Para se proteger contra golpes é necessário conhecê-los. Saiba como funciona o Phishing e evite esse problema!

Atualmente, um dos cibercrimes mais comuns e prejudiciais enfrentados por empresas e pessoas é o ataque do tipo Phising.

Pela sua facilidade de desenvolvimento, pode alcançar muitas pessoas simultaneamente, aumentando sua capacidade de causar danos. 

De acordo com o estudo “O Panorama de Ameaças”, feito pela empresa de segurança digital Kaspersky, em 2022, na América Latina o Phishing foi um dos golpes mais comuns. Adivinha o país que liderou os ataques recebidos? O Brasil, minha gente.  

Para quem já ouviu falar e para quem está conhecendo agora o termo Phishing, vamos contar importantes detalhes sobre como funciona esse golpe.

+ Certificado SSL: a segurança do seu site em suas mãos

Navegue pelo índice

    O que é Phishing?

    Phishing vem do termo em inglês Fishing, que significa pescaria. Nesse tipo de crime, os cibercriminosos utilizam mensagens apelativas como iscas.

    O objetivo é capturar a atenção das vítimas e induzi-las a realizar ações como informar seus dados, clicar em links ou baixar arquivos. 

    O Phishing é um golpe digital em que os criminosos utilizam iscas para estimular as vítimas a clicar em links, baixar arquivos ou informar dados.

    Com isso, os criminosos podem acessar contas e cartões, praticar golpes de falsa identidade e realizar transações financeiras, entre outros crimes.

    Como funciona o Phishing?

    O cibercriminoso, também chamado de phisher, geralmente começa pelo básico e fácil, que é monitorar perfis públicos nas redes sociais. E dá para descobrir muita coisa só observando fotos e vídeos. 

    Por exemplo: algo corriqueiro, como publicar uma foto com o pessoal da firma, deixa pistas como o logotipo da empresa ao fundo.

    Ou contar que foi ao Happy Hour perto do trabalho e marcar o lugar na publicação. Depois, um outro registro sobre o hospital onde doou sangue, a aula de spinning, a faculdade onde defendeu o TCC. Nesse caso, o phisher faz um ataque direcionado a pessoas específicas.

    Outras ações para atingir um monte de gente ao mesmo tempo podem vir pela aquisição de mailings. Neles há informações como os endereços de e-mail, nome completo, telefone, dados bancários e número de documentos. Aí é só colocar em algum programa e colocar para rodar.

    Essa primeira explicação é mais para dar uma ideia geral. O Phishing tem diversas modalidades para tirar o sono de qualquer pessoa.

    Quais os 6 tipos mais comuns de Phishing? 

    O Phishing tem, por essência, o uso de uma mídia como meio de concretizar o golpe: e-mail, telefone, SMS, redes sociais e até mesmo aplicativos.

    Além de roubar os dados das pessoas, esse tipo de golpe também consegue raptar os dispositivos depois da vítima baixar arquivos inadvertidamente.

    Na maioria dos casos, a vítima recebe uma comunicação dos cibercriminosos se passando por empresas conhecidas no mercado.

    Além de dados financeiros e dados pessoais, os cibercriminosos se interessam também em roubar arquivos importantes. Muitos golpistas têm como objetivo invadir o Dropbox, Google Drive e outros repositórios de arquivos para manipular informações.

    Vamos agora conhecer os métodos mais comuns dentro do Phishing:

    1- Blind Phishing

    esse um dos golpes mais conhecidos. Os cibercriminosos disparam um e-mail com uma mensagem apelativa genérica com um link ou arquivo para baixar – e esperam pescar alguém.

    2- Clone Phishing

    Os cibercriminosos têm a audácia de clonar sites legítimos para enganar suas vítimas. Nesse caso, geralmente oferecem algum benefício para a pessoa entregar seus dados, com a promessa de enviar algum material, cupom de desconto, produtos ou serviços. A vítima pode receber o link de mídias diversas.

    3- Smishing

    Esse Phishing é enviado por SMS e elaborado para despertar a curiosidade ou emoção da vítima. Algumas das abordagens comuns envolvem o recebimento de um prêmio, informar uma dívida alta ou uma promoção imperdível. Nesse caso, a mensagem vem com um link – que não deve ser clicado de maneira alguma!

    4- Vishing

    O cibercriminoso informa, por chamada de voz, que é funcionário de bancos, publicações ou empresas de telefonia. Ele relata um problema de cadastro e pede para a pessoa informar seus dados pessoais para regularizar a situação.

    Em outro tipo de Vishing, o cibercriminoso pede para a vítima baixar um aplicativo para regularizar uma situação pendente. Com isso, o golpista passa a ter acesso a todas as informações do dispositivo onde o app foi instalado. Um desastre total.

    5- Spear Phishing

    Nessa modalidade de golpe, o principal alvo são empresas. O cibercriminoso utiliza um contato conhecido, como de fornecedores, para obter dinheiro. Ele pode alegar que não caiu determinado pagamento por um erro na emissão de um boleto e em seguida encaminhar um outro boleto idêntico ao original, exceto pelo destino do dinheiro.

