O que é Phishing?

Compartilhar
O que é Phishing?
Ouça este artigo
00:00 / 00:00

Phishing é um tipo de ataque virtual onde um impostor se apresenta como uma entidade ou empresa respeitável com a intenção de coletar informações pessoais, tais como: números do cartão de crédito, nome de usuário, senhas, além de outros detalhes pessoais. Por envolver manipulações psicológicas e seu sucesso depender de falhas humanas (ao invés de falhas de hardware, software ou no código fonte), o phishing é considerado um ataque de engenharia social.

Normalmente, esse tipo de ataque ocorre com o envio de e-mails fraudulentos que tentam convencer os usuários a inserir suas informações pessoais em sites falsos. Estes e-mails geralmente requisitam que o usuário recupere sua senha e confirme informações sobre seu cartão de crédito em sites clonados, cópias muito parecidas com os sites reais. Os principais tipos de phishing são: clone phishing, spear phishing e pharming.

Ataques phishing também estão sendo utilizados no ecossistema das criptomoedas, onde impostores tentam roubar Bitcoins e outras moedas digitais dos usuários. Por exemplo, isso pode ser feito  por alguém que tenha invadido um site real e alterado o endereço da carteira para um endereço que o invasor controle. O usuário tem a impressão de que está pagando por um serviço de maneira legítima, no entanto, seu dinheiro está sendo roubado, já que a carteira para a qual ele envia o pagamento não pertence ao fornecedor do serviço.


Quais são os Tipos de Ataque Phishing?

Existem diversos tipos diferentes de ataques phishing e eles normalmente são classificados de acordo com o alvo e vetor de ataque. Listamos aqui os mais comuns:

  • Clone phishing: Um impostor utilizará uma cópia/layout de um email legítimo que foi previamente enviado, mas este contém um link para um site malicioso. O criminoso poderá dizer no email que é um update ou novo link, talvez dizendo que o antigo link expirou.

  • Spear phishing: Esse tipo de ataque é focado numa única pessoa ou instituição. O Spear Attack é mais sofisticado que os outros tipos de ataque phishing. É um ataque que tem como alvo uma pessoa específica. Primeiro são coletadas informações sobre a vítima (por exemplo, nome de amigos ou familiares) e então, com base nessas informações, uma mensagem é construída com a intenção de convencer a vítima a visitar um website ou baixar um programa malicioso.

  • Pharming: Um invasor modifica o registro de DNS. Isso redireciona o usuário que deseja visitar um website legítimo para um website malicioso que foi previamente criado pelo criminoso. Este é um dos tipos de ataque mais perigosos, já que o DNS não está sob controle do usuário. Ou seja, é difícil o usuário comum conseguir se defender deste tipo de ataque.

  • Whaling: É o ataque do tipo spear phishing, que tem como alvo pessoas importantes como CEOs e membros do governo.

  • Email Spoofing: Normalmente, os e-mails de Phishing imitam comunicados de empresas ou pessoas legítimas. Esses e-mails podem ser apresentados como links para sites maliciosos, onde invasores coletam credenciais de login e informações pessoais usando páginas de login disfarçadas com muita maestria. Elas podem conter Trojans, Keyloggers e outros scripts maliciosos que roubam informações vitais de cada usuário.

  • Sites de Redirecionamento: Esses sites costumam enviar os usuários à URLs diferentes do que estavam pretendendo visitar. Assim, agentes maliciosos podem explorar suas vulnerabilidades a fim de instalar softwares infectados nos computadores das vítimas.

  • Typosquatting: Esse método direciona o tráfego de usuários para sites falsificados diferentes dos que desejavam, aproveitando erros de digitação comuns e sutis variações nos links. Os agentes maliciosos estudam quais são os erros de grafia mais repetidos para criar sites falsos, usando esses links com falha na digitação para roubar dados bancários e informações pessoais das vítimas.

  • O ‘Watering Hole’: Nesse tipo de ataque, os hackers roubam perfis de usuário e tentam identificar quais são os sites mais frequentados por eles. Logo após, examinam as vulnerabilidades e, se possível, inserem scripts maliciosos a fim de infectar novos usuários que visitam esse site.

