O que é phishing? Fique atento com e-mails falsos e outros golpes!

Clique aqui para um resumo deste artigo

Resumo: o que é phishing?

Phishing é uma forma de crime online em que vítimas involuntárias dão aos criminosos acesso às suas contas bancárias ou informações pessoais.

As mensagens de phishing, geralmente na forma de um e-mail, são muito parecidas com mensagens verdadeiras. Essas mensagens parecem vir de uma instituição oficial, mas, na realidade, o remetente é um criminoso. Clicar em um link malicioso pode ter consequências desagradáveis.

Temos algumas dicas sobre como evitar ser vítima de phishing:

• Use a autenticação de dois fatores em todas as suas contas.
• Configure seu filtro de spam corretamente.
• Apenas divulgue seus dados online em sites seguros.
• Saiba como usar a Internet com segurança e se proteger online.

Para obter mais informações sobre como detectar phishing e o que fazer se você for uma vítima, leia nosso artigo completo abaixo.

Você provavelmente já ouviu falar em phishing. Quase que diariamente, empresas, veículos de notícias e outras organizações tentam alertar contra isso. Mas o que exatamente é phishing? Este artigo contará tudo sobre essa forma de crime cibernético. Vamos falar sobre o que é, como reconhecê-lo e como você pode se proteger contra ele. Também mostraremos o que fazer se você for vítima de um ataque de phishing.

O que é Phishing?

Phishing é um tipo de crime cibernético em que as vítimas, sem saber, dão aos criminosos acesso às suas informações pessoais ou contas bancárias.

Normalmente, isso acontece devido a um e-mail de phishing enviado à vítima. Este e-mail parece vir de uma organização ou empresa oficial, mas na verdade foi enviado por um criminoso.

Esses invasores farão de tudo para que seus emails pareçam o mais autênticos possível. Por exemplo, eles usarão logotipos de sites e empresas oficiais. Nesses e-mails, muitas vezes as vítimas são solicitadas a clicar em um link ou abrir um anexo.

Se você clicar em um link de um e-mail de phishing, poderá visitar uma página que parece um site oficial, mas é apenas uma cópia falsa. O criminoso espera que você insira seus dados pessoais e informações confidenciais nesta página, por exemplo, preenchendo uma tela de login. Depois de fazer isso, o criminoso terá acesso a essas informações.

Abrir um anexo em um e-mail de phishing também pode causar muitos problemas. Você pode, sem saber, estar instalando malware, como vírus ou spyware, em seu computador. Por sua vez, isso pode fazer com que o criminoso obtenha todos os tipos de informações pessoais sobre você, como seus dados bancários. Às vezes, eles até instalam bots para criar um Botnet e realizar ataques DDOS.

O objetivo final de um criminoso de phishing é se beneficiar roubando seu dinheiro ou dados pessoais. É daí que vem o nome ‘phishing’. Os criminosos cibernéticos “pescam” suas informações: eles arremessam sua vara de pescar digital (o e-mail) e esperam até que a vítima morda a isca.

Eles usam os medos e emoções do destinatário para fazer seu golpe funcionar. Eles podem, por exemplo, fingir que você tem um débito não pago, dizendo que você estará recebendo uma multa se não pagar imediatamente. As vítimas muitas vezes entram em pânico ao ler isso e fazem o que lhes é pedido, caindo nos truques do criminoso.

Não se sinta estúpido se isso aconteceu com você. Pode ser extremamente difícil distinguir uma mensagem falsa de uma mensagem real.

Diferentes tipos de ataques de Phishing

Geralmente, o e-mail é um meio muito eficaz para invasores, pois permite que eles alcancem milhares de pessoas de uma só vez. Gastando o mínimo de tempo possível, eles podem roubar muito dinheiro, desde que uma pequena parte dos destinatários caia no golpe.

