O que é phishing? Saiba tudo sobre o golpe e como se proteger

📝 Como passar antivírus no celular? Tire dúvidas no Fórum do TechTudo]

1. O que é phishing e como funciona?
2. Diferença entre phishing e spam
3. O que é spear phishing? Conheça os principais tipos de phishing (1. Spear phishing; 2. Whaling attacks; 3. Pharming; 4. Clone phishing; 5. Phishing via Wi-Fi; 6. Phishing de voz; 7. Phishing por SMS; 8. Phishing de calendário; 9. Roubo de página)
4. Técnicas utilizadas no phishing
5. Sinais de que um e-mail ou mensagem é phishing
6. Como evitar o phishing?

Phishing é um ataque cibernético feito por invasores para roubar informações sigilosas na web. A origem do nome vem de fishing (pescar, em inglês) e faz referência à forma como o golpe acontece. Na dinâmica criminosa, o golpista finge ser uma empresa ou uma outra pessoa e usa links, mensagens, e-mails e anúncios na Internet para "fisgar" a atenção do usuário. Depois, a vítima é levada para uma página falsa, onde é feito o roubo dos dados, como senhas e informações bancárias.

Plataformas como LinkedIn, Instagram, Facebook e X (antigo Twitter) podem ser usadas por hackers para coletarem dados pessoais, histórico profissional, interesses e atividades da vítima. Essas informações ajudam os criminosos a desenvolverem uma mensagem de phishing com maior probabilidade de aceitação. Então, quando a vítima clica em um arquivo suspeito ou em um link malicioso, o invasor pode conseguir instalar malwares no dispositivo ou direcioná-la para um site falso.

Muitas mensagens de phishing são mal escritas e nitidamente falsas, no entanto, mas é preciso duvidar até dos textos convincentes. Isso porque os golpistas podem utilizar ferramentas de inteligência artificial (IA) para fazer com que o conteúdo pareça mais real. Outras tentativas de phishing podem ser feitas por telefone, quando o criminoso se passa por um funcionário de uma empresa conhecida para obter informações pessoais.

Diferente do phishing, o spam não é um tipo de fraude criada por hackers, mas sim um lixo eletrônico. Tratam-se de e-mails que são enviados em massa, e na maioria das vezes são conteúdos indesejados. Entretanto, embora seja inconveniente, o spam não causa maiores danos, ao contrário do ataque de phishing. Normalmente, o spam é enviado para fins comerciais, mas há situações em que o e-mail também pode conter uma tentativa de ataque cibernético.

Há diversas formas de praticar o phishing, entre eles estão o golpe aplicado por e-mail e SMS. Porém, os cibercriminosos seguem aprimorando a estratégia de ataque virtual já existente, criando novos tipos de phishing e alcançando novas vítimas. Confira os principais tipos:

São ataques direcionados a pessoas ou empresas específicas, geralmente aplicando informações personalizadas da vítima para deixar a mensagem ainda mais autêntica. Ou seja, os e-mails de spear phishing podem ter referências a colegas de trabalho, além do uso do nome, localização ou demais dados pessoais.

Em português, os "ataques às baleias" são um tipo de spear phishing, porém, com foco em profissionais com altos cargos em uma empresa. Isso porque o objetivo é roubar grandes quantidades de dados confidenciais. A mensagem de phishing, por exemplo, pode ser uma ordem de um executivo para autorizar um grande pagamento a um fornecedor mas, na verdade, o valor seria feito aos golpistas.

Neste tipo de phishing, os cibercriminosos redirecionam os usuários de um site verdadeiro para um falso. Desse modo, o pharming tenta enganar os usuários para que façam login na página fraudulenta usando suas credenciais pessoais.

A técnica consiste em usar e-mails verdadeiros, que já foram entregues anteriormente e que contenham um link ou anexo. Depois, os golpistas clonam o e-mail legítimo e trocam os anexos por arquivos maliciosos, enganando as vítimas, que clicam no conteúdo danoso. Nesse caso, os invasores costumam enviar e-mails de um remetente confiável, que é conhecido das vítimas.

Os hackers tentam atrair pessoas para que se conectem a uma rede Wi-Fi falsa, que usa o mesmo nome da rede verdadeira. Quando a vítima se conecta, os criminosos conseguem acessar as transmissões dos dispositivos, incluindo IDs de usuário e senhas.]

Esse tipo de phishing usa software de voz para deixar mensagens notificando a vítima sobre atividades suspeitas em uma conta bancária, por exemplo. A chamada pede que a pessoa responda para verificar sua identidade, comprometendo as credenciais da conta.

É um ataque que usa mensagens de texto via SMS para convencer as vítimas a fornecer informações de contas ou instalar malwares. Geralmente, essa mensagem pede que a pessoa clique em um link ou anexo malicioso, onde será feito o roubo dos dados privados.

Cibercriminosos enviam falsos convites, que são adicionados automaticamente aos calendários das vítimas e incluem um link malicioso.