  •   Disfarces & Sorteios: Fingir ser pessoas importantes nas redes sociais é outra técnica usada por esquemas de Phishing. Impostores podem se passar por presidentes de grandes empresas e, com a audiência que conseguem, anunciar sorteios ou outras práticas enganosas. As vítimas dessa fraude podem até ter sido alvos individuais de processos de engenharia social destinados à encontrar falhas em contas verificadas. Os agentes podem hackear esses perfis, alterando os nomes para fingirem ser pessoas famosas, mantendo ainda o selo de verificação. Sabendo que as vítimas têm mais chance de dar informações pessoais à figuras influentes, aproveitam essa falha para extrair mais dados ou até mesmo pedir dinheiro por meio de sorteios com entrada precificada. Atualmente, agentes maliciosos estão atacando de forma mais comum sites como o Slack, Discord, e Telegram com as mesmas intenções, imitando chats de empresas grandes, se passando por pessoas importantes, e serviços autênticos.

  • Propagandas: Anúncios pagos são uma outra forma de Phishing. Essas (falsas) propagandas utilizam domínios em que os agentes maliciosos aplicaram a tática de Typosquatting e pagaram para estar bem colocados em sites de pesquisa como o Google. Esses domínios podem aparecer até no topo dessas pesquisas, imitando empresas verdadeiras como a Binance. Esses domínios falsos tentam roubar informações importantes, como as credenciais de login para suas contas de trade.

  • Aplicativos Maliciosos: Phishers podem usar também aplicativos de celular como forma de infectar usuários para monitorar seu comportamento ou roubar informações importantes. Esses aplicativos podem estar disfarçados de carteiras, acompanhadores de preço, e outras ferramentas relacionadas à criptomoedas (que têm uma base de usuários dispostos a negociar e transferir criptomoedas).

  • Phishing de Voz e Texto: O phishing de SMS, método baseado em mensagens de texto, e vishing, o equivalente a chamadas de voz, são outras outras formas de tentar roubar informações de usuários por meio de smartphones. 


Phishing vs Pharming

Embora o ataque do tipo pharming seja considerado um tipo de ataque phishing, ele baseia-se num mecanismo diferente. A principal diferença entre os dois é que o ataque do tipo phishing necessita que a vítima cometa algum tipo de erro. Já o ataque do tipo pharming necessita apenas que a vítima acesse um website legítimo, mas cujo DNS tenha sido comprometido por um hacker.


Como se prevenir do phishing?

  • Seja cauteloso: Sua melhor defesa contra um ataque phishing é sempre questionar e analisar os emails que recebe. Seja crítico. Você estava esperando receber um email de alguém sobre este assunto? Suspeita que a informação que essa pessoa está requisitando não deveria ser do interesse dela? Se existir qualquer tipo de dúvida, entre em contato direto com o destinatário utilizando outro canal oficial de comunicação.

  • Verifique o conteúdo da mensagem recebida: Digite uma trecho do conteúdo do texto (ou o endereço de email do remetente) numa página de busca a fim de verificar se existem relatos de outros usuários sobre ataques que fizeram uso do mesmo método.

  • Tente outro meios de contato: Se acredita que o email que tenha recebido é legítimo, e que o pedido de verificação da sua conta vem de uma empresa que lhe é familiar, tente entrar em contato com a empresa utilizando outros meios de contato. Evitando clicar no link fornecido por email.

  • Sempre verifique a URL: Ao passar o mouse sobre o link, sem clicar nele, é possível verificar se o endereço começa com HTTPS ao invés de apenas HTTP. Note que apenas isso não é garantia que o website seja legítimo. Se trata apenas de uma medida de segurança adicional.

  • Nunca compartilhe suas chaves privadas: Nunca compartilhe suas chaves privadas da sua carteira de Bitcoin. Esteja sempre atento se o vendedor e produto que você irá adquirir utilizando criptomoedas é legítimo. A diferença entre utilizar um cartão de crédito e criptomoedas é que no segundo caso não existe uma autoridade central para disputar o pagamento caso você não venha a receber o produto ou serviço. As transações são irreversíveis. Por isso tenha muito cuidado ao lidar com transações de criptomoedas. 


Conclusão

Phishing é uma das técnicas de ataque virtual mais comuns e disseminadas que existem. Os serviços de filtragem de email das grandes empresas conseguem fazer um bom serviço, evitando boa parte dessas mensagens indesejadas. Ainda assim, algumas mensagens falsas passam por essa filtragem. Então um cuidado maior por parte do usuário é sempre muito importante. Esteja sempre atento às diversas tentativas de obter informações privadas e sensíveis a seu respeito. Se possível, sempre confirme por outros meios de comunicação oficial se a informação requisitada pelo remetente é legítima. Evite clicar em links que foram enviados por email. É preferível visitar o website diretamente (por conta própria). Lembre-se de checar se o endereço da página começa com HTTPS. Por fim, seja especialmente cuidadoso com transações que envolvam criptomoedas, elas são irreversíveis. Sempre mantenha suas chaves privadas e senhas em local seguro e nunca as compartilhe com ninguém.

Loading