Cada dia mais conhecido pelo crescente número de vítimas, o Phishing é um ataque que pode utilizar a engenharia social para capturar informações no meio eletrônico. Por hábito as informações podem ser nomes de usuário, senhas, números de cartões de crédito, dados bancários, entre outros.
O nome advém do fato de que o criminoso deliberadamente “pesca” informações utilizando meios maliciosos. Uma das maneiras de phishing mais utilizadas na atualidade é por meio de e-mails falsos, enviados por spammers, que podem levar a links maliciosos ou a arquivos contaminados com malware.
Há uma modalidade desse ataque chamada “Spear Phishing”, ou em português, “pesca com arpão”, que acontece quando o e-mail fraudulento é direcionado para uma pessoa ou organização específica. No “Spear Phishing” o atacante previamente coleta a maior quantidade de informações possíveis sobre o alvo e com essas informações envia e-mails fraudulentos objetivando que alguém abra tais e-mails e acesse links maliciosos ou arquivos infectados.
No livro Segurança Digital de Cleórbete Santos, ele destaca a importância do uso da Engenharia Social na prática do Phishing. “O ataque presencial às vezes é necessário, porém o ataque à distância torna-se mais tranquilo, pois os atacantes se aproveitam da distância e da anonimização para perpetrar seus ataques. Anteriormente vimos que vários ataques eletrônicos utilizam e-mails, mas a verdade é que as formas de ataque são diversas e infinitas, a depender somente da criatividade do atacante. Um site falso que é utilizado para pescaria de informações, por exemplo, é também enquadrado como um ataque utilizando Engenharia social. Outro exemplo bastante comum é o de presidiários que passam o dia enviando mensagens fraudulentas de celular, visando enganar pessoas das mais variadas maneiras. 2.9 – Engenharia social x Psicologia Aqui vemos uma lista de estratégias que utilizam a psicologia e que podem ser utilizadas para ataques de Engenharia social: A arte dos mágicos Leitura fria Falsificação de identidade Copiar para se infiltrar Ouvir para atacar Aceitar e reforçar Persuasão Os mágicos de circo geralmente iludem as pessoas utilizando uma técnica simples: distraem o público com alguma coisa enquanto executam seus truques. E assim também atuam os engenheiros sociais. Um atacante com um ingresso falso em mãos pode primeiramente fazer amizade com os vigias do show em que pretender entrar de graça. A conversa que ele terá com os vigias é a distração necessária para que o atacante utilize o ingresso falsificado e tenha uma chance maior de não ser descoberto.”
O phishing exige conhecimento, juntando elementos da engenharia social e da psicologia, a vítima é sempre levada a dar as necessárias informações que não imagina estar fornecendo para um golpe.
Assim a maior característica do Phishing será a indução da vítima ao erro, para fazer uma ação e ou dar uma informação, não importando a forma: E-mails falsos, sites aparentemente idênticos aos originais e ligações são algumas práticas comuns.
Segundo a pesquisa “Panorama de ciberameaças na América Latina”, realizada pela empresa de segurança Kaspersky, o Brasil é o país com mais tentativas de ataques cibernéticos na região, seguido pelo México. Curiosamente , quando se trata de Phishing, o Brasil lidera no mundo, aqui nem mesmo em meio a pandemia os criminosos dão trégua, pelo contrário, aproveitam-se da fragilidade financeira das pessoas para aplicar novos golpes.
Mesmo com a Lei dos Crimes Cibernéticos, sancionada desde 2012, os crimes continuam a aumentar.
Veja os tipos mais comuns de Phishing:
Blind Phishing, é o mais comum e ocorre via disparo de e-mails em massa. O e-mail é acompanhado de algum link ou anexo tendencioso para que o receptor baixe um vírus em seu computador.
Smishing, é o Phishing realizado por meio de disparos de SMS para celulares. Quase sempre são mensagens que induzem a vítima a tomar decisões imediatas, como dizer que ela está endividada ou ganhou um sorteio inesperado.
Scam, são tentativas dos criminosos de conseguir informações de vítimas por meio de links ou arquivos contaminados. O contato com a vítima pode ser feito por telefone, e-mail, mensagem de texto ou pelas redes sociais, por exemplo.
Clone Phishing, nessa espécie o criminoso clona um site original para atrair os usuários e induzi-los a acreditarem que estão em um ambiente seguro.
Vishing, é o mais praticado de dentro das cadeias, utilizando mecanismos de voz para aplicar criando uma sensação de urgência para que o usuário tome medidas e forneça informações rapidamente.
Whaling, Pharming são outras espécies menos praticada.
É óbvio que a mente criminosa sempre está procurando outras formas de ludibriar e trapacear utilizando-se da boa fé das pessoas. Logo, mais do que cuidado é preciso ser cético com todo e qualquer contato que seja distinto do usual.
