O que é o… Phishing?
Phishing é um tipo de "engenharia social", onde os criminosos tentam obter, através de fraude, os dados pessoais dos utilizadores (dados bancários, números de cartões de crédito, passwords, detalhes da conta e outros tipos de informações).
O "phisher" pode pedir a confirmação com urgência ou que envie dados específicos. As pessoas por trás destas fraudes têm altos níveis de competências técnicas e em Tecnologia de Informação (TI) e geralmente usam envios em massa, de forma indiscriminada, para chegar a milhares de destinatários (spamming). Para chegar a tantas potenciais vítimas quanto possível, eles usam mensagens e ofertas que irão chamar a atenção do destinatário. O seu modus operandi é redirecionar as vítimas para sites falsos, que parecem semelhantes aos autênticos. Estes são normalmente sites bancários online, redes sociais, contas de e-mail ou semelhante, usando falsos e-mail, mensagens de texto e mensagens de telemóvel (WhatsApp, etc.). Nestas páginas, a vítima vai introduzir os seus dados bancários (para atualizar a informação, por exemplo), para restaurar os detalhes do seu log-in (devido a um erro no servidor), fazer qualquer tipo de transação online (em que os seus dados pessoais precisam de ser verificados) ou simplesmente para aceder a um novo serviço que oferece algum tipo de serviço ou presente.
Os links/ligações que essas fraudes fornecem tentam imitar o site real e vai redirecioná-lo para outro servidor que parece idêntico ao original, mas que é controlada pelos ciber-criminosos.
As aplicações nesta categoria que tentam roubar dados pessoais ou bancários são classificadas da seguinte forma:
- O uso de nomes de empresas existentes (real): Os ciber-criminosos usam a imagem pública e a funcionalidade do site de uma empresa real.
- O uso do nome de um funcionário real de uma empresa real para enviar e-mails em massa de phishing: Neste caso, a vítima deve verificar se a pessoa que supostamente representa a empresa realmente existe.
- Endereços de sites aparentemente corretos: O aspecto do e-mail fraudulento geralmente vai dirigir o leitor para sites com uma aparência semelhante aos da empresa real, mas que estão a ser usadas para roubar informações.
- Fator Medo: O fraudulento requer uma resposta imediata do destinatário e estas mensagens geralmente ameaçam algum tipo de perda - seja financeira ou de controlo da conta - se o leitor não seguir as instruções fornecidas. O fraudulento precisa dessa resposta rápida, de modo a que no momento em que a empresa descobrir que os seus clientes estão a ser enganados, eles podem mudar os servidores, onde o seu site falso está hospedado.
- Homem no meio: O ciber-criminoso fica entre o utilizador e o site real, agindo como um representante capaz de escutar a comunicação eletrónica entre os dois. Eles aproveitam-se de vulnerabilidades como "Cross-Site Scripting”: simulando um site seguro pertencente a um banco. Eles aproveitam-se de vulnerabilidades em navegadores da web.
Tipos de Phishing
- Site de Phishing: Este tipo de Phishing está ligado a apenas um website onde o conteúdo da página falsa é armazenado. Pharming no redirecionar: Este consiste em redirecionar o utilizador de um site confiável para outro falso, que à primeira vista parece idêntico, de onde eles podem roubar os seus dados pessoais ou financeiros. O utilizador é automaticamente redirecionado para a página falsa sem a necessidade de clicar em qualquer link.
- Spear phishing: Este tipo de fraude é dirigido a indivíduos ou grupos pequenos, previamente selecionados, que eles têm vindo a seguir. Eles criam uma conta de e-mail personalizada de uma pessoa ou empresa que gera confiança. Este tipo de Phishing tem o objetivo de recolher informação confidencial (ou seja, segredos comerciais). O e-mail inclui um anexo que, quando aberto, ganha acesso ao seu computador e a todos os dados armazenados nele.
- Smishing: Este tipo de Phishing é destinado a utilizadores de mensagens móveis. Eles podem enviar mensagens a afirmar que você ganhou um prémio, que você se registrou para um serviço, etc. Para ativar a oferta você precisa de ligar para um número onde eles vão pedir os seus dados bancários.
- Vishing: Neste tipo de Phishing os ciber-criminosos ligam para números numa área específica. Quando a chamada é atendida, uma mensagem gravada alerta a vítima de que o seu cartão de crédito tem sido usado de forma fraudulenta e que precisarão de ligar para outro número. Em seguida, serão solicitados os 16 números do seu cartão de crédito, para "verificarem". Isto permite que o ciber-criminoso faça compras e outras operações fraudulentas via telefone ou internet.
Fatores de Risco e Consequências
O principal risco deste tipo de atividade fraudulenta é que o phisher obtém informações pessoais ou bancárias e pode aceder às suas informações privadas. As principais formas de acesso são através das seguintes informações:
- Número da Segurança Social
- Número de cartão de crédito / débito / ATM
- Password
- Número da conta bancária
- Log in e passwords para transações bancárias na internet.
Consequências
Os criminosos cibernéticos são muito ousados a enganar as pessoas. Assim que obtenham as suas informações pessoais, eles podem usá-las para cometer uma série de atividades fraudulentas:
- Substituir a identidade de outra pessoa para adquirir um telemóvel, onde serão cobradas todas as chamadas feitas.
- Usar um número de cartão de crédito para fazer compras online.
- Obter bens de forma ilícita, ou seja, modificar um sistema bancário para desviar pequenas quantias de dinheiro para uma conta fantasma.
- Modificar programas usando vírus, falhas de disco rígido, cortes de energia, de modo que você perde os dados armazenados no seu computador: fotos, filmes, música, trabalho, documentos, etc..
A fraude de Tecnologia de Informação (TI) está em ascensão devido ao grande número de utilizadores de computador. Isto é de extrema importância para os consumidores, pois eles estão em perigo constante de serem atacados.
This project has been funded with support from the European Commission. This publication reflects the views only of the author, and the Commission cannot be held responsible for any use which may be made of the information contained therein.