O phishing é um dos golpes mais antigos e conhecidos da internet. Podemos definir phishing como qualquer tipo de fraude por meios de telecomunicação, que usa truques de engenharia social para obter dados privados das vítimas.

Um ataque de phishing tem três componentes:

  1. O ataque é realizado por meio de comunicações eletrônicas, como e-mail ou por telefone.

  2. O golpista finge ser um indivíduo ou organização de confiança.

  3. O objetivo é obter informações pessoais confidenciais, como credenciais de login ou números de cartão de crédito.

Por isso phishing recebe seu nome: O cibercriminoso vai “pescar” (em inglês, “fishing”) com uma atraente “isca” para fisgar as vítimas do vasto “oceano” dos usuários da internet. O ph em “phishing” vem de “phreaking de telefone” que surgiu em meados de 1900, no qual os “phreaks”, ou seja, entusiastas, faziam experimentos com as redes de telecomunicações para descobrir como elas funcionavam. Phreaking + fishing = phishing

Spam x phishing

Spam ou phish: neste caso, melhor o spam. A principal diferença entre spam e phishing é que os spammers não querem prejudicar você. Spam é lixo eletrônico: apenas um monte de anúncios indesejados. Os golpes de phishing têm como objetivo roubar seus dados e usá-los contra você. Mais adiante neste artigo, examinaremos exatamente como e o que eles desejam alcançar.

Você pode gostar ou não do spam, mas lembre-se sempre da seguinte rima divertida: O spam é delicioso, mas o phish é malicioso.

Como o phishing funciona?

Seja conduzido por e-mail, redes sociais, SMS ou outro vetor, todos os ataques de phishing seguem os mesmos princípios básicos. O golpista envia um texto direcionado, com o objetivo de convencer a vítima a clicar em um link, baixar um anexo, enviar as informações solicitadas ou até mesmo concluir um pagamento real.

Quanto aos efeitos do phishing, eles dependem da imaginação e habilidade do phisher. O advento das redes sociais significa que os phishers têm acesso a mais informações pessoais sobre seus alvos do que nunca. Com todos esses dados à disposição, os phishers podem adaptar com precisão os ataques às necessidades, desejos e circunstâncias da vida de seus alvos, o que resulta em uma proposta muito mais atraente. Nesses casos, as redes sociais alimentam uma engenharia social mais poderosa.

Quais são os efeitos do phishing?

A maioria dos casos phishing pode levar a roubo de identidade ou dinheiro e também é uma técnica eficaz para espionagem corporativa ou roubo de dados. Alguns hackers chegam ao ponto de criar perfis falsos nas redes sociais e investir tempo na construção de um relacionamento com possíveis vítimas e só ativam a armadilha após estabelecer confiança. Qual é o preço de phishing? Preço não se resume apenas aos danos financeiros, mas nesses casos há também a perda de confiança. Dói ser enganado pela pessoa em que você confiava e a recuperação pode levar muito tempo.

Quais são os tipos de golpes de phishing?

Vamos nos aprofundar um pouco mais: de que se trata o phishing? De onde pode vir um ataque de phishing e como ele pode ser? É hora de obter algumas respostas.

Vetores de phishing: mais do que e-mail

Icon_01Phishing por e-mail: De longe, o método mais comum, o phishing por e-mail usa o e-mail para introduzir a isca de phishing. Esses e-mails geralmente contêm links que levam a sites maliciosos ou anexos que contêm malwarePosteriormente, vamos mostrar como é um e-mail de phishing, para você saber quais devem ser evitados.

Icon_02Phishing nos sites: Os sites de phishing, também conhecidos como sites falsificados, são cópias falsas de sites reais conhecidos e confiáveis. Os hackers criam esses sites falsificados para fazer você inserir suas credenciais de login, que podem ser usadas para fazer login nas suas contas reais. Os pop-ups também são uma fonte comum de phishing nos sites.

