O phishing que em inglês quer dizer (peixe), e nada mais nada menos do que um ataque a vítimas na internet. Relativamente um golpe fácil com várias técnicas de serem aplicadas.
Também considerado por ser uma técnica de crime cibernético que usa fraude, truque ou engano para manipular as pessoas e obter informações confidenciais, principalmente senha de cartão de crédito, dados financeiros e pessoais. Como se fosse uma verdadeira pescaria utilizada para fisgar a vítima.
O Brasil é líder mundial em golpes de phishing. No ano de 2021 em relatório divulgado pela Kaspersky revelou que estamos no topo da lista quando se tratam de golpes por crimes cibernéticos. Ficamos na frente de Portugal, França, Tunísia e Guiana Francesa, que completam a lista dos cinco territórios com maior índice de roubo de dados.
Países que mais sofreram Phishing em 2020
| País | Porcentagem de usuários atacados por país |
| Brasil | 19,94% |
| Portugal | 19,73% |
| França | 17,90% |
| Tunísia | 17,62% |
| Guiana Francesa | 17,60% |
| Catar | 17,35% |
| Camarões | 17,32% |
| Venezuela | 16,84% |
| Nepal | 16,72% |
| Austrália | 16,59% |
Ainda dentro da pesquisa, os dados mostram que cerca de 30% dos brasileiros não sabem reconhecer uma mensagem de correio eletrônico falsa. O que faz com ainda estejamos ainda mais vulneráveis contra os ataques das cibernéticos.
Conhecendo a origem…
Em meados de 1996 o termo foi criado por cibercriminosos que praticavam na época roubo de contas da América Online (AOL), portal e um provedor de serviço online situado em Nova Iorque, parte da Oath, uma divisão da Verizon Communications. Um ano depois o termo passou a ser citado na mídia daí então tornou-se muito popular.
Os criminosos em geral agem enviando várias msg diárias em massa conhecidas como spam com a intenção e de fisgar algum usuário inexperiente, e a nova vítima do ataque.
Crimes como esses são bem organizados. Alguns hackers seguem etapas rigorosas como o planejamento, preparação, ataque, coleta, fraude e pós ataque. Fiquem atentos aos mais comuns tipos de psishing:
Falsos e-mails ou mensagens
Em geral os hackers enviam e-mails como se fossem de empresas reais, como bancos, lojas e ou supermercados informando que há a necessidade de atualização de dados. No caso dos e-mails que se referem aos bancos eles emitem avisos informando que as contas podem ser desativadas.
Phishing do Dropbox
Usuários pessoas físicas e empresas costumam armazenar dados em contas do Dropbox. Essa é também é mais uma forma de direcionar o usuário através de e-mails falsos do próprio Dropbox para sites fraudulentos. Como o remetente é própria plataforma o ideal é entrar em contato e verificar a veracidade do e-mail antes de passar a informação de qualquer dado do login.
Geralmente os e-mails do serviço de armazenamento tem os domínios verificados como do Dropbox, dropbox.com ou dropboxmail.com, qualquer outro pode ser um endereço falso.
Ataque aos arquivos do Google Docs
Na era das informações armazenadas nas nuvens especificamente no Google Drive, devido a facilidade de serem acessadas em qualquer lugar e a sua capacidade de armazenamento, os criminosos cibernéticos querem o acesso as fotos pessoais das vítimas. Para esse crime eles enviam um e-mail como se fosse a equipe do google solicitando acesso através de um link falso.
Phishing por Ransomware
Ransomware é um tipo de código que impede dos usuários de acessarem seus arquivos e sistema. Em outras palavras é software de extorsão que bloqueia parcial o totalmente um computador, um tipo de sequestro virtual sendo solicitado um pagamento online para desbloqueá-lo.
Uma das formas de impedir esses ataques é a instalação de um antivírus, firewalls e sistemas de controles de acessos, restringir o acesso através da segurança da rede da sua empresa e não esqueça de realizar backups regularmente, pois se caso seus computadores sejam atacados por um ransoware somente através dos backups os arquivos poderão ser recuperados.
Pharming
O Sistema de nome de domínio DNS (Domain Name System) tem a função de converter domínios legíveis por humanos, como exemplo (www.ctmtecnonologia.com.br) por endereços de IP que não legíveis por máquina (192.0.6.)
Todas os equipamentos conectados à internet se comunicam usando o IP endereços de cada máquina durante o acesso à internet.
O Pharming é um tipo bem perigoso de phishing, pois ele ataca o servidor DNS, principalmente de empresas.
A fraude acontece quando a instalação de vírus como cavalos de troia direcionam o usuário a acessar páginas fraudulentas de uma forma quase imperceptível. Uma forma de proteção é escolher um antivírus potente.
Bitcoins
As criptomoedas também não ficaram de fora dos mecanismos de fraudes dos ataques cibernéticos.As formas de aplicação dos golpes giram em torno de serviços de câmbio e ou e-mail com oportunidades de câmbio provocativas, mas totalmente falsas
Spear Phishing
Esse golpe é personalizado, por esse motivo o número de pessoas é um pouco menor, mas o sucesso na aplicação torna-se maior.
Quem desconfiaria mensagens personalizadas, com informações bem convincentes com nome, sobrenome vindas de um parente ou de uma loja conhecida?
Todo o cuidado é pouco com esse tipo de msg que pode ser de texto ou mesmo pelo whatsApp e ou e-mails.
Smishing SMS
Esse é um tipo de ataque que usa telefones celulares através de msg de texto para coletar informações pessoais como números de cartão de crédito, CPF.
Vishing
O telefone ou mesmo o celular fixo é muito usado para atacar as vítimas.
Mensagens automáticas de voz são disparadas em repetidas ligações para vários números diferentes. O pretexto é o de sempre. Empresas persuadindo as vítimas a digitares dados como o CPF. Geralmente msg falsas dos bancos.
O alerta fica para ter atenção em tudo o que estiver em formato de link e não fornecer em hipótese nenhuma senha e ou informações pessoais.
Whaling
Mas conhecido como fraude do CEO esse é um dos mais sofisticados.
As hackeres se fazem passar por ocupantes de grandes cargos de alto escalão de uma associação para ter acesso a informações contidas nos computadores das empresas, ou indução para transferência de grandes quantias em dinheiro.
Esse ataque whaling tem o objetivo de atingir usuários específicos. Os alvos são os “peixes grandes” ou whales (baleias) da empresa como o CEO ou gerente financeiro.
Em 2015 a empresa Mattel (brinquedos infantis) sofreu um golpe e perdeu quase US$ 3 milhões. Esse fato aconteceu na época Bryan Stockton CEO da empresa foi demitido. Hackers localizados na China conseguiram roubar a conta de e-mail do CEO e usou para enviar mensagens para o executivo financeiro solicitando transferência de fundos para um fornecedor chinês.
Uma das recomendações é desconfiar sempre das msg que solicitam ações urgentes, principalmente as que envolve transações financeiras.
Mesmo se tratando de um e-mail coorporativo o ideal é que faça uma ligação antes para confirmar, antes de liberar qualquer transação financeira.