Pescaria com engenharia social
Phishing, phishing-scam ou phishing/scam é um dos golpes mais utilizados na internet. Ele é o que o a tradução do nome sugere, uma pescaria. O criminoso lança a linha para ver se pega alguma coisa proveitosa, informações e dados pessoais importantes, usando como anzol mensagens falsas e combinando meios técnicos e engenharia social.
Como identificar
As mensagens de phishing podem vir por e-mail, posts em redes sociais, mensagens em aplicativos de mensageria e sites falsos ou clonados. Geralmente, as mensagens são enviadas envolvendo empresas, órgãos do governo ou instituições financeiras. O objetivo é dar credibilidade à isca, levando a vítima a pensar que se trata de uma comunicação oficial.
O texto da mensagem tenta induzir o usuário a fornecer dados pessoais e financeiros por meio do acesso a páginas falsas, da instalação de programas maliciosos e do preenchimento de formulários contidos na mensagem ou em páginas Web. Veja exemplos nas imagens abaixo:
À primeira vista, a mensagem acima parece ter sido enviada pela Receita Federal, mas é um golpe que de tempos em tempos chega por e-mail ou por carta. Ele induz o contribuinte a atualizar dados bancários e cadastrais para ter sua restituição liberada. Para fazer isso, ele deve clicar no link informado na mensagem.
A Receita informa que o único meio pelo qual o contribuinte informa dados bancários é o programa de declaração anual de Imposto de Renda. Nenhum pedido de informações adicionais ou atualização de dados é pedido pelo órgão por e-mail ou correspondência.
Nesta mensagem supostamente enviada pelo Santander, o usuário é induzido a clicar no link para reabilitar seu ID do banco, que foi bloqueado temporariamente. Ao clicar no link, é levado a uma página falsa do banco onde deve informar número da conta e informações de login, como usuário e senha,
Publicamos aqui uma lista de assuntos temas que costumam ser usados pelos golpistas para capturar informações dos consumidores a partir de mensagens de e-mail, de redes sociais ou serviços de mensageria, segundo o cert.br:
| Assunto | Tema da mensagem |
| Álbum de fotos e vídeos | Pessoa supostamente conhecida, celebridades ou algum fato noticiado em jornais, revistas ou televisão, traição, nudez ou pornografia, serviço de acompanhantes |
| Antivírus | Atualização de vacinas, eliminação de vírus, lançamento de nova versão ou de novas funcionalidades |
| Associações assistenciais | AACD Teleton, Click Fome, Criança Esperança |
| Avisos judiciais | Intimação para participação em audiência, comunicado de protesto, ordem de despejo |
| Cartões de crédito | Programa de fidelidade, promoção |
| Cartões virtuais | UOL, Voxcards, Yahoo! Cartões, O Carteiro, Emotioncard |
| Comércio eletrônico | Cobrança de débitos, confirmação de compra, atualização de cadastro, devolução de produtos, oferta em site de compras coletivas |
| Companhias aéreas | Promoções, programa de milhagem |
| Eleições | Título eleitoral cancelado, convocação para mesário |
| Emprego | cadastro / atualização de currículos, processo seletivo aberto |
| Imposto de renda | Nova versão ou correção de programa, consulta de restituição, problema nos dados da declaração |
| Internet banking | Unificação de bancos e contas, suspensão de acesso, atualização de cadastro e de cartão de senhas, lançamento ou atualização de módulo de segurança, comprovante de tranferência e depósito, cadastramento de computador |
| Multas e infrações de trânsito | Aviso de recebimento, recurso, transferência de pontos |
| Notícias e boatos | Fato amplamente noticiado, ataque terrorista, tragédia natural |
| Prêmios | Loteria, instituição financeira |
| Programas e aplicativos em geral | Lançamento de nova versão ou de novas funcionalidades |
| Promoções | Vale-compra, assinatura de jornal e revista, desconto elevado, preço muito reduzido, distribuição gratuita |
| Propagandas | Produto, curso, treinamento, concurso |
| Reality shows | Big Brother Brasil, A Fazenda, The Voice |
| Redes sociais | Notificação pendente, convite para participação, aviso sobre foto marcada, permissão para divulgação de foto |
| Serviços de Correios | Recebimento de telegrama online |
| Serviços de e-mail | Recadastramento, caixa postal lotada, atualização de banco de dados |
| Serviços de proteção ao crédito | Regularização de débitos, restrição ou pendência financeira |
| Serviços de telefonia | Recebimento de mensagem, pendência de débito bloqueio de serviços, detalhamento de fatura, créditos gratuitos |
| Sites com dicas de segurança | Aviso de conta de e-mail sendo usada para envio de spam (Antispam.br), cartilha de segurança (cert.br, Febraban, Abranet. Observatore.org etc.) |
| Solicitações | Orçamento, documento, relatório, cotação de preços, lista de produtos |
Como prevenir
Atenção. Essa é a regra principal para evitar o phishing. Mas o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (cert.br) dá as seguintes dicas:
- Fique atento a mensagens, recebidas em nome de alguma instituição, que tentem induzi-lo a fornecer informações, instalar/executar programas ou clicar em links;
- Questione-se por que instituições com as quais você não tem contato estão lhe enviando mensagens, como se houvesse alguma relação prévia entre vocês (por exemplo, se você não tem conta em um determinado banco, não há porque recadastrar dados ou atualizar módulos de segurança);
- Desconfie de mensagens que apelem demasiadamente pela sua atenção e que, de alguma forma, o ameacem caso você não execute os procedimentos descritos;
- Não considere que uma mensagem é confiável com base na confiança que você deposita em seu remetente, pois ela pode ter sido enviada de contas invadidas ou de perfis falsos ou pode ter sido forjada ;
- Tenha cuidadoso ao acessar links. Procure digitar o endereço diretamente no navegador Web;
- Verifique o link apresentado na mensagem. Golpistas costumam usar técnicas para ofuscar o link real para o phishing. Ao posicionar o mouse sobre o link, muitas vezes é possível ver o endereço real da página falsa ou código malicioso;
- Utilize mecanismos de segurança, como programas antimalware, firewall pessoal e filtros antiphishing ;
- Certifique-se de que a página utiliza conexão segura. Sites de comércio eletrônico ou Internet Banking confiáveis sempre utilizam conexões seguras quando dados sensíveis são solicitados;
- Verifique as informações mostradas no certificado. Caso a página falsa utilize conexão segura, um novo certificado será apresentado e, possivelmente, o endereço mostrado no navegador Web será diferente do endereço correspondente ao site verdadeiro;
- Acesse a página da instituição que supostamente enviou a mensagem e procure por informações (você vai observar que não faz parte da política da maioria das empresas o envio de mensagens, de forma indiscriminada, para os seus usuários).