O que é phishing e como não cair neste ataque?
Quando o assunto é cibercrimes e como se proteger deles, você já deve ter escutado o termo “phishing”. Mas afinal, o que é phishing e quais os perigos que ele representa para uma empresa que busca por mais presença dentro do mundo digital?
O termo “phishing” é uma união da palavra em inglês “fishing” junto do termo “phreak”, de “freak”, ou aberração. O ataque foi criado por volta de 1996 com a intenção de roubar contas.
O fato é que a segurança cibernética é uma questão que vem preocupando diversos usuários que se sentem desprotegidos dentro da internet devido os diferentes perigos a que são expostos.
Esse tipo de fraude, inclusive, se tornou popular devido ao grande registro de casos de ataques a empresas de diversos tamanhos e setores.
De acordo com o relatório de fraudes publicado pela Axur, o phishing apresentou expressivo crescimento durante o segundo trimestre de 2021, com uma alta de 81,8%. Especialistas apostam que os números tendem a crescer durante os numerosos eventos e promoções de final de ano.
Então, continue lendo para compreender melhor o que é phishing, seus perigos e, claro, como não cair nesse tipo de golpe dentro do ambiente digital.
O que é phishing?
O termo phishing não é novo, sendo criado em meados de 1996 por cibercriminosos que roubavam contas da AOL (America Online), um provedor de serviços online.
Algum tempo depois, a fraude ganhou espaço na mídia, se tornando mais popular. Nessa época as transações com contas hackeadas já eram usadas como moeda de troca em crimes cibernéticos.
Mas o que é phishing atualmente? Ele é usado da mesma forma que há anos atrás? Ainda apresenta força entre os cibercriminosos?
Basicamente, o phishing é uma técnica usada por criminosos, que enviam mensagens maliciosas e que parecem muito verídicas para diversas pessoas.
Essas mensagens são usadas como “iscas” e são enviadas por e-mail e quaisquer outras ferramentas de mensagem, na tentativa de acessar os dados pessoais de usuários, como:
- Senhas bancárias;
- Cartões de crédito;
- Transações bancárias;
- Informações pessoais para estelionato;
- Credenciais de acesso;
- Entre outros.
Segundo dados do Anti-Phishing Working Group, é estimado que a taxa média de sucesso dos golpes de phishing estejam na faixa de 5%. Pode parecer um número pequeno, mas a fraude pode resultar em transtornos gigantescos para a vida das vítimas, além de um substancial prejuízo financeiro.
Como funcionam os golpes de phishing?
Agora que você já entendeu resumidamente o que é phishing, é importante entender como os golpes funcionam, para se proteger da melhor forma possível.
É muito comum que os phishers (como são conhecidos os fraudadores), assumam a identidade de instituições conhecidas, ou que trazem alguma confiança ao leitor, como:
- Operadoras de telefonia e televisão a cabo;
- Bancos;
- Órgãos governamentais (principalmente a Receita Federal);
- Provedores de e-mail;
- Companhias aéreas;
- Grandes redes varejistas;
- Lojas Virtuais;
- E até mesmo delegacias.
O fraudador geralmente utiliza o e-mail como forma de comunicação na hora do golpe, mas também pode usar aplicativos, sites e até mesmo SMSs que são projetados para o roubo de dados pessoais, se passando por funcionários dessas instituições mais conhecidas e confiáveis
Em casos mais elaborados, só abrir a mensagem já basta para que o golpe seja realizado. Nos mais comuns, é necessário que a vítima clique em um determinado link da mensagem para que o cibercriminoso consiga finalmente capturar os dados.
E como a taxa de sucesso não é tão alta, os golpistas se dedicam enviando milhões de mensagens por dia, até encontrar usuários inexperientes, que não estejam preparados para esse tipo de ataque.
As etapas de como acontece o phishing
Assim como a grande maioria dos golpes cibernéticos, o phishing apresenta certa complexidade, e por isso, os ataques acontecem em etapas. Nesse caso são seis: planejamento, preparação, ataque, coleta e fraude.
1. Planejamento
No planejamento do phishing, como o próprio nome já diz, os cibercriminosos escolhem seus público-alvo para os ataques, e definem o objetivo da ação.
Ou seja, nessa etapa os idealizadores da fraude vão planejar qual a intenção ao conseguir os dados. Qual fraude irão cometer, se é o estelionato, a transferência do dinheiro para outras contas, entre outras modalidades de fraude.
2. Preparação
Aqui acontece a preparação do material que será a “isca” das vítimas. São elaborados os textos, mensagens, e-mails, e até mesmo sites, design e links que serão utilizados no golpe.
3. Ataque
Agora com o material pronto, já é possível enviar as mensagens que foram elaboradas.
Assim como foi explicado acima, esse envio pode ser feito via mensagens de texto, aplicativos de mensagem e, principalmente, e-mail..
4. Coleta
Na quarta fase o criminoso coleta os dados que conseguiu obter através dos cliques no link, e prepara as informações para serem utilizadas no crime final.
5. Fraude
Considerada uma das etapas fundamentais, a fraude acontece quando o cibercriminoso usa os dados coletados para acessar contas, roubar dinheiro, criar identidades falsas, entre outros crimes que são facilitados a partir das informações da vítima.
Em diversos casos são identificados que os dados são vendidos para outros criminosos, em troca de recompensas em dinheiro.
Como proceder após o ataque de phishing?
Primeiramente, é importante entender que não é aconselhável tentar negociar ou achar os criminosos por conta própria.
Essa opção não traz nenhuma garantia que você realmente vai receber suas contas ou até o dinheiro de volta, muito pelo contrário.
O mais indicado, é a realização imediata de um boletim de ocorrência, para registro oficial do crime, além de contato com operadoras de celular e banco, para o bloqueio das contas, acesso a cartões e linha telefônica.
Também é indicado trocar a senha de todas as suas contas e acessos. Essa é uma ação importante para que inclusive sejam documentados que acessos estranhos foram realizados.
Caso o phishing também traga contaminações para seu computador ou celular, realize a instalação de um anti malware para a eliminação dos vírus, ou recorra a uma assistência técnica.
E mesmo com essas orientações, se você ainda estiver inseguro ou perdido após o ataque, procure a orientação e conselhos de algum especialista da área de segurança da informação, por exemplo.
Como se precaver de não cair nesse tipo de fraude?
Tão importante como entender o que é phishing é entender como se precaver desse tipo de golpe que pode trazer tantos transtornos para você ou sua empresa.
Esse é um tipo de risco que pode ser evitado, quando são realizados investimentos nas áreas de segurança da sua empresa, ainda mais agora que a LGPD entrou em vigor.
É fundamental que seja estabelecido dentro de sua equipe uma consciência no quesito de segurança, para que não só o phishing mas outros golpes cibernéticos estejam longe da realidade de seu negócio.
Mantenha o sistema operacional e os softwares de sua empresa sempre atualizados e busque por programas com proteção em tempo real.
Uma forma de encontrar essa segurança e prevenção é através do Bug Bounty: um programa de recompensas por bugs e brechas na cibersegurança.
O Bug Bounty permite que especialistas, também conhecidos como hackers éticos, façam testes contínuos em seus sistemas, em busca de vulnerabilidades que coloquem a proteção de seus negócios e de seus usuários em risco.
Sendo assim, agora que você já sabe o que é phishing e seus perigos, e está interessado em proteger sua empresa, usuários e clientes do golpe, está na hora de conhecer o trabalho da BugHunt: primeira plataforma de Bug Bounty do Brasil!
Clique aqui e saiba mais como podemos te ajudar na segurança de sua empresa.