Ataques de phishing podem resultar em vazamentos de dados sensíveis, comprometimento de contas, prejuízos financeiros, entre outros danos

Phishing é um tipo de golpe que busca enganar e manipular vítimas para a obtenção de dados sensíveis. Com técnicas de engenharia social, golpistas enviam e-mails ou SMS falsos, de modo a induzir que vítimas informem senhas bancárias, abram um site fake ou baixem um arquivo malicioso.

O phishing de e-mail é o tipo mais comum usado por golpistas, uma vez que é genérico e tem potencial para atingir pessoas em massa. Contudo, há também ataques de phishing por SMS, chamadas telefônicas, QR Code, bem como aqueles que visam executivos de uma grande corporação.

A seguir, entenda o que é phishing, saiba como os ataques funcionam, e confira dicas para se proteger dessa ameaça.

O que é phising?

Phishing é um tipo de golpe que envolve técnicas de manipulação e persuasão para coleta de informações pessoais, dados bancários e dinheiro das vítimas. O termo “phishing” é derivado da palavra em inglês “fishing” (“pescaria”, em tradução livre), e faz alusão ao uso de iscas para atrair e fisgar as vítimas.

Embora tenham ganhado força no meio cibernético devido ao surgimento da internet e crescimento da presença online, golpes de phishing também são vistos em ambientes físicos, a exemplo de ligações fraudulentas ou golpes presenciais envolvendo manipulação das vítimas.

Phishing é um tipo de vírus?

Não. Phishing consiste na técnica de engenharia social focada em enganar vítimas para roubo e coleta não autorizada de dados sensíveis, e execução de algumas ações. Já malwares (popularmente chamados de “vírus”) referem-se a softwares maliciosos que podem comprometer contas, arquivos ou dispositivos.

Vale destacar que criminosos podem ou não utilizar malwares em golpes de phishing, assim como técnicas de phishing podem induzir a vítima a baixar um arquivo malicioso. Contudo, phishing e vírus são ameaças distintas, com naturezas, funcionamentos e finalidades diferentes.

Como funciona o phishing?

O ataque phishing inicia com o golpista entrando em contato com a vítima, geralmente via e-mail, SMS ou aplicativo de mensagens. Disfarçando-se de uma empresa ou autoridade, o cibercriminoso então envia o link de um site falso, uma interface fake ou um arquivo infectado para enganar a vítima.

Se a pessoa não desconfiar do golpe, ela vai informar dados sensíveis (como nome completo, CPF, dados bancários, entre outros) no site ou e-mail falso ou baixar um arquivo com malware que coletará essas informações. Vale destacar que o ataque só dará certo se a vítima seguir as instruções (mesmo sem perceber) do golpista.

Depois que os dados forem roubados pelos golpistas, eles poderão vendê-los para outros cibercriminosos, usá-los para abrir contas bancárias, sacar dinheiro ou fazer outros golpes. Tratando-se de golpes com malware, os criminosos também podem comprometer o dispositivo da vítima e cobrar dinheiro pelo resgate.

Quais são as características de um golpe de phishing?

Por mais que os golpes de phishing estejam cada vez mais sofisticados para enganar as vítimas, eles têm características marcantes de modus operandi e de aspectos técnicos. Alguns dos principais traços desse tipo de ameaça incluem:

  • Uso de identidade alheia: golpistas de phishing sempre vão se passar por uma outra pessoa ou organização, de modo a tornar a mensagem mais convincente;
  • Exploração de sentimentos: e-mails ou SMS de phishing tendem a explorar emoções da vítima, como medo, surpresa, excitação, culpa, entre outras;
  • Pedidos de dados ou ações: ataques de phishing sempre vão induzir a vítima a executar determinada ação, como clicar em um link, informar dados ou baixar um arquivo;
  • Falsa urgência: mensagens fraudulentas vão contextualizar uma ocasião de falsa urgência, a exemplo de uma oferta imperdível ou de um caso judicial;
  • Domínios ou URLs falsas: é comum que golpes de phishing envolvam endereços de e-mail suspeitos e URLs parecidas com a de páginas originais;
  • Anexos suspeitos: se o golpe envolver arquivos maliciosos, o e-mail conterá arquivos (PDFs, fotos, boletos, entre outros) para comprometer o dispositivo com malware.

Quais são os tipos de golpes de phishing?

