Phishing: você só estará seguro se desconfiar

O phishing é, talvez, a técnica mais eficaz para roubar seus dados. E você provavelmente irá ajudar.

  • Data: 28 de Abril de 2015

No dia-a-dia do trabalho, João (nosso personagem de exemplo) recebe um novo e-mail em meio às dezenas que aparecem diariamente. Na correria ou na distração ele passa o olho pela mensagem e se surpreende. A mensagem é clara:

Caro cliente,
O Banco X está disponibilizando uma nova versão do seu dispositivo de segurança (iToken). A instalação passou a ser obrigatória após o começo do ano em nossos bancos de dados e a sua instalação não foi efetuada ou concluída.

Para efetuá-la, basta seguir as instruções da página abaixo:

Iniciar instalação v 2.03

Disponível por 3 dias úteis a partir do recebimento do e-mail.Caso você não atualize seu dispositivo, será necessário emitir um novo certificado digital que é cobrado automaticamente no valor de R$ 63,87.

E-mail cadastrado no banco de dados de clientes do Banco X: seu@email.com.br – Item verificador Anti-Spam

João é um assíduo cliente do Banco X. Além disso, ele também usa o sistema de token virtual desse banco. Faz todo o sentido atualizar o seu dispositivo, afinal ele não quer pagar R$ 63,87 num novo certificado não é mesmo? O problema é que essa mensagem é falsa.

Essa é uma técnica antiga que no meio eletrônico é chamada de Phishing. Consiste basicamente em criar uma réplica falsa de uma mensagem ou site que parece ser autêntica com o objetivo de roupar dados ou instalar programas maliciosos em seus dispositivos.

Caso João clicasse no link, ele instalaria um programa malicioso (que normalmente chamamos de vírus) e esse programa poderia roubar dados como as senhas dele, seja do banco ou dos emails, redes sociais, etc. Com acesso a isso, alguém mal intencionado tem uma porção de informações preciosas sobre o João.

Pensando na empresa de João, vamos supor que ele instale esse programa no computador do trabalho. Que informações sigilosas da empresa esse programa malicioso teria acesso? O phishing se revela uma importante ferramenta em ataques virtuais. As principais motivações para usar essa técnica:

  • Capturar senhas e informações sigilosas diretamente para praticar fraudes ou roubos;
  • Fazer com que a pessoa forneça sua senha ou informações para que ela mesmo execute ações duvidosas sem perceber;
  • Infectar um computador para que ele difunda ainda mais a infecção;
  • Danificar dados pessoais por puro vandalismo;
  • Inserir propagandas de forma fraudulenta no computador da vítima;
  • Utilizar o computador para atividade não autorizadas ou ilícitas, encobrindo a identidade dos criminosos.
  • No phishing, o culpado não é a tecnologia

    Para esses golpes darem certo, é preciso a participação ativa da pessoa que é vítima do golpe. As mensagens e os sites falsos costumam usar mecanismos inteligentes para fazer com que a pessoa não perceba a fraude. Fazendo uma analogia, é como estar em uma casa com câmeras de segurança, cerca elétrica e portão blindado. Um assaltante então afirma ser um entregador de pizza e você deixa ele entrar. Por descuido, não basta ter o sistema de segurança mais completo do mercado, você está sujeito a uma invasão. Esses mecanismos que os golpistas usam costumam ser os mesmos e não têm nada a ver com tecnologia. Veja os principais:

    1) Urgência

    As mensagens se apoiam na questão do tempo para não dar margem para análise. Você já não tem muito tempo livre, e eles dizem que você precisa tomar uma ação com urgência. “Promoção por tempo limitado”; “Poucas vagas disponíveis”; “Você tem 3 dias para atualizar”. Também é comum envolver uma falsa cobrança caso a ação não seja cumprida, como o infundado valor de R$ 63,87 do e-mail de exemplo.

