O Google estima que mais de 12,3 milhões de pessoas são vítimas de phishing todos os anos. Apesar de os primeiros ataques de phishing terem sido registrados no final do século passado e os métodos tradicionais estarem gradualmente ficando em segundo plano, esse tipo de fraude cibernética continua a representar um perigo bastante sério para indivíduos e empresas.
Para minimizar os riscos de se tornar vítima de phishing, você deve se familiarizar detalhadamente com esse tipo de fraude cibernética.
O que é phishing?
Na grande maioria dos casos, o phishing é a distribuição de cartas em nome de empresas bastante conhecidas que são de natureza em massa. Essas mensagens geralmente contêm um link que leva a um site que, após uma rápida inspeção inicial, não é diferente do real. Ao inserir informações confidenciais nos campos apropriados, o que os golpistas conseguem usando uma variedade de truques, o usuário dá aos cibercriminosos acesso às suas contas.
Como tudo começou
A primeira menção de phishing relacionada à AOL apareceu em 1996.
Os fraudadores, se passando por funcionários de uma empresa de mídia, pediam aos usuários que fornecessem senhas para suas contas e, após obterem acesso, as usavam para enviar spam. A distribuição para sistemas de pagamento começou no início dos anos 2000 e, em 2006, os golpistas cibernéticos chegaram ao MySpace, roubando dados de registro de usuários.
Alvo de phishing
Considerando que os ataques de phishing podem ser realizados tanto em indivíduos quanto em empresas, os objetivos perseguidos pelos golpistas também diferem.
Assim, no primeiro caso, o objetivo é ter acesso a logins e senhas, além de números de contas de usuários de serviços bancários, além de sistemas de pagamento e redes sociais. Além disso, os ataques de phishing geralmente são realizados para instalar software malicioso no computador de uma vítima em potencial.
O saque de contas às quais os golpistas obtiveram acesso é um processo bastante complicado do ponto de vista técnico, e é muito mais fácil pegar uma pessoa envolvida em tais operações.
Assim, tendo recebido informações confidenciais, o fraudador, na grande maioria dos casos, simplesmente as vende para outras pessoas usando métodos comprovados de saque de contas. No caso de um ataque de phishing a uma empresa, o objetivo prioritário é acessar a conta de um dos funcionários para, posteriormente, atacar a empresa como um todo.
Métodos e esquemas de phishing
Método de Engenharia Social
Nesse caso, os golpistas, se passando por funcionários de empresas conhecidas, informam à potencial vítima que é necessário atualizar os dados pessoais, ou fornecê-los, o que geralmente é explicado por uma falha ou perda do sistema.
Esse esquema usa o fato de que as pessoas geralmente reagem a eventos significativos, em conexão com os quais os organizadores do ataque de phishing tentam excitar o usuário o máximo possível, forçando-o a tomar as medidas que os golpistas precisam imediatamente. É geralmente aceito que uma carta com a frase “para restaurar o acesso à conta, siga o link…” no título atrai a atenção do usuário, obrigando-o a clicar.
Simples engano
Esse esquema, no qual os golpistas enviam um e-mail em nome de uma empresa conhecida, incluindo uma solicitação para seguir um link, é o mais comum, permitindo que milhões de e-mails de spam sejam enviados em uma hora. Para roubar dados pessoais, são criados sites de phishing que, à primeira vista, não diferem dos reais. Na grande maioria dos casos, são usados domínios que diferem dos reais por literalmente um caractere.
Phishing Harpoon
Nesse caso, o ataque não é massivo, mas é realizado em uma pessoa específica. Normalmente, esse esquema é usado para contornar a proteção da empresa e conduzir um ataque direcionado. Os golpistas cibernéticos estudam preliminarmente as potenciais vítimas usando as redes sociais, bem como outros serviços, adaptando assim as mensagens, tornando-as mais convincentes.
“Baleia”
Um método semelhante é usado em um ataque de phishing a altos gerentes e executivos da empresa e, para obter a máxima ideia das qualidades pessoais de uma vítima em potencial, os golpistas passam muito tempo tentando encontrar a maneira mais adequada de roubar informação confidencial.
Distribuição de vírus
Muitas vezes, os ataques de phishing são usados não para roubar dados pessoais, mas para prejudicar um determinado grupo de pessoas. Para fazer isso, um link é inserido em uma mensagem de phishing, clicando no qual baixa um programa malicioso para o computador da vítima, com o qual você pode ter controle total sobre o computador do usuário.
Agricultura
Usando esse método, que é relativamente novo, os golpistas obtêm dados pessoais usando sites oficiais. Tal phishing, quando o endereço digital do site oficial da empresa no servidor DNS é falsificado e o usuário é redirecionado automaticamente para um site falso, é muito mais perigoso do que os métodos tradicionais, pois nesse caso a falsificação é simplesmente impossível de ver. Ebay e PayPal já sofreram com esse esquema de phishing.
Vishing
Neste caso, utiliza-se a comunicação telefónica, sendo indicado o próprio número de telefone, que deve ser chamado para eliminar o “problema”, numa carta de natureza de notificação. Além disso, já diretamente no decorrer de uma conversa telefônica, os golpistas solicitam ao usuário que forneça dados de identificação para resolver o problema mais rapidamente.
Como se proteger de phishing
Antes de tudo, você deve aprender a calcular o phishing e, quando receber cartas que solicitam que você “verifique” sua conta, entre em contato imediatamente com a empresa para autenticar a mensagem.
Em vez de usar hiperlinks, você deve inserir manualmente a URL da empresa em seu navegador. A grande maioria das mensagens provenientes de serviços reais contém certas informações que não estão disponíveis para phishers iniciantes, como um nome ou os últimos dígitos de uma conta, embora isso reduza apenas um pouco os riscos. Vale a pena notar que um link para um site de phishing também pode estar contido em mensagens de amigos cujas contas foram invadidas.
Métodos técnicos para minimizar riscos
Muitos navegadores já alertam os usuários da Internet sobre ameaças de phishing, para as quais mantêm suas próprias listas desses sites. Os serviços de correio também estão lutando, melhorando os filtros de spam e analisando e-mails de phishing. Grandes empresas, para minimizar riscos, complicar os procedimentos de autorização e melhorar a proteção de dados pessoais.
O especialista em segurança da informação Mikhail Tereshkov, representando a JSC ER-Telecom Holding, oferece vários métodos bastante simples, mas eficazes, de proteção contra phishing. Você precisa prestar atenção especial se o site possui um certificado de segurança parecido com https e também alterar as senhas padrão do roteador. Ao fazer compras, é melhor não usar o Wi-Fi público e, ao pagar em uma loja online desconhecida, você deve coletar mais informações sobre isso.
Saída
Levando em conta que os ataques cibernéticos há muito entram em nossas vidas, a proteção qualificada contra os cibercriminosos tornou-se uma das principais tarefas das corporações que desenvolvem serviços de comércio eletrônico, no entanto, os usuários comuns não devem esquecer medidas que podem minimizar o risco de cair em a armadilha dos criminosos.
