Os ataques de phishing são de longe o cibercrime do século 21. Hoje em dia, é muito comum encontrar nos meios de comunicação notícias sobre milhares de clientes de diferentes empresas que foram vítimas de ataques de phishing. Além disso, a cada dia os golpes de phishing crescem em qualidade e quantidade. A diferença do phishing com relação ao spam nada mais é do que uma distração irritante, o phishing frequentemente resulta em perdas financeiras. Se a ameaça é tão real, porque as pessoas não aprendem a evitá-la?
Por que funciona o phishing?
Há uma variedade de maneiras de tirar proveito da confiança do usuário. Há também várias razões que fazem com que o phishing continue funcionando. Provavelmente, a principal seja a grande capacidade que os cibercriminosos têm para enganar os usuários e colocá-los em problemas. Geralmente, o método de ataque envolve a utilização de ofertas sedutoras de coisas distintas. E, infelizmente, são muitas as pessoas que se sentem atraídas por essas “grandes oportunidades”.
Um fraudador também pode usar o buzz em torno de um determinado tema ou evento. Um exemplo claro disto foi o esquema de golpes que surgiram durante a Copa do Mundo FIFA. No verão de 2014, um site de phishing imitando a página web oficial da FIFA foi usado com o propósito de juntar assinaturas em defesa de Luis Suarez Albert, o atacante da seleção do Uruguai. A fim de assinar a petição, o usuário tinha que preencher o formulário online, incluindo nome, país, número de telefone celular e e-mail.
Outro site de phishing oferecia aos visitantes a oportunidade de baixar um ticket eletrônico para acessar de maneira gratuita alguns jogos do mundial. O link para baixar infectava os usuários com um trojan que roubava a informação pessoal e financeira das vítimas.
Mas essa não é a única maneira com a qual os cibercriminosos aplicam os golpes. De acordo com uma pesquisa da Kaspersky Lab, mais de 35% dos ataques phishing apontam para o público das redes sociais. Em 2013, o componente Antiphishing dos produtos da Kaspersky detectou mais de 600 milhões de acesso em sites de phishing que se faziam passar por redes sociais populares. O 22% destes sites eram páginas falsas do Facebook.
Outro método extremamente frutífero para enganar o usuário para que ele clique no link consiste em criar uma sensação de urgência e pânico. Isso poderia ser feito em um cenário em que um fraudador ameaça sua vítima com o bloqueio do seu perfil de usuário ou mesmo conta bancária. Para melhorar a eficiência de tal abordagem, os cibercriminosos utilizam táticas de “vishing” (ou phishing por voz). O fato é que nem todas as pessoas conseguem pensar friamente nesse tipo de situações críticas, para recusar os pedidos de um “oficial de segurança do banco” que está pedindo para revelar os dados do cartão de crédito, a fim de evitar que o mesmo seja bloqueado.
Em 2013, a KL detectou mais de 600 milhões de tentativas de acesso a um site de phishing que fingiam ser páginas de redes sociais
Tweet
O Phishing evolui constantemente
Uma das principais razões pelas quais o phishing tem sido tão bem-sucedido é a constante evolução técnica dos instrumentos de phishing, que estão ficando cada vez mais sofisticados.
Os sites falsos são muito difíceis de distinguíveis visualmente das páginas legítimas. Além disso, muitos deles têm nomes de domínio convincentes e, em alguns casos, até mesmo usam uma conexão segura HTTPS com certificados genuínos.
Assim mesmo, o phishing em dispositivos móveis é cada vez mais comum, já que as características técnicas dos smartphones e tablets (as dimensões da tela, por exemplo) terminam facilitando o sucesso dos ataques.
Além disso, é muito importante saber que, para realizar um ataque phishing, o cibercriminoso nem sequer precisa inserir no sistema do usuário. è por esta razão que nenhum das plataformas existentes é 100% capaz de proteger contra todos os tipo de ataques. É uma ameaça universal.
Em primeiro lugar, a popularidade do phishing não irá desaparecer, já que é um dos ataques mais lucrativos que existem. As ferramentas utilizadas para os ataques de phishing são muito acessíveis e sua capacidade de alcance é enorme, sobretudo nas redes sociais. Assim mesmo, não requer muito esforço por parte dos cibercriminosos, já que a maioria das ações se realizam de maneira automatizada.
Se temos isso em mente, um cibercriminoso pode receber um salário muito decente. Como na maioria dos casos, os golpistas caçam dados financeiros, e por isso não há necessidade de esquemas sofisticados para rentabilizar o golpe.
Além disso, o phishing tende a ser usado em conjunto com outros métodos criminosos, criando sinergias eficientes para os ataques. Você recebe um e-mail de phishing através de spam, e assim que os criminosos estão de posse os dados do usuário, eles trasferem as informações. A raiz disso tudo é conseguir gerar uma cadeia de malware, que logo será usado para uma botnet.
Portanto, você não deve acreditar que a única coisa que os cibercriminosos buscam é o seu cartão de crédito. A maioria dos fraudadores se contentaria em obter as credenciais de acesso do seu e-mail ou das redes sociais.
Como evitar o phishing?
Quais dicas e truques os usuários têm para se proteger dos ataques? Bom, o primeiro de tudo, é ter bom senso.
Mantenha a calma e não seja uma vítima das provocações de ninguém. Olhe com cuidado os links e sites que enviam para você por e-mail ou redes sociais e preste atenção para quais sites estes links direcionam. Se um amigo ou um colega enviar para você um link suspeito, verifique se eles de fato são os que eles enviaram. Se você se deparar com um ataque de ‘vishing’, lembre que nenhum funcionário do banco jamais iria insistir em descobrir os detalhes do seu cartão de crédito.
O ideal é que você evite acessar sites através de links. O melhor é que você insira o endereço manualmente do site que você quer visitar através da barra de endereços do navegador. Não se esqueça de atualizar regularmente o seu antivírus, especialmente se ele oferece recursos antiphishing. Por exemplo, para poder combater esta ameaça, o componente antiphishing do Kaspersky Internet Security avalia cada site que você acessar e o compara com mais de 200 sinais típicos de sites de phishing.
Tradução: Juliana Costa Santos Dias