Os tipos de ataques de phishing continuam a crescer, à medida que a tecnologia avança e novas técnicas de engenharia social são descobertas. Mas os principais tipos de ataques phishing envolvem:

  • Phishing de e-mail: envios massivos de e-mails contendo arquivos maliciosos, interfaces falsas ou links fake para enganar as vítimas;
  • Spear phishing: golpe de phishing personalizado, que contém informações das vítimas para tornar a fraude mais convincente;
  • Whaling: ataque similar ao spear phishing, mas direcionado a executivos e membros de alto escalão de grandes corporações;
  • Vishing: golpe de phishing realizado via chamadas telefônicas, que induz vítimas a realizarem ações via instruções por voz;
  • Smishing: tipo de ataque phishing feito por mensagens SMS, e que geralmente traz links suspeitos no corpo de texto;
  • Quishing: ameaça de phishing que usa QR Code fake para download de programas maliciosos ou falsos pagamentos.

É possível se proteger de golpes de phishing?

Formas de se proteger contra ataques de phishing
Golpes de phishing vêm se aperfeiçoando, mas há como se proteger dessas ameaças (Imagem: Mohamed_hassan/Pixabay)

Sim. A primeira e mais importante dica para não cair em um golpe de phishing é desconfiar de tudo. Evite abrir e-mails suspeitos, confira endereços eletrônicos de origem e nunca clique em um link ou baixe um arquivo vindo de uma pessoa desconhecida.

Se a mensagem parecer convincente, vale entrar em contato (por telefone ou outros meios) com o banco, autoridade ou empresa mencionada no e-mail, e explicar a situação. Contudo, utilize os canais de comunicação oficiais, e não considere possíveis contatos falsos informados na mensagem de golpe.

Você também pode ativar a autenticação em dois fatores (2FA) de todas suas contas para evitar que elas sejam comprometidas. O uso de um antivirus seguro também pode mitigar o acesso a links maliciosos, bem como o download de arquivos infectados.

O que fazer se eu cair em um golpe de phishing?

Caso se torne uma vítima de um golpe de phishing, vale alterar todas suas senhas o mais rápido possível. Dependendo da rapidez da ação, essa medida pode evitar que golpistas tenham acesso às suas contas e serviços utilizados.

Você também pode contatar empresas e solicitar bloqueio de contas bancárias. Avise também amigos, familiares e colegas de trabalho sobre o ocorrido, já que o golpista pode se passar por você. E vale registrar um boletim de ocorrência online em uma delegacia eletrônica para reportar o caso.

Também é recomendável fazer varreduras em seu dispositivo para eliminar possíveis arquivos maliciosos ou pontos de acesso aos golpistas. Se necessário, contate serviços especializados em segurança cibernética para eliminar ameaças ativas.

Qual é a diferença entre phishing e spear phishing?

Ataques phishing geralmente acontecem via e-mail, incluindo interfaces, sites ou arquivos falsos que induzem a vítima a fornecer dados sensíveis. Contudo, esse tipo de ameaça é mais genérico, já que os golpistas fazem envios em massa para tentar enganar o maior número de pessoas possível.

O spear phishing tem o mesmo funcionamento do phishing, mas com um formato mais direcionado. Geralmente, golpistas estudam a vítima ou empresa para coletar informações pessoais (como nome, banco usado e nome de familiares) e criar e-mails e mensagens fraudulentas mais convincentes.

Qual é a diferença entre phishing e spoofing?

Phishing diz respeito ao ataque focado em enganar e manipular vítimas para o roubo ou coleta de dados sensíveis. Nesse tipo de ameaça, golpistas se passam por empresas ou autoridades e induzem a vítima a executar ações como informar dados bancários ou clicar em um link.

Já o spoofing refere-se especificamente à técnica de falsificação de identidade para golpes digitais. Na prática, cibercriminosos podem se passar por uma pessoa, autoridade ou empresa via e-mail, SMS, ligação ou aplicativos de mensagens, de modo a enganar as vítimas.

Embora phishing e spoofing possam se complementar na construção de um golpe, focam em finalidades diferentes.

Qual é a diferença entre phishing e engenharia social?

Phishing é um tipo específico de engenharia social, focado em roubar e coletar dados sensíveis das vítimas por meio de técnicas de manipulação e persuasão. Golpes de phishing geralmente acontecem de forma online, via e-mail, aplicativos de mensagens ou SMS.

engenharia social também usa técnicas de manipulação de vítimas para a obtenção de dados, mas abrange técnicas além do phishing, incluindo baiting, tailgating, pretexting, entre outros golpes.

Em outras palavras: phishing é um tipo de engenharia social, mas nem todo golpe de engenharia social é necessariamente um ataque phishing.

Por Igor Shimabukuro e Victor Toledo