in Artigos

Phishing e a pescaria de dados

1.3k Visualizações

Vânia Maria de Oliveira Rodrigues Pinheiro*

O termo PHISHING, derivado da palavra em inglês “fishing”, traduzido como pescaria,  surgiu no ano de 1996, sendo utilizado por fraudadores que praticavam o roubo de informações da AOL, principal provedor de acesso à internet dos Estados Unidos na época. Nos anos seguintes, a prática de comercializar dados roubados como moeda de troca se intensificou e os dados roubados eram trocados por softwares maliciosos capazes de infectar computadores e roubar outros dados, um círculo vicioso, fazendo com que o termo circulasse com mais frequência na mídia, popularizando o termo “.phishing”.  

Nos anos 2000, o termo ganhou força e voltou-se para os sistemas de pagamento online e sites de compra, como Paypal. Já na década seguinte, com empresas e pessoas cada vez mais conectadas, as tentativas de golpes virtuais alcançaram as redes sociais. 

O que é Phishing?

Phishing é uma espécie de crime cibernético que consiste na utilização de práticas fraudulentas e truques de engenharia social ou engano para manipular as pessoas para roubar ou obter informações pessoais de suas vítimas, podendo ter uma variedade de alvos, dependendo do invasor. Pode ser um um ataque focado em um indivíduo específico ou de forma mais genérica, em um grupo de pessoas que possua uma determinada conta comum que os cibercriminosos tenham interesse. 

As tentativas de fraude buscam levar o usuário a realizar alguma ação que revele suas informações ou direcioná-lo para sites falsos ou instalar nos dispositivos software maliciosos. Geralmente na forma de comunicação eletrônica, os cibercriminosos colocam “iscas” para atrair a atenção do usuário, que podem ser através de mensagens fraudulentas no e-mail ou por troca de mensagem, como SMS, messenger, WhatsApp, Facebook, Instagram etc.

Os golpes de phishing estão entre as  ações criminosas que agora serão punidas com a Lei 14.155, promulgada em 2021, que alterou o Código Penal brasileiro para agravar os crimes de violação de dispositivo informático, furto e estelionato cometidos de forma eletrônica ou pela internet. As penas podem chegar a até oito anos de prisão, mais multas, e ainda serem agravadas se os crimes forem praticados com o uso de servidor mantido fora do Brasil, ou ainda se a vítima for uma pessoa idosa ou vulnerável.

Principais tipos de ataques de Phishing:

  1. SPEAR PHISHING

Esse tipo de ataque proveniente de e-mail ou comunicação eletrônica é direcionado a um indivíduo, organização ou empresa específicos. Apesar da intenção de roubar dados para fins mal-intencionados, os cibercriminosos também podem tentar instalar malware no computador do usuário.

O e-mail é o meio mais utilizado para prática de phishing. Nele, os cibercriminosos utilizam táticas inteligentes para chamar a atenção das vítimas, com mensagens personalizadas, com informações bem convincentes, como nome, sobrenome e outros dados, que levam o usuário a acreditar que está recebendo um e-mail legítimo de alguém familiar. Também encaminham mensagens para as vítimas de links, aparentemente confiáveis que levam o destinatário a sites maliciosos ou anexos, que quando baixados, permitem a instalação de malwares. Para isso, eles criam endereços de e-mail que simulam empresas reais, como sites de compras, sites de órgãos públicos e instituições financeiras, exigindo que a vítima tome alguma ação, sendo o mais comum a solicitação de atualização de dados pessoais.

Ao contrário da maioria dos ataques, o spear phishing reduz a escala do golpe, mas aumenta seu refinamento. Isso pode ser feito, por exemplo, por meio de redes sociais profissionais, como o LinkedIn, uma vez que muitas informações sobre os usuários estão descritas ali.

  1. SMISHING SMS

O smishing é uma forma de ataque que utiliza mensagens de texto (SMS ou aplicativos de mensagens instantâneas) para alcançar o objetivo criminoso. Em geral, o cibercriminoso usa como isca vantagem de compra, prêmios ou pode se passar por instituições financeiras, sugerindo vantagens em tarifas bancárias que não existem.

A vítima é induzida a digitar dados pessoais em link malicioso, incluindo dados bancários e dados de cartão de crédito. 

Esse tipo de ataque tem alcance amplo e, por isso, dificilmente pode ser individualizado. 

  1. WHALING

Também conhecido como “fraude do CEO”, esse tipo de ataque é direcionado a uma pessoa específica. É um método que criminosos virtuais, através de falsificação de emails e sites, usam para se disfarçar como se fosse um participante de alto escalão de uma organização importante, visando roubar dinheiro e informações sigilosas ou obter acesso a seus sistemas de computadores para fins criminosos. 

Os comunicados fraudulentos parecem vir de alguém muito experiente e influente na organização, isso adiciona um elemento extra de engenharia social à composição do golpe, pois os funcionários, acreditando que a solicitação partiu de um superior hierárquico, relutam em recusar uma solicitação de alguém que eles consideram importante e prontamente enviam as mensagens e fornecem as informações que os atacantes desejam para utilizá-las para fins ilícitos ou para extorsão.

Exemplo disso foi a situação enfrentada pela fábrica de brinquedos Mattel, que foi vítima de um ataque de whaling quando um dos principais executivos financeiros recebeu um e-mail de um fraudador que se passava pelo novo CEO da empresa, solicitando uma transferência bancária. Como resultado, a empresa quase perdeu US$ 3 milhões.

