Uma mensagem suspeita, um e-mail desconhecido ou até mesmo uma ligação inesperada. Esses são apenas alguns dos muitos “disfarces” que o phishing incorpora para atacar suas vítimas, roubando dados bancários, informações privadas e principalmente a confiança dos usuários.
Um relatório divulgado pela FEBRABAN – Federação Brasileira de Bancos aponta que, a cada minuto, 110 tentativas de ataque via phishing foram bloqueadas na América Latina, durante 2022. Desses números, 65% ocorreram em solo brasileiro.
Apesar de não ser uma novidade, esta modalidade de golpe está ganhando novas proporções, aproveitando a popularidade e agilidade do PIX para tornar o método de pagamentos seu principal alvo. E para se proteger dessa ameaça, o primeiro passo é se informar sobre o assunto.
Por isso, preparamos um conteúdo completo sobre phishing, trazendo quais são as principais abordagens deste tipo de fraude, como identificá-lo a tempo e quais são as melhores práticas de segurança para evitá-lo. Vamos lá?
O que é phishing
Em inglês, o termo “fishing” significa pescaria e não é à toa que a fraude faz referência a essa palavra. O phishing que estamos falando, funciona de uma forma muito semelhante, já que o criminoso costuma criar “iscas” para que a vítima caia no golpe.
Através de mensagens ou e-mails, o fraudador se passa por uma pessoa próxima ou por uma organização de confiança para enganar o usuário. Utilizando técnicas de persuasão que criam um senso de urgência e desespero na vítima, eles fazem com ela clique em um link adulterado e se torne vulnerável aos ataques.
Esses links costumam levar para um site falso, idêntico ao legítimo. Nele, o usuário é induzido a compartilhar informações confidenciais como login, senha e outras chaves de acesso. Com isso em mãos, os golpistas têm liberdade para realizar movimentações bancárias e, inclusive, instalar malwares de acesso remoto, que possibilitam outros tipos de golpe.
O grande diferencial do phishing é que ele não depende da fragilidade técnica dos sistemas, mas da inocência dos usuários e, por isso, representa uma ameaça ainda maior, principalmente quando falamos de um sistema de pagamentos instantâneo como o PIX.
Como esse golpe surgiu
Como dizem por aí, desde que o mundo é mundo existem pessoas trapaceando. Por isso, é natural pensar que a complexidade das fraudes também evoluíram no mesmo ritmo que a sociedade foi se desenvolvendo.
No caso do phishing, o termo começou a chamar atenção através de um fórum de discussão criado no site AOL, em meados dos anos 90. O AOHell era um grupo pequeno, formado por hackers. Foi nele que surgiram as primeiras táticas de fraude, utilizando técnicas de engenharia social e troca de e-mails falsos.
Nesses e-mails, os criminosos se passavam pela AOL, solicitando aos usuários uma verificação de conta. Ao clicar no link malicioso, as vítimas informavam senhas de acesso e dados pessoais sigilosos, tornando-se completamente suscetíveis aos ataques dos hackers.
Já no início dos anos 2000, o phishing encontrou um novo alvo: os sites de compra e pagamento online, como eBay e PayPal. Seguindo a mesma lógica, os clientes recebiam mensagens falsas, que solicitavam a atualização do cadastro no site. Ao clicar no link, aparentemente idêntico ao legítimo, o usuário informava números de cartões de crédito, dados bancários e todo tipo de informação pessoal.
Essa modalidade de fraude ganhou uma proporção tão alarmante que, em 2011, surgiram suspeitas (nunca confirmadas oficialmente) que o governo chinês estaria envolvido em uma campanha de phishing direcionada a contas Gmail de oficiais americanos de alto escalão, com o objetivo de espionagem.
