails. Não os forneça.

Dica 6: Desconfie de assuntos muitos urgentes ou em tom de ameaça

Usar palavras que dão senso de urgência para mensagem para aumentar sua relevância é uma tática muito comum de phishing. Desconfie sempre de assuntos como "sua conta foi suspensa" ou "um acesso não permitido foi realizado".

Dica 7: Reveja a assinatura do e-mail

A falta de detalhes de contato sobre o remetente ou uma pessoa que possa ser contatada na empresa que enviou a mensagem é um forte indicativo de phishing.

Dica 8: Não abra anexos

Uma das táticas mais comuns em e-mails phishing é incluir anexos maliciosos e malware. Esses arquivos podem danificar seu computador, roubar suas senhas e identidade digital, espiar suas ações, sua câmera e microfone.

Dica 9: Não confie na imagem no topo do e-mail

Criminosos utilizam logotipos, cores e slogans das marcas de maneira cada vez mais crível. Não pense que uma mensagem bem desenhada, com elementos gráficos, fontes e cores alinhados à comunicação da marca atesta sua validade.

*Pedro Silveira é diretor de marketing da Cipher, empresa brasileira com atuação global, especializada em serviços de cibersegurança.