O que é phishing?
Uma técnica utilizada para valiosos dos utilizadores que podem ser vendidos ou mal utilizados pelos atacantes para fins nefastos, tais como como extorsão, roubo de dinheiro ou de identidade.
Já recebeu alguma vez um e-mail, texto ou outra forma de comunicação eletrónica aparentemente vinda de um banco, ou outro serviço normal, que lhe tenha pedido para "confirmar" as credenciais da sua conta, um número de cartão de crédito ou outras informações sensíveis? Se sim, já sabe como é um ataque de phishing.
Origem do termo
O conceito foi descrito pela primeira vez num documento de conferência de 1987 por Jerry Felix e Chris Hauck chamado "System Security": A Hacker's Perspective" (1987 Interex Proceedings 1:6). Discutiu a técnica de um atacante imitando uma entidade ou serviço respeitável. A própria palavra traduz "pesca" de alvos - uma vez que utiliza a mesma lógica de "captura de isco". O "ph-" no início é uma referência a “phreaks”, um grupo de hackers que explorou ilegalmente as fronteiras dos sistemas de telecomunicações nos anos 90.
Como funciona o phishing?
O Phishing existe há anos e, durante esse tempo, os atacantes desenvolveram um vasto conjunto de métodos para atingir as vítimas.
A técnica mais comum de phishing é fazer-se passar por um banco ou instituição financeira através de email, atrair a vítima para preencher um formulário falso na - ou anexado à - mensagem de correio eletrónico, ou visitar uma página web solicitando a introdução de dados de conta ou credenciais de login.
Ler mais
As informações roubadas das vítimas são geralmente utilizadas indevidamente para esvaziar as suas contas bancárias ou são vendidas online.
Ataques semelhantes podem também ser realizados através de chamadas telefónicas (vishing) bem como de mensagens SMS (smishing).
Spearphishing
Um método mais avançado de phishing em que mensagens aparentemente autênticas de phishing aterram nas caixas de entrada de grupos específicos, organizações ou mesmo indivíduos. Os autores de e-mails de spearphishing realizam pesquisas detalhadas sobre o(s) seu(s) alvo(s) com antecedência, o que dificulta a identificação do conteúdo como fraudulento.
Ataques centrados em indivíduos específicos, na sua maioria de alto perfil empresarial - tais como gestores de topo ou detentores de negócios - são rotulados como "whaling", devido ao tamanho do potencial pagamento.
Como reconhecer o phishing
No passado, nomes de domínio mal soletrados ou enganosos eram frequentemente utilizados para este fim. Atualmente, os atacantes incorporam métodos mais sofisticados, tornando as ligações e páginas falsas muito parecidas com as suas contrapartidas legítimas.
Um e-mail ou mensagem eletrónica pode conter logótipos oficiais ou outros sinais de uma organização respeitável e ainda provêm de phishers. Abaixo estão algumas dicas que o podem ajudar a detetar uma mensagem de phishing.
Sinais suspeitos
- Saudações genéricas ou informais – Se uma mensagem carece de personalização (por exemplo, "Caro Cliente") e formalidade, então provavelmente há algo de errado. O mesmo se aplica à pseudo-personalização usando números de referência falsificados e aleatórios.
- Um pedido de informação pessoal – Frequentemente utilizado por phishers, normalmente evitado por bancos, instituições financeiras e pela maioria dos serviços em linha.
- Má gramática – Erros ortográficos, erros de digitação e frases pouco usuais indicam frequentemente uma falsificação (mas a ausência de qualquer uma destas não é prova de legitimidade).
- Correspondência inesperada – O contacto não solicitado de um banco ou prestador de serviços online é altamente invulgar e, portanto, suspeito.
- Um sentido de urgência – As mensagens de phishing tentam frequentemente induzir uma ação rápida e menos ponderada.
- Uma oferta que não pode recusar? – Se o negócio é demasiado bom para ser verdadeiro, é porque quase de certeza que não é.
- Domínio suspeito – Será que um banco americano ou alemão enviaria realmente um e-mail de um domínio chinês?
Como se proteger do phishing
Para evitar o phishing, esteja atento aos indicadores acima mencionados através dos quais as mensagens de phishing são normalmente entregues. Siga estes passos simples:
Esteja atento às novas técnicas de phishing
Siga os meios de comunicação social e as notícias sobre relatórios de ataques de phishing, pois os atacantes podem inventar novas técnicas para atrair os utilizadores para uma armadilha.
Não dê as suas informações pessoais
Esteja sempre alerta se uma mensagem eletrónica de uma entidade aparentemente digna de confiança pedir as suas credenciais ou outros detalhes sensíveis.
Pense duas vezes antes de clicar
Se uma mensagem suspeita fornecer um link ou anexo, não clique ou descarregue. Se o fizer, pode levá-lo a um website malicioso ou infetar o seu equipamento com malware.
Verifique regularmente as suas contas online
Mesmo que não suspeite que alguém esteja a tentar roubar as suas credenciais, verifique as suas contas bancárias e outras contas em linha quanto a atividades suspeitas. Só por precaução.
Use uma solução anti-phishing fiável.
Aplique estas técnicas e 'Desfrute de tecnologia mais segura'.
Exemplos conhecidos
O phishing sistemático começou na rede da America Online (AOL) em 1995. Para roubar credenciais de conta legítimas, os atacantes contactaram as vítimas através do AOL Instant Messenger (AIM), muitas vezes fingindo ser funcionários da AOL a verificar as senhas dos utilizadores. O termo "phishing" apareceu num grupo de notícias da Usenet que se concentrou numa ferramenta chamada AOHell que automatizou este método, e o nome ficou preso. Depois de a AOL ter introduzido contramedidas em 1997, os atacantes perceberam que podiam utilizar a mesma técnica noutros serviços - e passaram a fazer-se passar por instituições financeiras.
Outros exemplos do passado
Uma das primeiras grandes tentativas, embora falhadas, ocorreu em 2001, aproveitando o caos dos ataques terroristas de 11 de setembro. Os phishers enviaram e-mails pedindo a algumas das vítimas uma verificação de identidade, tentando utilizar indevidamente os dados obtidos para roubar detalhes financeiros do serviço de moeda digital e-gold.
Levou apenas mais três anos para o phishing ganhar uma posição firme no mundo online e em 2005 já tinha custado aos utilizadores dos EUA mais de 900 milhões de dólares.
De acordo com o APWG Global Phishing Survey, aconteceram em 2016 mais de 250.000 ataques únicos de phishing, utilizando um número recorde de nomes de domínio maliciosamente registados - ultrapassando a marca dos 95.000. Nos últimos anos, os phishers tenderam a concentrar-se na banca, serviços financeiros e monetários, adeptos de comércio eletrónico e credenciais de redes sociais e de correio eletrónico.
ESET protege-o contra phishing
SEGURANÇA PREMIUM
ESET Smart Security Premium
Concebido para utilizadores que não querem fazer compromissos.
Protege os dispositivos Windows, macOS e Android.