No Brasil, violações como esta passaram a ser condenadas na Lei dos Crimes Cibernéticos (12.737/2012), sancionada em 2012. Segundo um comunicado emitido pelo Senado na época,
“a norma tipifica como crime a violação indevida de equipamentos e sistemas conectados ou não à rede de computadores, com o fim de obter, adulterar ou destruir dados ou informações sem autorização do titular, ou ainda para instalar vulnerabilidades.”
Phishing e o PIX
Como qualquer outro sistema financeiro, o PIX também está suscetível ao phishing, e não demorou para que ele se tornasse o alvo favorito dos criminosos. Por ser um sistema relativamente novo e muito mais simples, ágil e acessível que os outros; ele se transformou na isca perfeita para os fraudadores se aproveitarem da inocência e desconfiança dos usuários.
Apesar da mecânica continuar a mesma, com o PIX o objetivo é ainda mais direto: conseguir os dados de acesso para realizar transferências bancárias antes que a vítima perceba. Como as operações acontecem em poucos segundos, torna-se muito difícil recuperar o valor transferido.
Modelos de ataque que utilizam phishing
Até aqui, você pode estar pensando que o phishing segue o mesmo padrão de abordagem em qualquer situação; mas, apesar de parecido, ainda é possível classificá-lo em diferentes tipos, considerando suas particularidades. É isso o que faremos a seguir. Veja como cada estratégia se diferencia.
Spear phishing
Seguindo a analogia sobre pescaria, que é geralmente associada ao phishing, podemos dizer que, enquanto a maioria dos criminosos jogam uma rede para capturar o máximo de vítimas possíveis, os fraudadores do spear phishing utilizam uma lança (no inglês, spear) para direcionar o ataque a um alvo específico.
Nessa modalidade, os “phishers” estudam o perfil da vítima, descobrindo nomes, cargos, empresas e outras informações pessoais para criar um conteúdo personalizado e persuasivo.
Essa tática pode ainda ser utilizada internamente, dentro das organizações. Um invasor pode utilizar o spear phishing para convencer um colaborador do financeiro a executar uma transferência, por exemplo.
Segundo uma pesquisa divulgada pela Info Security, em 2016, ao longo do ano, o spear phishing representou 38% dos ataques cibernéticos registrados. Entre as empresas entrevistadas, o golpe resultou em mais de US$1,6 milhões de prejuízo.
Whaling
E quando o ataque é direcionado aos “peixes grandes” das instituições? Nesse caso, o termo utilizado é whaling, em referência à palavra baleia em inglês. Aqui, o objetivo é persuadir CEOs, CFOs e outros cargos de alto escalão dentro das empresas.
Esse tipo de phishing costuma ocorrer através de e-mails que comunicam problemas nos setores jurídico e financeiro dos negócios. No impulso, a vítima clica no link adulterado e torna-se suscetível ao controle dos fraudadores.
Phone phishing
Não é só o conteúdo escrito que serve como ferramenta para os golpistas. Existe também uma modalidade de phishing que utiliza as ligações telefônicas como canal de comunicação com as vítimas.
Nela, os criminosos simulam uma ligação importante vindo de um banco, de um serviço ou de uma instituição respeitada. Eles apresentam então um problema que precisa ser resolvido imediatamente, uma atualização cadastral ou uma oportunidade imperdível, para persuadir o usuário a seguir os comandos recomendados.
Abusando da inocência ou da falta de informação do alvo, os phishers conseguem dados pessoais sensíveis, senhas de acesso, documentos e até mesmo transferências bancárias com cartões pré-pagos ou PIX.
Clone phishing
A clonagem de informações também tem um espaço garantido no phishing. Nesse cenário, os fraudadores copiam um e-mail legítimo que a vítima já recebeu anteriormente. Aproveitando-se da familiaridade que o usuário tem com o assunto, eles replicam o conteúdo com links e arquivos adulterados, dando continuidade à fraude.
