O phishing é um tipo de ataque hacker parecido com uma pescaria virtual: criminosos usam iscas na forma de e-mail ou mensagens de texto para fisgar informações preciosas, como dados bancários ou informações pessoais. O próprio nome já faz referência a essa analogia: “fishing” significa “pescar”, em inglês, então “phishing” é uma adaptação digital do termo.
- Quais são as iscas de golpes por e-mail que enganam mais gente?
- Como identificar se um site é uma tentativa de phishing?
O diferencial desse golpe é que ele não exige conhecimento técnico avançado de quem o pratica, se baseando apenas na engenharia social — ou manipulação psicológica da vítima. Tudo que os criminosos precisam é fazer o usuário acreditar que está acessando um site ou serviço legítimo, o que torna o phishing a ameaça cibernética mais comum e eficaz da atualidade.
Ao final deste artigo, você conhecerá todas as principais técnicas de phishing e estará preparado para identificar e se proteger dessas armadilhas virtuais, bem como saberá o que fazer se, em último caso, alguém próximo seja vítima dos golpistas.
–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–
Como funciona o ataque de phishing?
Embora existam infinitos tipos de phishing, sendo impraticável listar todos, a linha de ação é bem consistente, se baseando em cinco passos simples. A principal diferença está na sofisticação dos ataques, que podem tentar atingir praticamente todos os internautas, sendo mais óbvios, ou mais especializados, mirando em um público específico.
Veja o passo a passo seguido pelos cibercriminosos:
- A isca: primeiro, é criada uma mensagem falsa, podendo ser e-mail, SMS ou mesmo em aplicativos como WhatsApp. Os hackers tentarão, ao máximo possível, fazê-la parecer legítima, como se houvesse vindo de um banco, órgão governamental, loja famosa ou rede social.
- O gatilho: legitimidade não é o suficiente para os golpistas, já que eles querem fazer você clicar na mensagem a todo custo. Por isso, a esmagadora maioria dos phishings tem um elemento de urgência, medo ou curiosidade — gatilhos mentais como “Sua conta será bloqueada se não clicar aqui”, “Verificamos atividade suspeita na sua conta bancária” ou “Você ganhou um prêmio em dinheiro”.
- A armadilha: dando continuidade ao disfarce, o clique leva a vítima para um site ou aplicativo que parece legítimo, visualmente idêntico ao original, onde você pode pensar que está inserindo os dados como sempre fez.
- A captura: finalmente, ao preencher suas informações pessoais, dados bancários ou senhas, os golpistas põem as mãos no que queriam. Algumas vezes, o serviço prometido até funciona — mas a alto custo.
Os tipos mais comuns de phishing
Enquanto algumas tentativas de phishing são mais óbvias, há as construídas com base em vazamentos de dados e as mais direcionadas, ficando cada vez mais difíceis de se distinguir. Conheça cada tipo:
- Phishing tradicional: o ataque em massa, definido por uma mensagem genérica enviada para milhares de pessoas, é praticamente um tiro no escuro. São, por exemplo, e-mails de cobranças da NET ou do Nubank para pessoas que sequer são clientes desses serviços, ou mensagens que não sabem o nome da vítima, dizendo apenas “Caro cliente” ou tentando pegar o nome do usuário contido no e-mail.
- Spear phishing: também chamado de phishing direcionado, esse ataque já passa a se basear em pesquisas sobre a vítima em redes sociais e vazamentos anteriores. Com isso, a mensagem inclui nome, cargo na empresa onde se trabalha e outros possíveis detalhes para deixar a comunicação mais convincente.
- Whaling: significando “caça às baleias”, esse tipo de spear phishing mira em alvos de alto valor, como CEOs, diretores e outras figuras importantes em empresas — o objetivo, nesse caso, é roubar dados corporativos sigilosos ou autorizar grandes transações financeiras fraudulentas.
- Smishing: esse tipo é o phishing por SMS, trazendo links curtos com alertas de entrega de pacotes de correio, ganho de prêmios ou problemas bancários urgentes.
- Vishing: o phishing por voz, como o nome diz, é feito por chamada telefônica, onde o criminoso se passa por funcionário bancário ou de empresa de tecnologia para pedir informações pessoais sensíveis. Casos mais sofisticados envolvem gravar a voz de vítimas e reproduzir sua fala com ajuda de IA, requisitando as informações através de familiares.
7 sinais de alerta para identificar um e-mail fraudulento
Há algumas dicas práticas para você aplicar que já podem filtrar a maioria das tentativas de phishing, sendo os pontos de atenção principais para o golpe. Fique de olho nos seguintes itens:
- Remetente suspeito: observe o endereço de e-mail completo de quem enviou a mensagem, não só o nome. Golpistas costumam usar variações do que seria o remetente original, como, por exemplo, atendimento@banco-itau.com ao invés de @itau.com.br, por exemplo. Na dúvida, vá atrás de saber qual é o verdadeiro.
