Phishing
Phishing ou phishing-scam é o tipo de fraude por meio do qual um golpista tenta obter dados pessoais e financeiros de um usuário, pela utilização combinada de meios técnicos e engenharia social.
Phishing ocorre por meio do envio de mensagens eletrônicas que:
-
Tentam se passar pela comunicação oficial de uma instituição conhecida, como um banco, uma empresa ou um site popular;
-
Procuram atrair a atenção do usuário, seja por curiosidade, por caridade ou pela possibilidade de obter alguma vantagem financeira;
-
Informam que a não execução dos procedimentos descritos pode acarretar serias conseqüências, como a inscrição em serviços de proteção de credito e o cancelamento de um cadastro, de uma conta bancaria ou de um cartão de credito;
-
Tentam induzir o usuário a fornecer dados pessoais e financeiros, por meio do acesso a paginas falsas, que tentam se passar pela pagina oficial da instituição. da instalação de códigos maliciosos, projetados para coletar informações sensíveis; e do preenchimento de formulários contidos na mensagem ou em paginas web.
O Para atrair a atenção do usuário as mensagens apresentam diferentes tópicos e temas. Normalmente explorando campanhas de publicidade, serviços, a imagem de pessoas e assuntos em destaque no momento. Exemplos de situações envolvendo phishing são:
Paginas falsas de comercio eletrônico ou Internet Banking:
Você recebe um email, em nome de um site de comercio eletrônico ou de uma instituição financeira, que tenta induzi-lo a clicar em um link. Ao fazer isto, você é direcionado para uma pagina web falsa, semelhante ao site que você realmente deseja acessar, onde são solicitados os seus dados pessoais e financeiros.
Paginas falsas de rede sociais ou de companhias aereas:
Você recebe uma mensagem contendo um link para o site da rede social ou da companhia área que você utiliza. Ao clicar, você é direcionado para uma pagina Web falsa onde é solicitado o seu nome de usuário e a sua senha que, ao serem fornecidos, serão enviados aos golpistas que passarão a ter acesso ao site e poderão efetuar ações em seu nome, como enviar mensagens ou emitir passagens áreas.
Mensagens contendo formulários:
Você recebe um email contendo um formulário com campos para a digitação de dados pessoais e financeiros. A mensagem solicita que você preencha o formulário e apresenta um botão para confirmar o envio das informações. Ao preencher os campos e confirmar o envio, seus dados são transmitidos para os golpistas.
Mensagens contendo links para códigos maliciosos:
Você recebe um email que tenta induzi-lo a clicar em um link, para baixar e abrir/executar um arquivo. Ao clicar, é apresentada uma mensagem de erro ou uma janela pedindo que você salve o arquivo. Apos salvo, quando você abri-lo/executá-lo, será instalado um vírus malicioso em seu computador.
Solicitação de recadastramento:
Você recebe um email supostamente enviada pelo grupo de suporte da instituição de ensino que freqüenta ou da empresa em que trabalha, informando que o serviço de email esta passando por manutenção e que é necessário o recadastramento. Para isso, é preciso que você forneça seus dados pessoais, como nome de usuário e senha.
