Phishing

Phishing é uma forma de ataque de engenharia social na qual um criminoso personifica uma entidade confiável enquanto solicita informações sensíveis da vítima.

Leitura de 5 minutos

Leitura de 5 minutos

O que é phishing?

Você já recebeu um e-mail, texto ou outra forma de comunicação eletrônica que parecia vir de um banco ou outro serviço popular online, e que solicitou que você “confirmasse” suas credenciais de conta, um número de cartão de crédito ou outra informação sensível? Se sim, você já sabe como um ataque comum de phishing se parece. Esta técnica é usada para obter dados valiosos de usuários que podem ser vendidos ou mal usados por hackers para propósitos nefastos, como extorsão, furto monetário , ou furto de identidade.

Origem do termo

O conceito foi primeiro descrito em um paper de uma conferência em 1987 chamado “System Security: A Hacker’s Perspective” (1987 Interex Proceedings 1:6), por Jerry Felix e Chris Hauck. Ele discutia uma técnica de um hacker que imitava uma entidade ou serviço de reputação. A palavra em si é um homófono de “fishing” (pescaria) para alvos – já que usa a mesma lógica de “pegar através de iscas”. O “ph-” no início é uma referência a “phreaks”, um grupo de hackers que fez experimentos com os sistemas de telecomunicação nos anos 90 e ilegalmente explorou seus limites.

Como o phishing funciona?

O phishing está na ativa há anos e desde seu início os hackers desenvolveram uma ampla variedade de métodos para atingir suas vítimas.

A técnica de phishing mais comum é se passar por uma banco ou por uma instituição financeira via email, para induzir a vítima a completar um formulário falso - ou anexado – na mensagem de e-mail ou visitar uma página que solicite inserir detalhes de conta ou credencias de login.

No passado, domínios com nomes escritos errado ou de forma parecida eram frequentemente usados para este propósito. Hoje, os hackers incorporaram mais métodos sofisticados, fazendo com que links e páginas falsas sejam o mais igual possível aos originais.

Leia mais

As informações roubadas da vítima são geralmente mal usadas para esvaziar sua conta bancária ou são vendidas online.

Ataques similares também podem ser feitos via chamadas de telefone (vishing), bem como mensagens SMS(smishing).

Spearphishing

Método de phishing mais avançado através do qual mensagens autênticas de phishing entram nas caixas de e-mail de grupos específicos, organizações ou mesmo indivíduos. Autores de e-mails de spearphishing fazem uma pesquisa detalhada em seu(s) alvo(s) com antecedência, dificultando a identificação do conteúdo como fraudulento.

Ataques focados em indivíduos específicos, principalmente pessoas de negócios de alto nível – como gerentes ou proprietários – são rotulados como “whaling” (baleação), devido ao tamanho do pagamento em potencial (pessoas de má índole indo atrás do “peixe grande”).

Como reconhecer um phishing

Um e-mail ou mensagem eletrônica podem conter logos oficiais ou outros sinais de organizações de reputação e ainda vir de phishers. Abaixo estão algumas dicas que podem ajudar a perceber uma mensagem de phishing.

Leia mais

  1. Saudação genérica ou informal – Se uma mensagem não está personalizada (por ex., "Caro Cliente") e formalizada, então provavelmente tem alguma coisa faltando. O mesmo se aplica a uma pseudo-personalização usando números aleatórios e de referência falsa.
  2. Uma solicitação de informação pessoal – Frequentemente usada por phishers, geralmente evitada por bancos, instituições financeiras e a maioria dos serviços online.
  3. Gramática ruim – Erros gramaticais, erros de digitação e frases pouco usuais frequentemente indicam que a mensagem é falsa (mas a ausência desses erros também não é prova de legitimidade).
  4. Correspondência inesperada – Contato não solicitado de um banco ou provedores de serviço online é algo altamente não usual e suspeito.
  5. Um senso de urgência – As mensagens de phishing frequentemente tentam induzir a uma ação rápida e pouco considerada.
  6. Uma oferta que você não pode recusar? – Se a mensagem soa muito boa para ser verdade, quase certamente é.
  7. Domínio suspeito – Um banco americano ou alemão realmente enviaria um e-mail de um domínio chinês?

Como se proteger de phishing

Para evitar ser uma isca de phishing, fique atento aos indicadores acima, pelos quais as mensagens de phishing comumente são espalhadas.

Siga estes passos simples

  1. Fique atento às novas técnicas de phishing: Siga as mídias que possuem relatórios sobre ataques de phishing, já que os hackers podem fazer surgir novas técnicas que iludem os usuários para as armadilhas.
  2. Não forneça seus dados pessoais: Fique sempre alerta se uma mensagem eletrônica de uma entidade que parece confiável pedir suas credenciais ou outros dados sensíveis. Se necessário, verifique os conteúdos da mensagem com o remetente ou a organização que eles parecem representar (usando detalhes de contato conhecidos por serem genuínos e não aqueles fornecidos na mensagem).
  3. Pense duas vezes antes de clicar: Se uma mensagem suspeita fornece um link ou anexo, não clique ou faça download. Fazer isso pode levá-lo para sites maliciosos ou infectar seu dispositivo com malware
  4. Cheque suas contas online regularmente: Mesmo que você não suspeite que alguém possa tentar roubar suas credenciais, cheque sua conta bancária ou outras contas online para verificar atividade suspeita. Só para constar…
  5. Use uma solução anti-phishing confiável. Aplique estas técnicas e aproveite a tecnologia de maneira mais segura.

Você pode saber mais sobre phishing aqui e aqui.

Exemplos notáveis

O phishing sistemático começou na rede America Online (AOL) em 1995. Para roubar credenciais de contas legítimas, os hackers entravam em contato com as vítimas via Mensagem Instantânea AOL (AIM), frequentemente fingindo ser um funcionário da AOL verificando as senhas dos usuários. O termo “phishing” apareceu em um grupo de notícias da Usenet focado em uma ferramenta chamada AOHell que automatizava este método, e então o nome se estabeleceu. Após a AOL introduzir contramedidas em 1997, os hackers perceberam que não podiam usar a mesma técnica em outras partes do domínio online – e prosseguiram personificando instituições financeiras.

Leia mais

Uma das primeiras grandes tentativas, embora falha, ocorreu em 2001, levando vantagem sobre o caos dos ataques terroristas de 11/09. Os phishers enviaram e-mails pedindo que algumas das vítimas fizessem uma checagem de ID, tentando fazer mau uso dos dados obtidos para roubar detalhes financeiros do serviço de moeda digital e-gold.

Levou apenas mais três anos para o phishing ganhar uma firme proeminência no mundo online e em 2005 ele já havia custado aos usuários americanos mais de US$900 milhões.

De acordo com o APWG Global Phishing Survey, mais de 250.000 ataques únicos de phishing foram observados em 2016, usando um número recorde de nomes de domínios registrados de maneira maliciosa – ultrapassando a marca de 95.000. Em anos recentes, os phishers tenderam a focar em bancos, finanças e serviços monetários, clientes de e-commerce e redes sociais e credenciais de e-mail.

A ESET protege você contra phishing

ESET Smart Security Premium

O guardião definitivo de sua segurança online

Download grátis

ESET Smart Security Premium

O guardião definitivo de sua segurança online

ESET Smart Security Premium

Proteção suprema para usuários que querem tudo.
Seu mundo da internet finalmente em mãos seguras.

Download gratuito