Quando o assunto é cibercrimes e como se proteger deles, você já deve ter escutado o termo “phishing”. Mas afinal, o que é phishing e quais os perigos que ele representa para uma empresa que busca por mais presença dentro do mundo digital?

O termo “phishing” é uma união da palavra em inglês “fishing” junto do termo “phreak”, de “freak”, ou aberração. O ataque foi criado por volta de 1996 com a intenção de roubar contas.

O fato é que a segurança cibernética é uma questão que vem preocupando diversos usuários que se sentem desprotegidos dentro da internet devido os diferentes perigos a que são expostos.

Esse tipo de fraude, inclusive, se tornou popular devido ao grande registro de casos de ataques a empresas de diversos tamanhos e setores.

De acordo com o relatório de fraudes publicado pela Axur, o phishing apresentou expressivo crescimento durante o segundo trimestre de 2021, com uma alta de 81,8%. Especialistas apostam que os números tendem a crescer durante os numerosos eventos e promoções de final de ano.

Então, continue lendo para compreender melhor o que é phishing, seus perigos e, claro, como não cair nesse tipo de golpe dentro do ambiente digital.

O que é phishing?

O termo phishing não é novo, sendo criado em meados de 1996 por cibercriminosos que roubavam contas da AOL (America Online), um provedor de serviços online.

Algum tempo depois, a fraude ganhou espaço na mídia, se tornando mais popular. Nessa época as transações com contas hackeadas já eram usadas como moeda de troca em crimes cibernéticos.

Mas o que é phishing atualmente? Ele é usado da mesma forma que há anos atrás? Ainda apresenta força entre os cibercriminosos?

Basicamente, o phishing é uma técnica usada por criminosos, que enviam mensagens maliciosas e que parecem muito verídicas para diversas pessoas.

Essas mensagens são usadas como “iscas” e são enviadas por e-mail e quaisquer outras ferramentas de mensagem, na tentativa de acessar os dados pessoais de usuários, como:

  • Senhas bancárias;
  • Cartões de crédito;
  • Transações bancárias;
  • Informações pessoais para estelionato;
  • Credenciais de acesso;
  • Entre outros.

Segundo dados do Anti-Phishing Working Group, é estimado que a taxa média de sucesso dos golpes de phishing estejam na faixa de 5%. Pode parecer um número pequeno, mas a fraude pode resultar em transtornos gigantescos para a vida das vítimas, além de um substancial prejuízo financeiro.

Como funcionam os golpes de phishing?

Agora que você já entendeu resumidamente o que é phishing, é importante entender como os golpes funcionam, para se proteger da melhor forma possível.

É muito comum que os phishers (como são conhecidos os fraudadores), assumam a identidade de instituições conhecidas, ou que trazem alguma confiança ao leitor, como:

  • Operadoras de telefonia e televisão a cabo;
  • Bancos;
  • Órgãos governamentais (principalmente a Receita Federal);
  • Provedores de e-mail;
  • Companhias aéreas;
  • Grandes redes varejistas;
  • Lojas Virtuais;
  • E até mesmo delegacias.

O fraudador geralmente utiliza o e-mail como forma de comunicação na hora do golpe, mas também pode usar aplicativos, sites e até mesmo SMSs que são projetados para o roubo de dados pessoais, se passando por funcionários dessas instituições mais conhecidas e confiáveis

Em casos mais elaborados, só abrir a mensagem já basta para que o golpe seja realizado. Nos mais comuns, é necessário que a vítima clique em um determinado link da mensagem para que o cibercriminoso consiga finalmente capturar os dados.

E como a taxa de sucesso não é tão alta, os golpistas se dedicam enviando milhões de mensagens por dia, até encontrar usuários inexperientes, que não estejam preparados para esse tipo de ataque.

As etapas de como acontece o phishing

Assim como a grande maioria dos golpes cibernéticos, o phishing apresenta certa complexidade, e por isso, os ataques acontecem em etapas. Nesse caso são seis: planejamento, preparação, ataque, coleta e fraude.

1. Planejamento

No planejamento do phishing, como o próprio nome já diz, os cibercriminosos escolhem seus público-alvo para os ataques, e definem o objetivo da ação.

Ou seja, nessa etapa os idealizadores da fraude vão planejar qual a intenção ao conseguir os dados. Qual fraude irão cometer, se é o estelionato, a transferência do dinheiro para outras contas, entre outras modalidades de fraude.

2. Preparação

Aqui acontece a preparação do material que será a “isca” das vítimas. São elaborados os textos, mensagens, e-mails, e até mesmo sites, design e links que serão utilizados no golpe.

3. Ataque

Agora com o material pronto, já é possível enviar as mensagens que foram elaboradas.

Assim como foi explicado acima, esse envio pode ser feito via mensagens de texto, aplicativos de mensagem e, principalmente, e-mail..

4. Coleta

Na quarta fase o criminoso coleta os dados que conseguiu obter através dos cliques no link, e prepara as informações para serem utilizadas no crime final.

5. Fraude

Considerada uma das etapas fundamentais, a fraude acontece quando o cibercriminoso usa os dados coletados para acessar contas, roubar dinheiro, criar identidades falsas, entre outros crimes que são facilitados a partir das informações da vítima.

Em diversos casos são identificados que os dados são vendidos para outros criminosos, em troca de recompensas em dinheiro.

Como proceder após o ataque de phishing?

Primeiramente, é importante entender que não é aconselhável tentar negociar ou achar os criminosos por conta própria.

Essa opção não traz nenhuma garantia que você realmente vai receber suas contas ou até o dinheiro de volta, muito pelo contrário.

O mais indicado, é a realização imediata de um boletim de ocorrência, para registro oficial do crime, além de contato com operadoras de celular e banco, para o bloqueio das contas, acesso a cartões e linha telefônica.

Também é indicado trocar a senha de todas as suas contas e acessos. Essa é uma ação importante para que inclusive sejam documentados que acessos estranhos foram realizados.

Caso o phishing também traga contaminações para seu computador ou celular, realize a instalação de um anti malware para a eliminação dos vírus, ou recorra a uma assistência técnica.

E mesmo com essas orientações, se você ainda estiver inseguro ou perdido após o ataque, procure a orientação e conselhos de algum especialista da área de segurança da informação, por exemplo.

Como se precaver de não cair nesse tipo de fraude?

Tão importante como entender o que é phishing é entender como se precaver desse tipo de golpe que pode trazer tantos transtornos para você ou sua empresa.

Esse é um tipo de risco que pode ser evitado, quando são realizados investimentos nas áreas de segurança da sua empresa, ainda mais agora que a LGPD entrou em vigor.

É fundamental que seja estabelecido dentro de sua equipe uma consciência no quesito de segurança, para que não só o phishing mas outros golpes cibernéticos estejam longe da realidade de seu negócio.

Mantenha o sistema operacional e os softwares de sua empresa sempre atualizados e busque por programas com proteção em tempo real.

Uma forma de encontrar essa segurança e prevenção é através do Bug Bounty: um programa de recompensas por bugs e brechas na cibersegurança.

O Bug Bounty permite que especialistas, também conhecidos como hackers éticos, façam testes contínuos em seus sistemas, em busca de vulnerabilidades que coloquem a proteção de seus negócios e de seus usuários em risco.

Sendo assim, agora que você já sabe o que é phishing e seus perigos, e está interessado em proteger sua empresa, usuários e clientes do golpe, está na hora de conhecer o trabalho da BugHunt: primeira plataforma de Bug Bounty do Brasil!

Clique aqui e saiba mais como podemos te ajudar na segurança de sua empresa.