    2) Semelhança

    É fundamental que o conteúdo falso seja muito parecido com uma mensagem real. É recorrente o uso de logotipos, cores, fontes originais da empresa pela qual o site tenta se passar. Também é bastante comum o site verdadeiro ser copiado por inteiro e você nem perceber que o ambiente é falso. Além disso, um e-mail pode vir com um conteúdo tão genérico que poderia servir para qualquer um, por exemplo, “E aí, cara, tudo bem? Esqueci de te mandar aquelas fotos, segue anexo, abraço!”. Nesse exemplo, mesmo sem conhecer o remetente, você fica curioso para saber que fotos são essas e cai no golpe.

    3) Termos técnicos

    Essas mensagens costumam aproveitar que a vítima desconhece como o assunto funciona e usam termos e frases que parecem muito técnicos, mas na verdade não fazem sentido. Dizer que a instalação não foi efetuada ou que você precisa recasdastrar sua conta porque o banco de dados acusou sua conta como inválida, parecem ser coisas muito complicadas para uma pessoa comum entender, mas na verdade não dizem nada concreto.

    No exemplo citado e em muitos outros casos reais, esses três itens são bastante comuns e são fundamentais para enganar a vítima. Note que nesse caso, nenhuma tentativa de golpe explora fragilidades tecnológicas como falhas do sistema operacional ou dos programas instalados, mas sim, explora a falta de atenção da vítima.

    Como proteger-se

    Primeiramente, desconfie. Sempre se pergunte se essa mensagem é real ou não. Para se certificar, observe os itens a seguir:

    Remetente

    O e-mail é conhecido? Não? Desconfie. É comum aparecer um nome de algum serviço, mas com um e-mail absurdo como “WhatsApp Messenger <dde52208n@pegasus.cc>” ou “NET COMBO <nao-responda-762@paineldeenvio.com.br>”. Nesse caso, não hesite, o e-mail é falso.

    URLs

    Você acessa o Facebook, mas na barra de URL está escrito www.feicebook.com.br. E que tal o Itaú com o site www.iitau.com.br? Sites falsos usam URLs com pequenos erros de digitação para parecerem verdadeiros. O mesmo vale para se o link for muito diferente ou muito longo.

    O remetente e o url indicado na barra inferior são bons segredos para se proteger do phishing.

    O remetente e o url indicado na barra inferior são bons segredos para se proteger do phishing.

    Promessas absurdas

    Ganhar dinheiro sem sair de casa; assistir TV a cabo de graça pela Internet; Seguro de vida grátis… Por mais tentador que seja, pare e pense se alguém realmente ofereceria promessas assim.

    Erros

    É comum que em meio à mensagem existam erros gramaticais ou ortográficos. Uso incorreto da pontuação, ausência de acentos, palavras com letras trocadas… Preste atenção à forma com que a mensagem foi escrita, isso diz muito sobre ela.

    Anexos estranhos

    O e-mail fala de fotos, mas o anexo tem uma extensão .exe? Provavelmente o anexo é algum programa malicioso. Tenha cuidado quando o anexo tiver extensões .exe, .zip ou .rar.

    Nesse caso, a imagem de download é um link falso. Conferindo o remetente e o link na barra inferior você percebe o golpe.

    Nesse caso, a imagem de download é um link falso. Conferindo o remetente e o link na barra inferior você percebe o golpe.

    Na dúvida, entre em contato com a empresa ou pessoa que supostamente lhe enviou essa mensagem para saber se é uma fraude ou não. Também sempre lembre-se que mensagens muito importantes como algo relacionado ao seu banco, convocações judiciais, dívidas, etc. costumam ser enviadas pelo correio ou outras formas e não simplesmente por e-mail ou redes sociais, não se assuste pelo tom alarmista da mensagem.

    Como o phishing depende da ação da vítima para funcionar, não há tecnologia que consiga combater definitivamente sua atuação. Portanto, aproveite esse conteúdo para se proteger e é fundamental que você conheça e compartilhe esse conhecimento para evitar que problemas aconteçam.

    Soluções MBR11


    compartilhe: