Phishing (pronunciado: fishing) é um tipo de crime virtual, onde pessoas mal intencionadas tentam enganar outras pessoas e obter informações sensíveis delas.
Segundo relatório da Kaspersky, o Brasil foi o país mais atacado por phishing pelo WhatsApp, com mais de 76 mil tentativas de fraudes.
Assim, você que está lendo esse artigo, provavelmente já sofreu alguma tentativa de phishing. Então, é hora de entender melhor esse tipo de crime virtual e saber como se proteger dele.
O que é phishing?
O phishing é uma forma de ataque virtual onde criminosos tentam enganar as pessoas e obter informações como senhas, números de cartões de crédito e dados bancários.
O termo “phishing” é derivado da palavra “fishing” (pescaria), indicando a prática de “pescar” informações confidenciais como um pescador fisga peixes.
Nesse sentido, os ataques de phishing geralmente envolvem a criação de mensagens ou sites falsos que imitam instituições confiáveis, como bancos, empresas ou serviços online.
Essas mensagens ou sites falsos são projetados para parecerem autênticos, muitas vezes incluindo logotipos e linguagem visual semelhantes aos originais.
Assim, golpistas utilizam táticas de engenharia social para te induzir a acreditar que você está lidando com uma fonte legítima.
No vídeo abaixo, a Laura, explora o que é phishing, maneiras de identificar ataques e dicas essenciais para evitar golpes na internet. Assista agora e fortaleça sua segurança digital.
Leia também: 30 dicas de segurança na internet para manter sua vida digital mais segura – KingHost
Como os ataques de phishing acontecem
Agora que você sabe o que é phishing, é hora de entender como esse tipo de ataque acontece. Então, vamos lá!
Os ataques de phishing ocorrem por meio de engenharia social. Isso quer dizer que, nesse tipo de ação, vai ser utilizada a psicologia humana para te induzir a passar informações confidenciais.
Por exemplo, os criminosos enviam mensagens eletrônicas disfarçadas como emails ou mensagens de texto.
Ao criar uma aparência autêntica, esses golpistas te fazem acreditar que você está interagindo com uma fonte confiável.
Além disso, os emails ou mensagens podem ter links direcionando para sites falsos, que parecem muito com o site verdadeiro. Então, ao inserir suas informações pessoais, como senhas ou números de cartões de crédito, você pode sofrer diversos prejuízos financeiros.
Outra tática utilizada no phishing são as ameaças ou urgências falsas nas mensagens para te pressionar a agir rápido. Isso cria um senso de urgência, te induzindo a compartilhar informações antes de considerar a legitimidade da mensagem.
Enfim, com a evolução das táticas, é preciso manter a atenção para identificá-las. Para isso, agora você vai conhecer os tipos de phishing.
Segundo pesquisa realizada pela empresa de segurança Proofpoint, em 2022 cerca de um quarto das empresas brasileiras relataram perdas financeiras em razão de ataques digitais.
Tipos de phishing
Como você pode acompanhar até aqui, o phishing pode assumir várias formas, sendo adaptado para enganar suas vítimas de maneiras diversas.
Assim, abaixo você confere alguns dos tipos mais comuns de phishing.
1. Phishing por email (Blind Phishing)
O Blind Phishing ocorre através do envio de mensagens genéricas para um grande número de pessoas, sem direcionamento específico. Ou seja, elas não são personalizadas para alvos individuais.
O objetivo é enganar usuários desavisados e coletar informações confidenciais.
No print abaixo podemos identificar uma tentativa de phishing por email, com uma oferta atrativa que induz a vítima a clicar no link de resgate.
Felizmente, os emails da KingHost possuem antispam e a mensagem foi direcionada automaticamente para o lixo eletrônico.
Leia também: Backup de emails. Você tem? A KingHost tem!
2. Clone Phishing
Nesse tipo de golpe, os atacantes criam réplicas exatas de mensagens ou sites legítimos, alterando sutilmente alguns elementos para induzir as vítimas a tomar ações indesejadas.
O objetivo do clone phishing é fazer com que as vítimas forneçam informações sensíveis ou cliquem em links maliciosos.
3. Spear Phishing
Ao contrário do phishing genérico, o Spear Phishing, como o nome diz, é uma pesca específica e altamente direcionada. Os atacantes pesquisam e personalizam suas mensagens para alvos específicos, geralmente usando informações pessoais.
Ele ocorre, por exemplo, quando alguém te chama no WhatsApp se identificando como um amigo ou parente e dizendo que mudou de número. Na sequência vem um pedido de dinheiro para algo urgente.
O melhor a se fazer nesse tipo de situação é ligar para o número oficial da pessoa e conversar diretamente com ela, pois possivelmente trata-se de um golpe.
A intenção dos criminosos é obter informações sensíveis, conseguir dinheiro ou realizar ataques direcionados contra indivíduos ou empresas.
Leia também: Segurança na Internet: como se proteger de ataques e fraudes – KingHost
4. Vishing (Voice Phishing)
No Vishing (phishing + voz) os ataques são feitos por telefone, onde os criminosos tentam obter informações pessoais através de chamadas telefônicas falsas.
Dessa forma, ao receber um telefonema, onde a pessoa diz ser de um órgão governamental, por exemplo, e solicita dados pessoais, desconfie.
Nesse caso, o objetivo é coletar dados sensíveis ou realizar fraudes por meio de interações telefônicas.
Leia também: O que é SPAM e como evitar esse tipo de mensagem
5. Whaling
Já Whaling significa “caçar baleias” ou “peixes grandes” e é uma forma de phishing direcionada a pessoas de alto escalão, como executivos de empresas. Assim, os golpistas visam pessoas que possuem acesso a informações críticas.