Icon_03Vishing: Abreviação de “phishing de voz”, vishing é a versão em áudio do phishing na internet. O golpista tentará convencer as vítimas por telefone a divulgar informações pessoais que podem ser usadas posteriormente para roubo de identidade. Muitas chamadas automatizadas são tentativas de vishing.

Icon_04Smishing: Smishing é phishing via SMS. Você recebe uma mensagem de texto que solicita clicar em um link ou baixar um aplicativo. Mas, ao fazer isso, você baixará malware no seu telefone, que poderá roubar suas informações pessoais e enviá-las ao invasor.

Icon_05Phishing nas redes sociais: Alguns invasores podem acessar contas de redes sociais e forçar as pessoas a enviarem links maliciosos para seus amigos. Outros criam perfis falsos e usam esses perfis para phishing.

Estratégias comuns de phishing

Por meio dos vetores primários de phishing listados acima, os hackers podem realizar uma ampla gama de ataques, que variam de ataques com tecnologia sofisticada, até os bons e antigos truques de confiança. Não deixe nada disso acontecer com você:

  • Phishing enganoso: Espere um pouco, não estamos falando o tempo todo que todo phishing é enganoso? Bem, sim. Phishing quer enganar você. Mas o termo “phishing enganoso” refere-se especificamente à situação quando hackers se disfarçam de empresas ou indivíduos legítimos para ganhar sua confiança. 

  • Spear phishing: As campanhas de phishing em larga escala são como barcos de pesca industrial que arrastam redes enormes pelo oceano, tentando prender tudo que encontrar pelo caminho. Por outro lado, o spear phishing ocorre quando os phishers personalizam seus ataques para atingir indivíduos específicos. Redes sociais profissionais como o LinkedIn popularizaram o spear phishing para o crime cibernético corporativo, pois os hackers podem encontrar facilmente todas as suas informações de emprego em um só lugar.

  • Whaling: E para fechar o conjunto de metáforas náuticas, temos whaling (a caça às baleias), um ataque de phishing que visa um determinado indivíduo de alto valor. É o mesmo que spear phishing, mas com metas muito mais ambiciosas. Até os executivos seniores mais importantes estão propensos ao whaling.

  • Fraude de CEO: Phishers fingem ser o CEO de uma empresa ou outro executivo de alto escalão para extrair informações de pagamento, ou outras informações privilegiadas dos funcionários. As campanhas de fraude de CEO acompanham frequentemente ataques de whaling, pois o criminoso já obteve as credenciais de login do CEO.

  • Pharming: Ataques de Pharming, phishing e farming, usam truques tecnológicos que substituem a necessidade de atrair você com uma isca. Por exemplo, o envenenamento de cache DNS é uma técnica de pharming que pode redirecioná-lo automaticamente de um site legítimo para a versão falsificada do invasor. Se você não prestar atenção, não perceberá o golpe até que seja tarde demais.

  • Dropbox phishing e Google Docs phishing: Os serviços populares de nuvem são alvos atraentes de phishing. Os invasores ativam versões falsificadas das telas de login, roubam suas credenciais quando você as insere e depois têm acesso a todos os seus arquivos e dados.

  • Clone phishing: Os invasores podem pegar um e-mail legítimo e depois “cloná-lo”, enviando exatamente o mesmo e-mail para todos os destinatários anteriores com uma alteração crucial: os links foram substituídos pelos links maliciosos.

  • Manipulação de links: Os phishers enviam links que parecem estar de um endereço, mas, quando clicados, levam para outro lugar. Os truques comuns incluem erros ortográficos propositais (por exemplo, “lado” x “Lado”; o segundo tem um L maiúsculo) ou escrever o nome de um site confiável como o texto de exibição do link. Estes também são conhecidos como ataques homográficos.

  • Scripting entre sites: Phishers sofisticados podem explorar pontos fracos nos scripts de um site para sequestrar o site para seus próprios fins. Scripting entre sites é difícil de detectar, porque tudo no site parece ser legítimo, desde o endereço até os certificados de segurança.

Artigo retirado do site: Avast.com