No entanto, não é apenas com e-mails. Aqui estão alguns outros tipos de ataques de phishing aos quais você deve estar atento, seja sobre golpes nas redes sociais ou via e-mail tradicional.

Golpe de phishing no WhatsApp

Os criminosos cibernéticos continuam pensando em novas maneiras de roubar dinheiro de suas vítimas. Essas novas técnicas podem ser mais eficazes e lucrativas porque as pessoas simplesmente ainda não as conhecem.

Uma mensagem de texto do seu banco nem sempre é digna de sua confiança. O mesmo vale para um WhatsApp ou mensagem de texto de uma organização oficial, pedindo para você pagar uma fatura da qual você nem se lembra dela. Nos últimos anos, o WhatsApp, especialmente, tem sido usado cada vez mais em ataques de phishing.

Você recebeu uma mensagem suspeita? Pode ser muito difícil dizer se uma fatura realmente precisa ser paga ou se é simplesmente uma tentativa de roubar seu dinheiro. A melhor coisa a fazer é entrar em contato com a organização que supostamente enviou a mensagem. Acesse o site oficial deles procurando as informações de contato online corretas, sem clicar em nenhum link na mensagem ou usar as informações contidas nela.

Os criminosos de phishing geralmente são inteligentes o suficiente para alterar as informações de contato da empresa para as suas próprias. Se a empresa não souber nada sobre a mensagem, certifique-se de que eles sabem que alguém está enviando mensagens de phishing em seu nome.

Fatura (ou boleto) falso

Não apenas as mídias sociais, mas também as formas mais tradicionais de comunicação estão sendo mal utilizadas pelos criminosos. Um dos golpes mais comuns, especialmente para quem tem seu próprio negócio, são as faturas falsas. Os golpistas enviam uma fatura falsa, mas muito real, dizendo para você pagar rapidamente ou vai sofrer as consequências.

Muitas vezes, você é solicitado a enviar o dinheiro para uma conta bancária específica. Às vezes, eles até alegam que você está em dívida e enviam um boleto de cobrança no caso de você não transferir o dinheiro rapidamente. Embora seja possível receber essa carta com a cobrança de instituições oficiais (em circunstâncias extremas), também pode ser um caso de phishing. Isso significa que, geralmente, as ameaças são falsas. Se você transferir o dinheiro, ele simplesmente vai parar no bolso dos golpistas.

Se você deseja verificar se uma fatura ou boleto de pagamento é legítimo, ligue para a empresa que o enviou. Novamente, não use as informações de contato listadas na fatura. Sempre acesse o site oficial da empresa e ligue ou envie um e-mail para eles. Solicite a confirmação da fatura, o valor mencionado e a conta para a qual deve ser transferido antes de efetuar o pagamento.

Spear phishing

Ao contrário do phishing, o spear phishing tem como alvo as vítimas individualmente. Os hackers fingem conhecê-lo e as mensagens podem parecer vir de alguém que você conhece.

Se um criminoso obteve acesso ao e-mail ou conta de mídia social de uma vítima (por meio de um ataque anterior de phishing, por exemplo), ele poderia usar isso para encontrar novas vítimas.

Um criminoso pode tentar fazer com que outras pessoas lhe enviem dinheiro enviando mensagens para amigos da conta hackeada. Freqüentemente, essas mensagens começarão com um simples “Oi, como vai você?”. Assim que as pessoas reagirem, o criminoso pedirá dinheiro.

Aqui está um exemplo de uma mensagem de spear phishing, em que a conta de John foi hackeada e o cibercriminoso aborda seu amigo Matthew via Facebook:

Os golpes de spear phishing criam confiança usando detalhes pessoais sobre amigos ou familiares do destinatário. Quando você ouve que um amigo está com problemas, provavelmente você fica ansioso para ajudá-lo. Os cibercriminosos abusam dessa tendência, criando um senso de urgência: John está preso no exterior e precisa voltar para casa o mais rápido possível. Se Matthew decidir ajudá-lo, sem ele saber, transferirá dinheiro para uma conta bancária que não é de John, mas de um cibercriminoso.

