Afinal, o que é Phishing?
Este termo deriva da palavra inglesa fishing que significa pescaria em tradução direta. Esta tradução nos ajuda a compreender o termo, afinal, Phishing é a tentativa fraudulenta de obter informações confidenciais por meio de uma isca, geralmente o disfarce de um site ou aplicativo confiável, como um site falso.
Como o phishing funciona na prática?
O Phishing é o ataque cibernético mais simples de se detectar e evitar. Porém, ao mesmo tempo, é o ataque mais perigoso e eficiente. Geralmente não prestamos atenção nos detalhes ao acessar sites que costumamos acessar com frequência.
Na prática, o atacante precisa elaborar uma Isca para fisgar seu alvo. Esta isca geralmente trata-se de uma página falsa, uma cópia fiel em maior parte dos casos. Veja o exemplo abaixo:
Neste exemplo podemos perceber um print de uma suposta página com promoções do dia dos namorados da loja oBoticário, porém, se tratava de uma página falsa, oferecendo produtos gratuitos com o intuito de capturar dados dos usuários.
Outro exemplo clássico é a página idêntica a original, porém com a URL modificiada, como no exemplo abaixo:
E-mails também são fortes candidatos a sofrerem o ataque de phishing. Geralmente, e-mails que contém links não devem ser abertos. Veja no exemplo abaixo que ao passar o mouse sobre o link podemos confirmar que a URL de destino não é autêntica:
Redes sociais estão cheias de páginas falsas, existem diversos sites falsos pela internet, as iscas estão por todos os lugares!
Este formato de crime visa capturar informações pessoais do alvo, como CPF, RG, Endereço, Número de cartão de crédito, Conta bancária, entre outras informações confidenciais. Podem ser exploradas diversas situações como assinaturas de programas como netflix. Certamente você já recebeu agum link prometendo a Netflix gratuita para sempre pelo grupo da família, não é verdade?
Cada vez mais os ataques são aprimorados, datas comemorativas, e mesmo a pandemia, pode ocasionar a situação que lhe deixa vulnerável aos hackers mal intencionados.
Uma forma de pontencializar estes ataques é o envio de propagandas enganosas via e-mail. É muito comum receber mensagens muito tentadoras para ver as fotos de seus colegas, ou mesmo para participar de uma promoção, e até resgatar um prêmio muito valioso. Cuidado! Isso cheira a phishing!
Como evitar tentativas de phishing?
Eu irei lhe dizer de forma simples como se proteger deste ataque, afinal, como lhe disse é um ataque fácil de identificar e defender-se. Para começar, nunca clique em links embutidos em banners ou compartilhados em mensagens de WhatsApp e redes socais, mesmo que venham de contatos que você conhece. Além disso, ao ver uma notícia ou promoção, acesse o site da empresa e confira se a informação está correta.
Outra forma de prevenção é a utilização de ferramentas especializadas, como aplicativos detectores de phishing, um bom antivírus em seu computador e celular, bem como o uso de analisadores de links.
Sugiro utilizar o dfndr lab, um site especializado em detecção deste tipo de ataque. Basta acessar o site, colar o link duvidoso, e mandar escanear.
Sempre fique atento a URL a qual está acessando! Geralmente, as URLs de sites maliciosos tentam se passar pela original, mas as diferenças costumam ser claras, como um endereço ip na URL.
Além disso, sempre é importante lembrar que não devemos abrir e-mails ou mensagens de remetentes com os quais você não está familiarizado. Não clique em links que estejam em e-mails que você costuma receber, a menos que você conheça muito bem quem o enviou, e antes de clicar vale a pena passar o mouse sobre o link, e verificar na parte inferior de seu navegador se o link é legítimo, validando o domínio para o qual o mesmo aponta.
Caso você suspeite que um e-mail, ou mensagem em redes sociais, é de conteúdo duvidoso, anote o nome ou algum texto e busque no Google. Se você conseguir validar a informação, pode clicar. Caso contrário, não clique!
Outra dica extremamente importante: jamais forneça seus dados cadastrais a pessoas ou empresas que não consigam comprovar sua procedência! Sempre verifique o certificado SSL do site em que está entrando, confirme a identidade da empresa.
Tem mais alguma dica ou ferramenta que gostaria de compartilhar? Deixe nos comentários!