    6- Whaling

    Aqui, as vítimas procuradas são profissionais do alto escalão e outras posições de grande destaque (“os peixões” do mercado). O intuito é conseguir as credenciais de acesso ao sistema para obter informações sigilosas da empresa, como dados das pessoas que trabalham no local, dados financeiros e até projetos.

    O estudo “O Panorama de Ameaças”, feito pela Kaspersky ainda mapeou os principais interesses dos cibercriminosos de Phishing:

    • 27% buscam roubar credenciais de internet / mobile banking; 
    • 22% visam roubar credenciais de redes sociais;
    • 18% roubam credenciais de serviços online (loja online, streamings etc);
    • 9% usam temas de serviços financeiros para roubar senhas;
    • 7% querem dados de pagamentos (cartão de crédito).

    Como reconhecer um ataque

    Reconhecer um ataque Phishing vai depender do nível de sofisticação do golpe. Temos algumas dicas do que já foi identificado pelo mercado de cibersegurança, mas todo cuidado é pouco.

    Vamos listar o que já foi descoberto. 

    Erros grosseiros

    Quando a comunicação recebida tiver erros de redação (problemas com ortografia, grafia, concordância verbal e coerência), tenha bastante atenção.

    Outro fator que aponta uma comunicação fraudulenta é o uso de imagens com distorções, logotipos em baixa resolução ou com outros problemas de identidade visual. Esses tipos de comunicação devem ser deletados imediatamente.

    Mensagens apelativas

    Quando o tom da comunicação for ameaçador ou de urgência extrema, desconfie. Esse tipo de mensagem tem como objetivo causar grande impacto emocional, ao ponto da vítima não conseguir racionalizar a situação e agir por impulso. Respire e delete.

    Escrita incompatível

    Muitas vezes o cibercriminoso pode tentar se passar por alguém conhecido por meio dos aplicativos de conversa.

    Desconfie se a pessoa utilizar um tom muito formal ou muito informal, incompatível como o tipo de comunicação que vocês fazem. Não informe seus dados, não transfira dinheiro e bloqueie o contato.

    Pedidos inusitados

    Uma solicitação de uma transferência de dinheiro, pagamento de boleto para um terceiro ou a instalação imediata de um software não são comuns. Não tome nenhuma ação, sequer continue a se comunicar. Bloqueie o contato e delete.

    URL do site ou domínio de e-mail estranho

    Caso identifique inconsistência nos dados de endereço eletrônico da comunicação, não clique em nada. Vá ao site original e confirme qual o domínio. As vezes, o domínio da comunicação fraudulenta está apenas como “.com” e ele é “.com.br”. 

    Veja as melhores ofertas para comprar o domínio do seu site!

    Como se proteger de um ataque de Phishing

    Lembre-se: um ataque Phishing busca brechas na segurança para alcançar suas vítimas. Existem ferramentas tecnológicas capazes de barrar grande parte desse tipo de comunicação, mas para isso acontecer é preciso aderir a ferramentas de cibersegurança.

    Um deles é o Certificado de Segurança SSL. Para identificar se um site é seguro, verifique se ele tem o símbolo de um cadeado fechado na barra de endereço.

    Outro indicador de que o site tem o Certificado de Segurança SSL é o protocolo HTTPS no URL. Os próprios navegadores informam quando o site não é seguro; portanto, não realize transações em sites que não possuem esse certificado.

    Certificado SSL é na Locaweb

    A Locaweb oferece opções de planos para certificados SSL e pode ajudar caso você tenha um site e queira manter sua empresa protegida contra Phishing. Além disso, na contratação de um serviço de hospedagem ou de um servidor dedicado conosco, você pode optar por incluir um certificado SSL em sua assinatura.

    Aqui conosco, a pessoa pode administrar tudo em um painel de gestão e, se a Hospedagem de Sites também estiver conosco, em poucos cliques é possível emitir o certificado e garantir a segurança do site.

    Os e-mails sob nossa hospedagem também contam com AntiSpam, o que impede a entrada de e-mails fraudulentos na caixa postal, e Antivírus, que permite a verificação de possíveis problemas com anexos. Essas duas soluções são muito eficientes contra Phishing.

    Se o seu site ainda não tem um Certificado de Segurança SSL, saiba como assinar neste link.

    O autor

    Liliane Oliveira

    Liliane Oliveira é Coordenadora de Marketing de Conteúdo e SEO na Locaweb, com especialização em Marketing pela ESPM. Com mais de 15 anos de experiência no setor de tecnologia, ela se destaca como especialista em SEO, criação de conteúdo, gestão de blogs, sites e canais do YouTube. Seu trabalho é voltado para o aumento do tráfego orgânico e geração de resultados. Além disso, ela encontra equilíbrio praticando yoga, conhecendo novos lugares e se dedicando a novas aprendizagens, sempre como uma eterna padawan.

    Veja outros conteúdos desse autor