O criminoso pode pedir que o dinheiro seja transferido via PayPal, Western Union, Moneygram ou Bitcoin. Em alguns casos, os invasores se esforçam para mapear toda a rede de amigos da conta invadida e até mesmo ler as mensagens anteriores. Eles usarão essas informações para fazer com que sua tentativa de phishing pareça o mais convincente possível.

Você recebeu uma mensagem de um amigo por e-mail, Facebook ou outra plataforma de mídia social pedindo dinheiro? Tome cuidado. Entre em contato com a pessoa com quem você pensa que está falando, por exemplo, ligando para ela. Dessa forma, você pode verificar se eles estão realmente com problemas. Caso contrário, sua conta foi hackeada.

Golpe de “Phishing” por telefone

Às vezes, o phishing acontece por telefone. Isso pode acontecer quando os criminosos já têm acesso à conta bancária da vítima, mas também precisam de outras informações.

Se a vítima cooperar, eles estarão, sem saber, transferindo dinheiro para os criminosos. Isso pode acontecer da seguinte maneira:

1. O criminoso esta logado no ambiente bancário da vítima e começa a transferir dinheiro para sua própria conta.
2. O criminoso liga para a vítima, fingindo ser um funcionário do banco, e pede o código de transferência que a vítima recebeu (por exemplo, por mensagem de texto).
3. Se a vítima comunica o código (que na verdade foi enviado para verificar um pagamento), o criminoso o usa para concluir a transação em sua própria conta bancária.

Os criminosos de phishing também podem fingir ser funcionários do Windows ou o fabricante do seu computador ou smartphone. Eles alegarão que ligaram para resolver um problema técnico. Em vez disso, eles fazem você entrar em um site falso, dando-lhes acesso ao seu computador e informações pessoais.

Em alguns casos, eles vão até instalar ransomware no seu dispositivo. Isso significa que todos os seus arquivos serão criptografados e feitos reféns: você não poderá acessá-los a menos que pague. Se você se tornou vítima de ransomware, entre em contato com a polícia.

Ultimamente, tem havido relatos de um tipo diferente de phishing por telefone. Um criminoso ligará para você de um número estranho, geralmente estrangeiro. Quando você atende, você não ouve nada. Só mais tarde sua conta telefônica mostra que a ligação custou muito dinheiro. Para se manter protegido contra esse tipo de golpe, basta não atender a uma chamada desse tipo.

Se você em algum momento receber uma ligação de um funcionário de um determinado banco ou empresa, não forneça suas informações pessoais, como endereço ou número da conta bancária, imediatamente. Sempre certifique-se de usar os números de telefone oficiais corretos de uma empresa e verifique se você está realmente ligando para um representante dessa empresa.

Como reconhecer e prevenir ataques de phishing

Você recebeu um e-mail, texto ou outra mensagem de uma instituição oficial ou de um amigo pedindo dinheiro? Pense duas vezes antes de fazer qualquer coisa! Mesmo que pareça uma mensagem do governo, de uma loja virtual, da Receita Federal, do seu banco, de uma seguradora ou de um site como a Amazon, você pode estar lidando com um criminoso.

Outros tipos de phishing são os conhecidos e-mails enviados por um “príncipe nigeriano” ou um parente distante fingindo ter acesso a uma grande quantia de dinheiro. Antes que eles possam enviar qualquer coisa, no entanto, eles precisam que você transfira algo para eles. Não caia nesse tipo de armadilha. Eles não são reais.

Como o phishing pode ser difícil de detectar, é importante saber o que procurar ao verificar se uma mensagem é legítima ou não. Aqui estão algumas dicas que o ajudarão a reconhecer uma tentativa de phishing.

