Os mais recentes ataques informáticos a grandes empresas portuguesas destaparam enormes fragilidades no nosso edifício de segurança digital. Num ápice, ficamos sem arquivos, acesso a dados — por vezes, sem dados — e, quando os ataques são feitos a nível financeiro, sem recursos para recuperar do impacto. Neste universo, uma das técnicas criminosas mais conhecidas e antigas dá pelo nome de Phishing.
O que é o Phishing?
Trata-se de um ataque que pode ser perpetrado via email, telefone ou redes sociais para obter dados privados das vítimas.
Resumidamente, tudo acontece através do envio de um texto direcionado com o objetivo de convencer o seu recetor a clicar num qualquer link, fazer download de um ficheiro, enviar as informações solicitadas ou, no limite, pagar um valor monetário. Tudo isto ocorre de forma mais ou menos subtil: para aqueles cuja literacia digital se encontra em mínimos, o perigo de cair nestas armadilhas é maior.
Os efeitos práticos do Phishing podem ser vários, mas a sua maioria levam a roubos de identidade, dados ou dinheiro, sendo também habitual como técnica de espionagem. Alguns hackers criam perfis falsos nas redes sociais, investem tempo na construção de um relacionamento com as vítimas e só desferem o ataque após terem já um capital de confiança muito elevado.
Phishing: onde?
Como referimos uns parágrafos acima, são várias as plataformas onde o Phishing pode acontecer. Listamos os locais e explicamos os formatos mais comuns destes crimes.
É, de longe, a via mais usada. Utiliza o email para se armazenar na caixa de correio da vítima e, no seu conteúdo, encontram-se geralmente alguns links que conduzem a sites maliciosos. É provável ainda que este email contenha um anexo, também ele nocivo.
Sites
A novilíngua digital identifica-os como sites falsificados: cópias falsas de websites reais e confiáveis, que dão uma sensação de segurança à vítima para inserir todos os seus dados — estas credenciais podem, mais tarde, ser utilizadas em contas reais para extorsão. Referência ainda aos pop-ups, que são igualmente uma fonte comum de Phishing nestas plataformas.
Áudio
Nestas situações, o criminoso tenta, por telefone, convencer a vítima a divulgar informações pessoais que podem ser usadas posteriormente para roubo de identidade: números de conta bancária, passaportes, cartão do cidadão, senhas de acesso, entre outros.
SMS
Uma das mais usadas formas de Phishing, o envio de mensagens de texto solicita à vítima que clique no link ou que faça download de uma aplicação, ambos fraudulentos, que fará com que o seu smartphone fique vulnerável ao roubo de informações pessoais.
Redes sociais
A criação de perfis falsos é um dos truques mais repetidos. Existe também a técnica de envio de links maliciosos para contactos/amigos para forçar o acesso às contas.
Phishing: depois do meio, a mensagem
Identificadas as diferentes plataformas onde o Phishing é uma ameaça real, viramos agulhas para o seu conteúdo: que mensagens estes emails, SMS ou mesmo telefonemas veiculam?
Com o aumento do comércio online — sobretudo devido ao contexto pandémico — e, com isso, uma maior exposição e circulação de dados bancários pela Internet, a tentativa de fraude com este tema como pano de fundo ganhou mais força.
É, por isso, comum receber um email a informar que a compra não foi realizada por estarem em falta dados de faturação. Nessa mesma comunicação, através de um link fraudulento, será encaminhado para um site capaz de atacar a sua conta bancária.
Outro tema bastante usual prende-se com a narrativa do Estado como cobrador e carrasco em caso de falta de pagamento de uma verba/multa em atraso. Desta forma, solicita-se informação pessoal, ameaçando com sanções pesadas em caso de incumprimento. O tom agressivo de cartas de entidades como as Finanças ou a Segurança Social são os modelos usados.
Também com a capa do Estado vestida, mas agora como benfeitor: ofertas monetárias ou reembolsos de impostos indevidos são práticas escolhidas e sempre com os mesmos truques para ter acesso a informação privilegiada.
Além do Estado, as instituições bancárias também são usadas como isco para prática de fraude: o facto de os bancos solicitarem várias vezes — e bem! — códigos ou confirmações para realização de operações, acaba por funcionar como arma para ataques cibernéticos.
Para contornar estas situações sem correr quaisquer riscos em caso de recebimento de uma comunicação suspeita, deve contactar, através dos canais convencionais, estas instituições, transcrevendo toda a informação nela constante. Dessa forma, conseguirá identificar se se trata de uma tentativa de Phishing ou não.
Como decifrar e se proteger de uma mensagem de Phishing?
Apesar de serem usadas instituições credíveis — bancos, Estado, etc. — o Phishing possui algumas vulnerabilidades, muitas vezes identificáveis a olho nu. No fundo, o antídoto para estes ataques deve começar com pequenos truques e alguma atenção extra.
Tendo em conta tudo o que escrevemos até aqui, é importante que faça uma análise cuidada ao email, mensagem ou telefonema recebidos. Se houver algo que não inspire confiança, apague o conteúdo. Se tiver dúvidas, como referido anteriormente, contacte as fontes oficiais ou mesmo a sua ligação direta à instituição.
Muitos destes emails contêm erros ortográficos ou caracteres em falta. Esse é um sinal claro da não autenticação da fonte, já que uma marca/instituição estatal não se mostra aos seus clientes sem rever a sua comunicação. O endereço do remetente também é uma maneira de identificar possíveis fraudes: o nome da instituição mal escrito, com letras trocadas.
Além da já abordada necessidade de alterar com regularidade as suas senhas de acesso aos mais diversos sites, é especialmente importante que verifique os certificados de segurança dos mesmos: todos eles devem começar com HTTPS no endereço e ter um ícone idêntico a um cadeado logo ao lado.
Também pode, como medida de segurança, instalar um bloqueador de pop-ups. Seria mais simples dizer para os evitar e não clicar neles, mas, por uma questão de eficácia, este passo talvez seja o mais indicado.
A última sugestão passa por, sempre que tiver dúvidas, voltar a este artigo e rever toda a matéria dada.
O Spam é Phishing?
Antes de avançarmos, podemos já responder: não.
A grande diferença é que o spam não tem quaisquer intenções de violação de dados: falamos apenas de lixo eletrónico; anúncios que, à partida, o seu email já sabe que não pretende receber, remetendo-os para a pasta de… spam.