Notice: Undefined variable: yJjdPXkM in /wp/observatore.org/wp-includes/rest-api/endpoints/class-wp-rest-block-types-controller.php on line 1
CC11 – Phishing – Observatore
ogf

CARTILHA ANTIFRAUDES PARA CONSUMIDORES ONLINE

Dicas do Observatore.org sobre como identificar e prevenir fraudes na internet

Phishing

Pescaria com engenharia social

Phishing, phishing-scam ou phishing/scam é um dos golpes mais utilizados na internet. Ele é o que o a tradução do nome sugere, uma pescaria. O criminoso lança a linha para ver se pega alguma coisa proveitosa, informações e dados pessoais importantes, usando como anzol mensagens falsas e combinando meios técnicos e engenharia social.

Como identificar

As mensagens de phishing podem vir por e-mail, posts em redes sociais, mensagens em aplicativos de mensageria e sites falsos ou clonados. Geralmente, as mensagens são enviadas envolvendo empresas, órgãos do governo ou instituições financeiras. O objetivo é dar credibilidade à isca, levando a vítima a pensar que se trata de uma comunicação oficial.

O texto da mensagem tenta induzir o usuário a fornecer dados pessoais e financeiros por meio do acesso a páginas falsas, da instalação de programas maliciosos e do preenchimento de formulários contidos na mensagem ou em páginas Web. Veja exemplos nas imagens abaixo:


À primeira vista, a mensagem acima parece ter sido enviada pela Receita Federal, mas é um golpe que de tempos em tempos chega por e-mail ou por carta. Ele induz o contribuinte a atualizar dados bancários e cadastrais para ter sua restituição liberada. Para fazer isso, ele deve clicar no link informado na mensagem.

A Receita informa que o único meio pelo qual o contribuinte informa dados bancários é o programa de declaração anual de Imposto de Renda. Nenhum pedido de informações adicionais ou atualização de dados é pedido pelo órgão por e-mail ou correspondência.

Nesta mensagem supostamente enviada pelo Santander, o usuário é induzido a clicar no link para reabilitar seu ID do banco, que foi bloqueado temporariamente. Ao clicar no link, é levado a uma página falsa do banco onde deve informar número da conta e informações de login, como usuário e senha,

Publicamos aqui uma lista de assuntos temas que costumam ser usados pelos golpistas para capturar informações dos consumidores a partir de mensagens de e-mail, de redes sociais ou serviços de mensageria, segundo o cert.br:

AssuntoTema da mensagem
Álbum de fotos e vídeos Pessoa supostamente conhecida, celebridades ou algum fato noticiado em jornais, revistas ou televisão, traição, nudez ou pornografia, serviço de acompanhantes
AntivírusAtualização de vacinas, eliminação de vírus, lançamento de nova versão ou de novas funcionalidades
Associações assistenciaisAACD Teleton, Click Fome, Criança Esperança
Avisos judiciaisIntimação para participação em audiência, comunicado de protesto, ordem de despejo
Cartões de créditoPrograma de fidelidade, promoção
Cartões virtuaisUOL, Voxcards, Yahoo! Cartões, O Carteiro, Emotioncard
Comércio eletrônicoCobrança de débitos, confirmação de compra, atualização de cadastro, devolução de produtos, oferta em site de compras coletivas
Companhias aéreasPromoções, programa de milhagem
EleiçõesTítulo eleitoral cancelado, convocação para mesário
Empregocadastro / atualização de currículos, processo seletivo aberto
Imposto de rendaNova versão ou correção de programa, consulta de restituição, problema nos dados da declaração
Internet bankingUnificação de bancos e contas, suspensão de acesso, atualização de cadastro e de cartão de senhas, lançamento ou atualização de módulo de segurança, comprovante de tranferência e depósito, cadastramento de computador
Multas e infrações de trânsitoAviso de recebimento, recurso, transferência de pontos
Notícias e boatosFato amplamente noticiado, ataque terrorista, tragédia natural
PrêmiosLoteria, instituição financeira
Programas e aplicativos em geralLançamento de nova versão ou de novas funcionalidades
PromoçõesVale-compra, assinatura de jornal e revista, desconto elevado, preço muito reduzido, distribuição gratuita
PropagandasProduto, curso, treinamento, concurso
Reality showsBig Brother Brasil, A Fazenda, The Voice
Redes sociaisNotificação pendente, convite para participação, aviso sobre foto marcada, permissão para divulgação de foto
Serviços de CorreiosRecebimento de telegrama online
Serviços de e-mailRecadastramento, caixa postal lotada, atualização de banco de dados
Serviços de proteção ao créditoRegularização de débitos, restrição ou pendência financeira
Serviços de telefoniaRecebimento de mensagem, pendência de débito bloqueio de serviços, detalhamento de fatura, créditos gratuitos
Sites com dicas de segurançaAviso de conta de e-mail sendo usada para envio de spam (Antispam.br), cartilha de segurança (cert.br, Febraban, Abranet. Observatore.org etc.)
SolicitaçõesOrçamento, documento, relatório, cotação de preços, lista de produtos

Como prevenir

Atenção. Essa é a regra principal para evitar o phishing. Mas o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (cert.br) dá as seguintes dicas:

  • Fique atento a mensagens, recebidas em nome de alguma instituição, que tentem induzi-lo a fornecer informações, instalar/executar programas ou clicar em links;
  • Questione-se por que instituições com as quais você não tem contato estão lhe enviando mensagens, como se houvesse alguma relação prévia entre vocês (por exemplo, se você não tem conta em um determinado banco, não há porque recadastrar dados ou atualizar módulos de segurança);
  • Desconfie de mensagens que apelem demasiadamente pela sua atenção e que, de alguma forma, o ameacem caso você não execute os procedimentos descritos;
  • Não considere que uma mensagem é confiável com base na confiança que você deposita em seu remetente, pois ela pode ter sido enviada de contas invadidas ou de perfis falsos ou pode ter sido forjada ;
  • Tenha cuidadoso ao acessar links. Procure digitar o endereço diretamente no navegador Web;
  • Verifique o link apresentado na mensagem. Golpistas costumam usar técnicas para ofuscar o link real para o phishing. Ao posicionar o mouse sobre o link, muitas vezes é possível ver o endereço real da página falsa ou código malicioso;
  • Utilize mecanismos de segurança, como programas antimalware, firewall pessoal e filtros antiphishing ;
  • Certifique-se de que a página utiliza conexão segura. Sites de comércio eletrônico ou Internet Banking confiáveis sempre utilizam conexões seguras quando dados sensíveis são solicitados;
  • Verifique as informações mostradas no certificado. Caso a página falsa utilize conexão segura, um novo certificado será apresentado e, possivelmente, o endereço mostrado no navegador Web será diferente do endereço correspondente ao site verdadeiro;
  • Acesse a página da instituição que supostamente enviou a mensagem e procure por informações (você vai observar que não faz parte da política da maioria das empresas o envio de mensagens, de forma indiscriminada, para os seus usuários).