Dica 1: Erros de saudação, linguagem, ortografia e gramática

Normalmente, os e-mails de phishing são enviados para muitas pessoas ao mesmo tempo. Isso significa que nem sempre são personalizados. Em vez disso, você acaba recebendo um e-mail com um padrão “Prezado Sr/Sra” ou algo semelhante no início do e-mail. Sempre considere se é estranho não ser abordado adequadamente, por exemplo, por seu banco antes de fazer qualquer outra coisa com o e-mail.

Normalmente, você pode reconhecer e-mails suspeitos quando eles contêm muitos erros ortográficos ou gramaticais. Na maioria das vezes, os cibercriminosos que enviam e-mails não são os melhores na língua portuguêsa e cometem erros óbvios. Outra técnica frequentemente usada em mensagens de phishing é criar um senso de urgência. Linguagem como “URGENTE”, “IMPORTANTE” ou “AVISO FINAL” pode indicar que você está lidando com um e-mail de phishing.

Ainda assim, nem sempre é o caso. Existem e-mails e sites de phishing que não contêm erros e até começam com algum tipo de saudação personalizada. Felizmente, há outras coisas que você pode observar, como diremos em nossas outras dicas.

Dica 2: Observe o remetente do e-mail

E-mails de phishing geralmente são enviados por endereços de e-mail fraudulentos. Sempre observe o endereço de e-mail do remetente e verifique se ele é legítimo.

Por exemplo, se você for um cliente do Citibank, poderá receber e-mails oficiais de endereços que terminam em @citibank.com. Como os cibercriminosos não são os proprietários deste domínio, eles não podem usar esses endereços de e-mail. Em vez disso, eles tentarão enviá-lo de um domínio muito semelhante ou usar um provedor de e-mail geral. Eles podem, por exemplo, usar [email protected] ou algo terminado em @bancocitibank.com.

Mesmo erros de ortografia intencionais não são incomuns: ao adicionar uma ou duas letras ao domínio original, os criminosos tentam fazer com que você pense que a mensagem é legítima. Às vezes, os endereços de e-mail de phishing consistem em números e letras aleatórios. Eles são fáceis de detectar e nunca devem ser confiáveis.

Em alguns casos, uma mensagem de phishing parece ter um remetente confiável. Às vezes, até parece que foi enviado do seu próprio endereço de e-mail. Isso é chamado de “spoofing de e-mail” e ocorre muito em phishing e comprometimento de e-mail comercial (BEC) ou Fralde do CEO.

Não caia nessa. Em caso de dúvida, sempre entre em contato com o remetente procurando as informações de contato corretas em seu site oficial. Se for um e-mail de seu próprio endereço, simplesmente ignore.

Dica 3: Não compartilhe informações pessoais

Se você receber um e-mail, texto ou outra mensagem solicitando dados pessoais, por exemplo, suas informações de login, isso pode ser um sinal de golpe. Nunca compartilhe suas informações pessoais ou de conta por e-mail (ou outro meio textual) se você não tiver certeza de que é absolutamente seguro.

A maioria das empresas legítimas nunca solicitará diretamente suas informações. Isso é especialmente verdadeiro quando se trata de senhas, códigos de confirmação via SMS e outras informações específicas da conta. Não importa o quão legítimo um e-mail ou mensagem possa parecer, mantenha suas informações privadas.

Se você não tiver certeza se uma mensagem é legítima ou não, entre em contato com a organização real por meio de seu site oficial ou ligue para eles. Nunca responda a mensagens obscuras e não clique em links que você não confia.

Dica 4: Muito cuidado com anexos suspeitos

Um simples clique em um anexo em uma mensagem de phishing já pode instalar spyware como keyloggers e cavalos de Tróia em seu dispositivo. Abra apenas arquivos em que você confia totalmente e já esperava receber. Fique atento a quaisquer nomes de arquivo e tipos de arquivo que pareçam fora do comum.