- Saudações genéricas: desconfie sempre de e-mails que começam com “Prezado(a) Cliente” ao invés do seu nome — e, mesmo assim, siga atento a outras comunicações vagas.
- Senso de urgência e ameaça: frases como “Aja agora!”, “Sua conta será suspensa em 24h” e outros chamados à ação são feitos para você agir sem pensar. Tenha calma e acesse o aplicativo ou site do serviço em questão da maneira normal para checar se há uma notificação do tipo. Lembre-se que as empresas não se comunicam agressivamente.
- Erros de ortografia e gramática: é muito raro que empresas sérias contenham erros grosseiros de português nas suas comunicações. Desconfie de textos mal escritos.
- Links suspeitos: quando receber um link, passe o mouse sobre ele (sem clicar!) para conferir o endereço real, que deve aparecer no canto inferior esquerdo do navegador. Se parecer estranho, grande demais ou tiver um nome totalmente diferente do serviço em questão, não clique.
- Anexos inesperados: não baixe ou abra nenhum arquivo que você não tenha solicitado, especialmente se for das extensões .zip, .exe, .rar ou .scr.
- Solicitação de informações pessoais: nenhum site legítimo vai pedir sua senha, número completo do cartão ou código de segurança por e-mail ou SMS.
Como se proteger de ataques de phishing
Além da atenção às mensagens que recebe, um passo importante para evitar os golpes é se prevenir com algumas medidas de proteção, tanto as já permitidas pela tecnologia quanto a conscientização dos seus próximos. Confira:
- Ative Autenticação de Dois Fatores (2FA/MFA): essa é a medida mais importante de todos, já que coloca um passo a mais — e um passo físico! — para acessar sua conta. Mesmo que roubem a senha, não vão conseguir receber o código no celular ou usar sua biometria.
- Use senhas fortes e únicas: na hora de criar senha, combine letras, números e símbolos, e nada de repetir a mesma senha forte para todo lugar, ein? Isso quer dizer que, caso uma senha vaze, todos os seus serviços estarão comprometidos. Você pode usar um gerenciador de senhas para não precisar memorizar tudo, mas evite usar a extensão do navegador do serviço usado, neste caso.
- Desconfie por padrão: se estiver na dúvida sobre a autenticidade de uma comunicação, não clique. Vá até o site oficial ou aplicativo do serviço em questão e confira a informação, sempre.
- Mantenha softwares e antivírus atualizados: mesmo quando há vazamentos ou falhas de segurança, os aplicativos costumam corrigir esses problemas com atualizações, então sempre tenha a versão mais recente à mão.
- Eduque amigos e família: ajude seus próximos ensinando a eles o que você aprendeu neste guia, especialmente aqueles mais vulneráveis socialmente, como os idosos e as crianças. Prevenção nunca é demais.
Caí no golpe, e agora? O que fazer se você clicou no link
Aconteceu: antes de você conhecer as dicas da matéria, ou apesar delas, você acabou clicando e seus dados vazaram. O que fazer?
- Mude a senha imediatamente: entre na conta afetada o mais rápido possível e mude sua senha, se possível desconectando qualquer login feito nela, se o serviço permitir. Também troque a senha de qualquer outro lugar em que você usava a mesma credencial.
- Monitore suas contas: fique de olho em extratos bancários, faturas de cartão de crédito e outros acessos suspeitos em contas sensíveis. Ao menor sinal de alerta, anote tudo.
- Contate seu banco ou empresa: informe a instituição afetada sobre o ocorrido — assim as medidas cabíveis poderão ser tomadas, como bloquear o cartão ou a conta, por exemplo, garantindo, também, estornos.
- Passe um antivírus: faça varredura completa no dispositivo afetado, buscando por qualquer malware que possa ter sido instalado pelos hackers.
- Registre Boletim de Ocorrência: caso você tenha tido perda financeira ou teve a identidade roubada, é importante registrar a ocorrência online, pois isso não deixa de ser um crime passível de punição. Os cibercriminosos precisam ser responsabilizados.
Com todas essas informações, você tem tudo para escapar dos cibercriminosos, mas continue sempre atento: embora a tecnologia ajude, a principal defesa contra o phishing é estar bem-informado e de olhos abertos. Não confie demais e não ache que você nunca será vítima, pois é nesses momentos que ocorrem os maiores descuidos. Desconfie e verifique mesmo quando você achar que não há como roubarem seus dados.
Seja, sempre, um agente da segurança no seu círculo social, alertando familiares e amigos sobre os perigos que rondam a internet. A educação digital é muito importante para que possamos desfrutar da tecnologia sem cair nas mãos de golpistas: a proteção de dados é essencial para uma navegação segura.
Confira mais:
- Spyware, ransomware e ladrão de senhas: novo vírus para Android é “tudo em um”
- ChatGPT falso espalha ataques de ransomware, avisa Microsoft
- Nova técnica hacker rouba senha da Microsoft através de publicidade falsa
VÍDEO | O QUE É PHISHING? SAIBA COMO SE PROTEGER! #Shorts
Leia a matéria no Canaltech.