O phishing de sequestro de página redireciona a vítima para um site fraudulento, que é uma cópia da página que ela pretendia visitar e geralmente possui malware.

Há diversas técnicas aplicadas pelo golpe de phishing. Além de fazer com que as vítimas cliquem em um link suspeito ou abram um arquivo malicioso, os golpistas também podem usar alguns mecanismos para capturar suas vítimas, como encurtar links e alterar URLs. A seguir, veja mais detalhes sobre os métodos usados no phishing:

• Falsificação de links: Os invasores criam uma URL maliciosa que é exibida como se estivesse vinculada a um site oficial;
• Encurtamento de links: Os golpistas usam essa técnica para ocultar o destino do link. Assim, as vítimas não têm como saber se o link encurtado leva para um site verdadeiro ou falso;
• Troca de letras na URL: Os invasores registram domínios com nomes semelhantes às empresas famosas, porém usam algumas letras diferentes. Por exemplo: "Amazon" (nome original) torna-se "Amazom" (nome falso);
• Renderização gráfica: Renderizar uma mensagem como uma imagem pode permitir que os golpistas driblem antivírus e softwares de segurança que verificam e-mails em busca de frases ou termos comuns no phishing;
• Redirecionamento secreto: Os invasores enganam as vítimas para que forneçam informações pessoais, levando-as para uma fonte supostamente confiável que solicita autorização para se conectar a outro site - uma página maliciosa, que pede dados de autenticação da vítima;
• Bots de IA: Com o uso de chatbots de IA, os criminosos removem erros gramaticais e ortográficos que costumam aparecer em e-mails de phishing, o que pode fazer com que a mensagem pareça mais real;
• Geradores de voz de IA: Os golpistas usam ferramentas de inteligência artificial para gerar voz e soar como uma autoridade ou pessoa familiar durante uma chamada telefônica, aumentando a chance de o ataque ser bem-sucedido.

É comum que mensagens de phishing tenham algumas características suspeitas, como promoções que chamam a atenção das vítimas, ou uma ideia de senso de urgência, pedindo para a vítima agir imediatamente para não perder sua conta, por exemplo. A seguir, saiba mais sobre os sinais de que uma mensagem ou e-mail é phishing:

• Ofertas muito grandes: Descontos que parecem bons demais para ser verdade são um indício de phishing. Essas promoções suspeitas servem para atrair a atenção, por exemplo, afirmando que a vítima ganhou um celular ou algum prêmio em dinheiro;
• Senso de urgência: Outra técnica comum entre os cibercriminosos é pedir que a vítima aja rapidamente, ao sinalizar que as supostas ofertas são por tempo limitado. Os golpistas podem mentir ao dizer que a conta do usuário será suspensa caso os dados pessoais não sejam atualizados imediatamente;
• URLs maliciosos: São links que prometem direcionar para uma página segura, mas, na verdade levam as vítimas para sites fraudulentos. Os links podem ser aleatórios ou uma tentativa de imitar uma empresa. Por exemplo, os criminosos escrevem o site com algum erro ortográfico, como "Aple" em vez de "Apple";.
• Anexos suspeitos: As mensagens ou e-mails de phishing podem conter um anexo suspeito, que geralmente possui malwares. Sendo assim, caso receba um e-mail desconhecido ou inesperado com um anexo, não abra;
• Remetente incomum: Outro sinal de phishing é o remetente desconhecido. Se receber um contato inesperado ou suspeito, evite clicar no conteúdo.

Para evitar cair no golpe de phishing, é necessário tomar alguns cuidados relacionados à segurança no ambiente digital. Além de instalar um antivírus no dispositivo, também é recomendado utilizar filtros de spam para não receber e-mails indesejados. Veja, abaixo, como se proteger para evitar problemas e se proteger dos ataques de phishing:

• Instale antivírus e softwares de proteção: Além dos antivírus tradicionais, há opções de softwares que garantem maior proteção contra ataques phishing, como o Kaspersky Phishing URL Data Feed;
• Não clique em links suspeitos: Caso receba um link suspeito, evite abri-lo antes de verificar todas os detalhes, como endereço e possíveis erros de ortografia;
• Evite abrir e-mails inesperados: Desconfie de e-mails cujo remetente é desconhecido;
• Certifique-se de que o site é seguro: Antes de clicar em um link ou navegar em uma página, verifique se o site possui o protocolo de segurança (https://);
• Use filtros de spam: Essas ferramentas podem ajudar a avaliar a origem e a aparência da mensagem para determinar se é spam, evitando os e-mails de phishing;
• Não informe dados pessoais e bancários: Se receber uma mensagem ou e-mail em nome de alguma empresa solicitando o envio de informações pessoais ou bancárias, procure uma fonte oficial e entre em contato com a instituição.

Com informações de TechTarget, Phishing.org, Cisco e It Governance

Veja também: assista ao vídeo com dicas para descobrir se uma foto é fake