Arquivos terminados em .zip ou .exe não devem ser considerados confiáveis. Mesmo os arquivos PDF nem sempre são seguros. Você encontrará uma visão geral das extensões de arquivo que podem ser usadas em e-mails de phishing abaixo.

• .bat(lote)
• .com(arquivo de comando)
• .cpl(Painel de controle)
• .docm(Microsoft Word com macros)
• .exe(arquivo executável do Windows)
• .jar(Java)
• .js(JavaScript)
• .pif(arquivo de informações do programa)
• .pptm(Microsoft PowerPoint com macros)
• .ps1(Windows PowerShell)
• .scr(arquivo de proteção de tela)
• .vbs(Visual Basic Script)
• .wsf(arquivo de script do Windows)
• .xlsm(Microsoft Excel com macros)
• .zip (comprimido)

Se você deseja saber que tipo de arquivo é um determinado anexo, basta verificar as letras do nome do arquivo após o ponto final.

Os cibercriminosos podem tentar enganá-lo adicionando a extensão do arquivo ao nome do arquivo. Por exemplo, eles podem tentar fazer você acreditar que está lidando com um arquivo PDF chamando-o de ‘FaturaPDF.exe’. Em vez disso, é um arquivo .exe usado para instalar software malicioso.

Dica 5: Muito cuidado com links suspeitos

Você identificou um link em um e-mail que não confia? Não clique nele. Nem todo link leva você ao lugar que diz que o levará. Felizmente, você pode verificar isso facilmente passando o cursor sobre o link (sem clicar nele!). E verificando o canto inferior esquerdo do seu navegador.

Uma pequena barra branca aparecerá com o site exato para aonde o link te levará. Este é um site que você não reconhece ou confia? Então provavelmente você está lidando com uma tentativa de phishing.

O endereço pode até parecer um site confiável, mas foi feito para enganá-lo. Sempre verifique se tudo está escrito corretamente e se o domínio está correto (por exemplo, citibank.com/info em vez de citibank.websiteoficial.com/info). Tome cuidado extra ao usar seu smartphone ou tablet, pois é muito fácil clicar acidentalmente em algo.

Dica 6: Fique por dentro das novidades

A tecnologia e o crime cibernético estão em constante evolução. Novas maneiras de se proteger contra phishing e outras formas de crime online continuam surgindo, assim como novas maneiras de os criminosos tentarem enganar suas vítimas. É por isso que é importante ficar por dentro das últimas notícias sobre phishing e tudo o que está relacionado a ele.

Se você está lendo este artigo, você já está no caminho certo. Fique de olho também em nossa seção de notícias. Pode haver avisos sobre tentativas internacionais de phishing emitidas por empresas ou governos.

Dica 7: Confie na sua intuição

Se você não tem certeza se pode confiar em uma mensagem, e-mail ou site, então não confie. É melhor estar seguro do que arrepender-se. Uma mensagem parece estranha e boa demais para ser verdade? Não clique no link.

Entre em contato com a própria organização e pergunte a respeito. Se isso não for possível, você também pode procurar o endereço de e-mail do remetente online.

Se for uma tentativa de phishing usada há algum tempo, outras pessoas provavelmente já terão lidado com isso e poderão dizer se é seguro ou não.

Como evitar um golpe de Phishing

Há muitas maneiras de reconhecer um e-mail de phishing, mas é ainda melhor se você nem passar perto. Aqui estão alguns truques para ajudá-lo a impedir o phishing.