| Tópico | Tema da mensagem |
|---|---|
| Álbuns de fotos e vídeos | pessoa supostamente conhecida, celebridades algum fato noticiado em jornais, revistas ou televisão traição, nudez ou pornografia, serviço de acompanhantes |
| Antivírus | atualização de vacinas, eliminação de vírus lançamento de nova versão ou de novas funcionalidades |
| Associações assistenciais | AACD Teleton, Click Fome, Criança Esperança |
| Avisos judiciais | intimação para participação em audiência comunicado de protesto, ordem de despejo |
| Cartões de crédito | programa de fidelidade, promoção |
| Cartões virtuais | UOL,Voxcards, Yahoo! Cartões, O Carteiro,Emotioncard |
| Comércio eletrônico | cobrança de débitos, confirmação de compra atualização de cadastro, devolução de produtos oferta emsitede compras coletivas |
| Companhias aéreas | promoção, programa de milhagem |
| Eleições | título eleitoral cancelado, convocação para mesário |
| Empregos | cadastro e atualização de currículos, processo seletivo em aberto |
| Imposto de renda | nova versão ou correção de programa consulta de restituição, problema nos dados da declaração |
| Internet Banking | unificação de bancos e contas, suspensão de acesso atualização de cadastro e de cartão de senhas lançamento ou atualização de módulo de segurança comprovante de transferência e depósito, cadastramento de computador |
| Multas e infrações de trânsito | aviso de recebimento, recurso, transferência de pontos |
| Músicas | canção dedicada por amigos |
| Notícias e boatos | fato amplamente noticiado, ataque terrorista, tragédia natural |
| Prêmios | loteria, instituição financeira |
| Programas em geral | lançamento de nova versão ou de novas funcionalidades |
| Promoções | vale-compra, assinatura de jornal e revista desconto elevado, preço muito reduzido, distribuição gratuita |
| Propagandas | produto, curso, treinamento, concurso |
| Reality shows | Big Brother Brasil, A Fazenda, ídolos |
| Redes sociais | notificação pendente, convite para participação aviso sobre foto marcada, permissão para divulgação de foto |
| Serviços de Correios | recebimento de telegramaonline |
| Serviços dee-mail | recadastramento, caixa postal lotada, atualização de banco de dados |
| Serviços de proteção de crédito | regularização de débitos, restrição ou pendência financeira |
| Serviços de telefonia | recebimento de mensagem, pendência de débito bloqueio de serviços, detalhamento de fatura, créditos gratuitos |
| Sitescom dicas de segurança | aviso de conta dee-mailsendo usada para envio despam(Antispam.br) cartilha de segurança (CERT.br, FEBRABAN, Abranet, etc.) |
| Solicitações | orçamento, documento, relatório, cotação de preços, lista de produtos |
Prevenção:
I - Fique atento a mensagens, recebidas em nome de alguma instituição, que tentem induzi-lo a fornecer informações, instalar/executar programas ou clicar em links;
II - Questione-se por que instituições com as quais você não tem contato estão lhe enviando mensagens, como se houvesse alguma relação previa entre vocês ( por exemplo, se você não tem conta em um determinado banco, não há porque recadastrar dados ou atualizar módulos de segurança)
III - Fique atento a mensagens que apelem demasiadamente pela sua atenção e que, de alguma forma, o ameacem caso você não execute os procedimentos descritos.
IV - Não considere que uma mensagem é confiável com base na confiança que você deposita em seu remetente, pois ela pode ter sido enviada de contas invalidades, de emails falsos ou pode ter sido forjada.
V - Seja cuidadoso ao acessar links. Procure digitar o endereço diretamente no navegador Web.
VI - Verifique o link apresentado na mensagem. Golpistas costumam usar técnicas para ofuscar o link real para o phishing. Ao posicionar o mouse sobre o link, muitas vezes é possível ver o endereço real da pagina falsa ou código malicioso.
VII - Utilize mecanismos de segurança, como programas anti-malware, firewall pessoal e filtros anti-phishing. (Oferecemos ótimos programas em nossa sessão de downloads).
VIII - Verifique se a pagina utiliza conexão segura. Sites de comercio eletrônico ou Internet Banking confiáveis sempre utilizam conexões seguras quando dados sensíveis são solicitados.
IX - Verifique se as informações mostradas no certificado. Caso a pagina falsa utiliza conexão segura, um novo certificado será apresentado e, possivelmente o endereço mostrado no navegador web será diferente do endereço correspondente ao site verdadeiro.
X - Acesse a pagina da instituição que supostamente enviou a mensagem e procure por informações (você vai observar que não faz parte da política da maioria das empresas o envio de mensagens, de forma indiscriminada, para os seus usuários).