Portanto, a intenção é conseguir informações confidenciais de alto valor ou realizar ataques específicos contra organizações.
6. Scam (Golpes)
Embora não seja exclusivamente um tipo de phishing, scams (golpes) são esquemas fraudulentos projetados para enganar as pessoas, muitas vezes por meio de emails, sites falsos ou mensagens enganosas.
Com isso, a prática visa enganar as vítimas para obter dinheiro, informações pessoais ou acesso a sistemas.
7. Phishing de mecanismo de busca (Search Engine Phishing)
Também conhecido como envenenamento por SEO, nesse tipo de phishing, golpistas criam sites falsos otimizados para motores de busca, visando aparecer nos resultados quando as pessoas procuram informações específicas.
O objetivo é enganar os usuários para que cliquem em links maliciosos após uma pesquisa online.
Leia também: Como bloquear sites? Confira as melhores dicas!
8. Publicidade maliciosa (Malvertising)
O Malvertising ou publicidade maliciosa, envolve a disseminação de anúncios online infectados com malware. Assim, as vítimas podem ser redirecionadas para páginas de phishing através desses anúncios.
O objetivo desse tipo de ação é instalar malware nos dispositivos dos usuários ou direcioná-los para sites de phishing.
9. Phishing por SMS (Smishing)
No smishing atacantes enviam mensagens de texto fraudulentas que parecem ser de instituições legítimas, solicitando informações confidenciais.
Assim, são obtidos dados pessoais de usuários. Conforme a imagem abaixo:
10. Pharming
Na Pharming, criminosos redirecionam o tráfego da web de uma vítima para um site falso, mesmo se a vítima inserir o URL correto na barra de endereços. Isso porque, o DNS da rede é corrompido.
Com isso, são capturadas informações de login e outras informações sensíveis.
Leia também: Proteção para o seu negócio: Guia completo para uma hospedagem segura de sites
11. Phishing em redes sociais
Phishing em redes sociais é quando golpistas usam plataformas como Facebook ou Instagram para aplicar golpes,
Geralmente, criam perfis falsos e enviam mensagens diretas com pretextos urgentes e visam roubar credenciais de login.
Como reconhecer ataques de phishing
Afinal, como saber se o contato é realmente phishing e não uma mensagem verdadeira?
Bom, existem algumas informações que você pode checar e que vão te ajudar nessa identificação. Veja abaixo:
Verifique o Remetente
É importante que você sempre examine o endereço de email do remetente para garantir que seja legítimo. Erros ortográficos ou variações suspeitas podem ser indicativos de phishing.
Desconfie de links suspeitos
Passe o mouse sobre os links antes de clicar para visualizar o URL real. Desconfie de URLs encurtadas e verifique se correspondem ao site oficial.
Você também pode clicar com o botão direito sobre o link, copiá-lo e colar em um bloco de notas, por exemplo. Assim, é possível verificar com calma antes de acessá-lo.
Leia também: Dicas de segurança virtual para você aplicar no home office
Solicitações de informações pessoais
Empresas legítimas geralmente não solicitam informações confidenciais por email. Portanto, desconfie de mensagens que solicitam senhas ou dados bancários.
Caso fique com dúvidas, contate diretamente a empresa e verifique a procedência da mensagem.
Gramática e ortografia
As mensagens de phishing muitas vezes contêm erros de gramática e ortografia.
Por isso, preste atenção à escrita, pois empresas legítimas geralmente revisam com cuidado as suas comunicações.
Arquivos maliciosos
Cuidado com os arquivos anexados ou incluídos para download na mensagem. Suspeite caso haja algum indício de golpe e a mensagem possua esses arquivos.
Como se proteger contra Phishing
Atenção para seu email: lembre de verificar os emails com cuidado e não clique em nada sem ter certeza da procedência.
Atualizações de segurança: mantenha seu sistema operacional, navegadores e programas antivírus atualizados para proteger-se contra vulnerabilidades.
Autenticação de dois fatores: Ative a autenticação de dois fatores sempre que possível para adicionar uma camada extra de segurança.
Firewall: se possível, utilize um firewall, pois ele filtra o tráfego, bloqueando o acesso a sites maliciosos associados a phishing, detectando comportamentos suspeitos e protegendo contra malware.
A KingHost, por exemplo, possui um serviço de WAF exclusivo para clientes. Ele funciona como um guarda-chuva protetor para o seu site ou aplicação online.
Leia também: O que é WAF e qual sua importância na segurança de um site?
Relate ataques suspeitos: se receber um email ou mensagem suspeitos, informe a empresa legítima imediatamente. Muitas organizações têm processos para lidar com relatos de phishing.
Certificado SSL: verifique sempre se o site possui SSL, que é aquele cadeado de segurança que aparece ao lado do endereço. Isso indica que trata-se de um site que trata da troca de informações entre usuário e provedor, de maneira segura.
Você sabia? Na KingHost sua Hospedagem de Sites tem garantia de segurança com Certificado SSL gratuito.
Conclusão
O phishing é uma ameaça séria, mas com conscientização, educação e práticas de segurança recorrentes, é possível se proteger contra esses ataques.
Para se ter uma ideia, a KingHost filtra hoje 1.8 milhões de spams por dia. Isso quer dizer que, com um email profissional confiável e ferramentas de qualidade, é possível diminuir os impactos dessas tentativas de golpes.
Portanto, é importante que você se mantenha vigilante e, além disso, busque serviços confiáveis para o seu negócio.
Com isso, você contribui para a construção de um ambiente online mais seguro para todas as pessoas.
