O phishing é atualmente uma das técnicas mais utilizadas para roubo de informações e fraudes digitais. Os primeiros registros desta prática datam de meados da década de 90, quando criminosos se passaram por funcionários da AOL* para roubar as credenciais dos e-mails dos clientes.

Com o avanço da internet e da tecnologia, no início dos anos 2000 os golpes passaram a ficar mais elaborados e sofisticados. Os criminosos passaram a registrar domínios parecidos com os originais e com design idêntico ao das páginas legítimas. Além disso, nesse mesmo período surgiu a técnica de sobrepor uma caixa falsa de login em páginas reais, como de bancos por exemplo.

Durante a metade da primeira década dos anos 2000 as fraudes por phishing apresentaram um crescimento exponencial de cerca de 400% quando comparados com os 5 anos anteriores. Em 2014 essa prática foi considerada a maior causadora de quebra de sigilo e violação de dados.

Empresas como PayPal, Sony, Facebook, Google e até a NASA foram vítimas e tiveram prejuízos financeiros na casa dos milhões. Mas o que torna esse golpe tão efetivo?

O sucesso da técnica de phishing está na desatenção e desinformação dos usuários e também na inovação das técnicas empregadas pelos golpistas. Abaixo, algumas das técnicas de phishig:

Spear Phishing: uma das técnicas mais efetiva e a mais comum, cerca de 90% dos ataques de phishing são desse tipo. Nesse método os alvos são específicos e os criminosos coletam informações sobre a vítima, para tornar a isca mais atrativa e efetiva. Geralmente esses ataques são direcionados para o mundo corporativo e bancário, a fim de se obter lucros financeiros ou acesso a informações sigilosas.

Clone Phishing: Consiste em encaminhar o usuário para um site clonado, geralmente idêntico ao original, onde são solicitadas credenciais de login ou alguma outra informação pessoal que poderá ser utilizada depois pelo atacante.

Whaling: faz alusão à pesca de baleias e leva essa conotação por ter como alvo apenas grandes corporações ou pessoas de muita relevância, que possuam credenciais de alto acesso. Usualmente esses ataques estão disfarçados através de questões judiciais ou corporativas.

Os meios utilizados para aplicar essas técnicas são bem variados e vão desde algo simples como um email, até algo mais sofisticado como páginas da web disfarçadas. Em todos os casos, se o usuário tiver um pouco de cautela e atenção ele poderá identificar se a mensagem é real ou não. Prestar atenção no remetente do email ou detalhes da URL podem fazer a diferença para não cair nesses golpes. Veja a imagem a baixo:

Esse é um email muito comum de phishing, note que o remetente nem sequer tem um email com o domínio da suposta financeira. A isca nesse caso é o aumento de limite para o cliente que ao clicar no botão será redirecionado para uma página com a solicitação de dados.

A página que abre utiliza uma tática muito comum, a URL começa com palavras que se assemelham com o email eviado, para trazer familiaridade à vítima, mas pode-se perceber que é gerado um link muito extenso, onde geralmente o usuário irá reparar somente no começo, caindo facilmente no golpe.

É importante prestar atenção nesses detalhes e também conhecer as formas de comunicação do seu banco ou qualquer outra instituição que detenha seus dados pessoais. Nunca forneça suas informações por canais que não sejam os oficiais e sempre desconfie de mensagens de texto, e-mails ou até mesmo mensagens nas redes sociais, oferecendo serviços ou prêmios.

Veja a baixo um exemplo real de técnica de phishing e como a tecnologia Sandblast da Check Point age contra esses ataques:

VOCÊ SABE O QUE É PHISHING?

CHECK POINT RESEARCH DESCOBRE FALHAS DE SEGURANÇA NO APLICATIVO TIK TOK

CONHEÇA A LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)