• Use a autenticação de dois fatores em suas contas: se você precisar passar por duas etapas ao fazer login em contas importantes (por exemplo, com um código de verificação), as chances de os cibercriminosos obterem acesso total à sua conta são muito menores.
• Ative seu filtro de spam: seu provedor de e-mail provavelmente tem algumas configurações que você pode usar para manter o spam fora de sua caixa de entrada. Isso pode não impedir que todos os e-mails de phishing cheguem até você, mas fornecerá uma camada extra de segurança, de modo que você encontrará e-mails maliciosos com menos frequência. Certifique-se de que todos os endereços de e-mail importantes dos quais você possa receber e-mails foram colocados em uma lista de permissões, para que não acabem acidentalmente na sua pasta de spam.
• Compartilhe seus dados apenas em sites seguros: a barra de endereço dirá se a conexão entre você e o site que está visitando é segura. Se estiver, você verá um pequeno cadeado fechado no lado esquerdo do URL, bem como ‘https://’ (incluindo o ‘s’) no link. Se estiver faltando, você não deve compartilhar nenhuma informação sensível nessa página. Muitos sites de phishing também começaram a usar HTTPS, então esta pequena verificação não será capaz de salvá-lo de todos os golpes. Ainda assim, é um bom começo.
• Certifique-se de que você sabe como pode se proteger online: são passos simples para se conectar com segurança.

Trabalhando como Money Mule: acidentalmente criminoso

Alguns ataques de phishing são colaborações entre mais de cem pessoas. A maior parte desse grupo consiste nas chamadas “money mule” (ou “mulas de dinheiro”). Essas pessoas (geralmente estudantes) abrem temporariamente suas contas bancárias para dinheiro de phishing.

Dessa forma, o dinheiro roubado pode ser enviado de uma conta para outra com rapidez e facilidade, por isso é muito mais difícil para as autoridades rastrear o dinheiro de volta ao verdadeiro cérebro por trás da operação. A título de compensação, as mulas de dinheiro podem ficar com uma pequena porcentagem do dinheiro.

As mulas de dinheiro são frequentemente recrutadas por um “pastor”. Isso acontece online, com ofertas de emprego que parecem legais, mas não são verdadeiramente. Um pastor pode ir aos pátios das escolas e outros locais públicos para perguntar às pessoas se querem ganhar algum dinheiro extra. Muitas mulas de dinheiro não estão cientes do fato de que o que estão fazendo é ilegal. Eles são cúmplices do crime cibernético, mesmo sem saber disso.

O risco de ser descoberto pela polícia é muito maior para as mulas de dinheiro do que para a pessoa por trás do ataque. Afinal, o caminho do dinheiro roubado passa primeiro por todas as contas da mula de dinheiro.

Desencorajamos qualquer pessoa de participar de tais práticas. Se alguém lhe oferece um emprego que exige que você dê acesso à sua conta bancária, algo “phishy” definitivamente está acontecendo.

O que fazer quando você for vítima de phishing?

Você se tornou vítima de phishing? As medidas de segurança que você deve tomar dependem do tipo de golpe. Veja o que você pode fazer se tiver sido vítima de um golpe de phishing:

• Quando você deu a alguém suas informações bancárias, bloqueie seu cartão e ligue para seu banco.
• Se for uma conta para um serviço online, altere rapidamente sua senha e outras informações cruciais.
• Quando você clica em um link suspeito ou faz download de um software malicioso, use um software antivírus para fazer uma varredura em seu computador e colocar qualquer vírus em quarentena.
• Sempre entre em contato com a empresa ou pessoa real e conte o que aconteceu. Eles podem ajudá-lo ou, pelo menos, alertar outras pessoas.
• Denuncie o phishing às autoridades competentes, por exemplo, a polícia.
• Informe seus amigos (online) sobre o golpe. O criminoso pode usar seus dados para fazer mais vítimas.

Conclusão

Phishing é um tipo desagradável de crime online. Clicar em um link malicioso ou fazer login no site errado pode ter consequências desastrosas. Para garantir que você não seja vítima disso, é importante se manter informado. Saiba como reconhecer uma mensagem de phishing e o que fazer ao recebê-la.

Mantenha o phishing à distância configurando suas contas da maneira certa. Mesmo assim aconteceu algo? Certifique-se de entrar em contato com as organizações certas e tomar medidas para reduzir os danos ao mínimo.