Aprenda a identificar o golpe
Nem sempre é fácil reconhecer uma tentativa de phishing. Como mostramos anteriormente, existem diferentes tipos de abordagem e formas de persuadir a vítima. Aqui, vamos trazer algumas dicas úteis para que os primeiros indícios de fraude sejam identificados a tempo.
- Suspeite de ligações urgentes ou ameaças desconhecidas. O imediatismo no discurso dos phishers é uma das principais armas para conquistar a atenção da vítima. Por isso, nunca clique em links, abra anexos ou informe os seus dados rapidamente. Observe cuidadosamente o remetente da mensagem, o contexto da conversa e confirme a procedência da informação, antes de tomar qualquer atitude.
- Linguagem genérica. Como o objetivo do phishing é atacar o máximo de vítimas possível, é comum que a abordagem utilizada seja generalizada.
- Domínio ou número incompatíveis com os canais oficiais. Quando uma empresa legítima entra em contato com o cliente, ela utiliza seus canais e domínios oficiais. Para enganar o usuário, os criminosos costumam criar variações com pequenos erros ortográficos ou símbolos. Por isso, antes de agir, preste muita atenção no remetente da mensagem e por onde ela está sendo enviada. Acesse os sites e redes sociais oficiais para conferir a informação.
- Links e anexos suspeitos. Se uma mensagem parece duvidosa, não clique ou baixe o conteúdo imediatamente. Avalie os sinais que citamos acima e para ter ainda mais segurança, passe o mouse sobre o link para conferir se a informação é compatível.
Como se proteger do phishing
O phishing é um mecanismo de engenharia social, ou seja, ele acontece através da relação entre o criminoso e a vítima. Por isso, a melhor maneira de se proteger é se informar sobre o assunto e saber identificar os sinais de ameaça, antes de ser “fisgado”.
E as empresas? O que elas podem fazer para oferecer mais segurança aos seus clientes e usuários? Bom, nesse caso entram em ação os sistemas antifraude.
Apesar deles não impedirem que a vítima caia no golpe, as plataformas de prevenção à fraude ajudam as instituições financeiras a identificar comportamentos suspeitos e impedir que as operações financeiras sejam realizadas.
Ou seja, em casos em que o phisher consegue convencer o usuário a realizar uma transação PIX, por exemplo, o antifraude pode identificar que o comportamento foge do padrão apresentado pelos dados (seja pelo valor, horário, localização, etc) e apresentar um alerta que impede a conclusão da fraude.
O Delorean Antifraude PIX da Data Rudder tem recursos exclusivos para prevenir a ação dos golpistas.
Como denunciar um golpe phishing
Além das medidas individuais de segurança, tanto dos usuários, quanto das empresas, é possível também ajudar a reduzir os casos de phishing através de denúncias.
É possível indicar atividades suspeitas através das redes sociais, dos canais oficiais das instituições financeiras e, inclusive, pelo Google.
No site de buscas, existe uma página exclusiva para denunciar sites maliciosos. Basta incluir a URL e uma breve descrição sobre como foi a abordagem.
O site do consumidor, administrado pelo governo, também oferece esse serviço. A página funciona como um canal para reportar, acompanhar os endereços criminosos e as tentativas de phishing online. O processo é totalmente digital e não requer a presença da vítima no Procon.
Em casos de ataques por mensagens ou ligações, bloqueie o número imediatamente e denuncie através do número 7726, o Serviço de Relatórios de Spam da GSMA (empresa que representa os interesses das operadoras móveis mundialmente). Basta enviar o número suspeito com o DDD de contato.
Conclusão
Diante do crescente número de tentativas de phishing, é fundamental que os usuários se informem sobre os perigos dessa prática e que as empresas também adotem medidas de segurança para proteger seus dados bancários e as informações pessoais de seus clientes.
Para entender como um sistema antifraude funciona na prevenção ao phishing, vem dar uma olhadinha no nosso post sobre o DeLorean Antifraude PIX, uma plataforma de AutoML capaz de criar análises preditivas ágeis, transparentes e acuradas.