  1. RANSOMWARE

É a prática de phishing por meio de envio de links fraudulentos, mas, em vez de ser redirecionado a um site falso, ele acaba instalando um malware no dispositivo da vítima. O objetivo não é roubar apenas as informações dos usuários, mas permitir que os cibercriminosos tenham controle da máquina, favorecendo o sequestro dos dados, tornando o dispositivo indisponível para uso. E para ter acesso novamente a todos seus documentos, arquivos e demais informações, é preciso pagar resgate aos criminosos. E caso o usuário se negue a pagar o resgate, o cibercriminoso pode até destruir remotamente partes da infraestrutura.

  1. PHARMING

O pharming  é um tipo de de golpe online que visa redirecionar os usuários de um site específico para uma página falsa, seja por instalação de códigos maliciosos no computador ou por modificações na tabela DNS (sistema responsável por traduzir os números IP em nomes e redirecionar para servidores corretos) de um servidor.

É um processo de duas etapas: primeiro, os cibercriminosos instalam códigos maliciosos em seu computador ou servidor. Depois, o código já envia a vítima para um site falso, no qual ela pode ser enganada ao fornecer informações pessoais. 

O pharming de computador não requer nenhum clique adicional para o redirecionamento a um site fraudulento, significando que mesmo que a vítima não clique em nenhum link suspeito, nem digite nenhuma URL incorreta em seu navegador, esse redirecionamento para um site fraudulento pode acontecer automaticamente. O fraudador tem acesso imediato a qualquer informação pessoal inserida no site.

Apesar da maioria dos servidores DNS possuírem recursos de segurança para protegê-los contra esses ataques, ainda assim, eles não são necessariamente imunes, pois os hackers continuam a encontrar maneiras de obter acesso a eles.

  1. BLIND PHISHING

Também chamada de “Pesca Cega”, é uma forma de ataque que realiza ataques em massa, sem muitas estratégias, sem alvo específico. Após disparar via email em massa, o golpista espera que algum usuário caia na armadilha, clique e forneça informações que o criminoso deseja.

É o mais comum de todos e como os golpistas dão um “tiro no escuro”, contam com a ingenuidade ou a inabilidade de muitos usuários que fazem exatamente aquilo que eles esperam. E, embora muito amplo e relativamente simples, esses golpes funcionam até hoje. 

  1. CLONE PHISHING 

Neste tipo de phishing,  os cibercriminosos clonam um site ou e-mail legítimo com o objetivo de atrair as suas vítimas para eles. A legitimidade de uma página ou de uma conta de e-mail é o ingrediente perfeito para que eles tenham sucesso na obtenção de informações das suas vítimas. 

  1. REDES SOCIAIS

Uma das mais recentes formas de phishing é o hackeamento de contas de redes sociais e o uso dos perfis por fraudadores. 

Nesse caso, os criminosos virtuais se passam pelo usuário proprietário da conta para compartilhar links maliciosos e estimular os contatos a fazerem o mesmo.

Também pode acontecer nas redes sociais por meio de perfis falsos, que compartilham links ou que prometem benesses para os usuários, bem como por meio de anúncios que simulam a identidade visual e a URL de sites de empresas reais.

  1. VISHING

É uma modalidade de phishing, que se caracteriza pelo uso de recurso de voz, com destaque para ligações de serviços de telefonia via internet (VoIP). O criminoso usa golpes verbais para induzir as pessoas a fazer coisas que elas acreditam ser de seu interesse. 

Os fraudadores entram em contato com a vítima – por telefone ou aplicativos como Skype – e, por meio de mensagens automatizadas, tentam se passar por representantes de empresas idôneas (principalmente instituições bancárias) para convencer as vítimas a fornecerem suas informações.

Em muitas vezes, esse cibercrime é bem-sucedido, uma vez que os criminosos conseguem simular uma situação que passa credibilidade para as vítimas, elevando as chances de sucesso na fraude.

Dicas para identificar tentativas de PHISHING

  • Conferir o endereço de e-mail do remetente. Uma das táticas de phishing favoritas é falsificar o nome do remetente;
  • Nunca clique em URLs incorporadas na mensagem original, porque elas podem estar carregadas de malware.
  • Não abra links e anexos incorporados em e-mails suspeitos, principalmente com anexos em Word, Excel, PowerPoint ou PDF, que exijam download;
  • Buscar erros de ortografia, de acentuação e pontuação. Mensagens legítimas não contêm grandes erros de ortografia ou gramática. Leia seus e-mails cuidadosamente.
  • Verificar informações do remetente ou como você pode entrar em contato, quando a mensagem é legítima, sempre fornece detalhes de contato.
  • Desconfie de e-mails que solicitam informações pessoais. Empresas legítimas e instituições financeiras, sob hipótese alguma, solicitam informações pessoais através de e-mails;
  • Desconfie de e-mails com urgência ou tom de ameaça no assunto. Provocar uma sensação de urgência ou medo é uma tática comum, em especial com mensagem que alegam que sua “conta foi suspensa” ou sua conta teve uma “tentativa de login não autorizada”

Os cibercriminosos estão com motivações cada vez mais fortes. Se antes eles tinham como objetivo invadir sistemas de empresas, hoje eles atacam o elemento humano, usando vários métodos de phishing para atingir indivíduos e ganhar acesso a informações pessoais. 

Vânia Maria de Oliveira Rodrigues Pinheiro: Consultor de Gestão e Controladoria na Fundação Esperança, Consultora em Privacidade e Proteção de Dados, Membro do Comitê de Governança ANPPD, Membro do GDPR/RGPD/LGPD, Membro do Grupo Gestão da Qualidade e Excelência

Reportar

tratamento de dados na mineração

Como a LGPD pode contribuir com a inovação no mercado minerário
LGPD no RH

LGPD E CLT/RH: o que sua empresa precisa saber