Phishing

O que é?

O phishing deve o seu nome à palavra inglesa “fishing”, cujo significado é “pescar”. O phishing consiste em utilizar métodos tecnológicos que levem o utilizador a revelar dados pessoais e/ou confidenciais.

Este tipo de ataques é geralmente acompanhado por mensagens de SPAM, enviadas para vários utilizadores. Embora possam haver tipos de phishing que pedem os dados directamente por resposta ao e-mail, na maioria das vezes estão articulados com um website onde o utilizador preenche os seus dados. Geralmente os dados pessoais roubados dizem respeito a informações de contas bancárias, logins de contas online e outras informações confidenciais.

 

O que pode correr mal?

 

Os hackers recorrem a várias formas de obtenção de informação, nomeadamente, SPAM, mensagens de pop-up, e páginas web falsas, fazendo-se passar por empresas ou organizações legítimas com a qual a potencial vítima tem negócios - por exemplo, o serviço de homebanking, as redes sociais onde possui conta, ou até um organismo governamental.

De uma forma geral estes ataques circulam sobre forma de e-mails que alegam provir de uma organização conhecida da vítima, referindo que é necessário "actualizar" ou "validar" a informação da conta. Nalguns casos, para colocar alguma pressão na vítima é anunciado que, caso a validação não aconteça, a mesma pode ser penalizada.

Estes e-mails reencaminham o utilizador para um website que até pode ter uma aparência legítima, mas no entanto, é apenas um formulário que irá entregar os dados da vítima directamente ao atacante.

 

O que fazer para estar mais seguro?

 

Existem algumas formas de detectar se está perante uma tentativa de phishing:

  • Não se esqueça que bancos e serviços públicos são as entidades mais utilizadas para produzir estes esquemas. Por isso, tenha um cuidado redobrado quando recebe um e-mail destas entidades. Verifique a sua origem e analise todos os pormenores;
  • Confirme a extensão do endereço de e-mail. Se não corresponde ao endereço da entidade, o e-mail é uma fraude;
  • Se o corpo da mensagem estiver a utilizar imagens copiadas do website original, é possível identificar a pouca qualidade das mesmas. Se alguma das imagens ou hiperligações o remeter para um website que não corresponde ao website oficial do banco, é provável que se trate de um esquema de phishing. Verifique a barra do navegador assim que a página carregou para se assegurar que o endereço e o nome do site corresponde ao habitual;
  • Identifique erros ortográficos ou gramaticais, bem como palavras que normalmente não são utilizadas na comunicação institucional. Estes são sinais que o texto não foi redigido pela entidade em questão;
  • Não clique em links suspeitos ou que sejam enviados de fontes que não conhece e/ou confia;
  • Verifique que o site está a utilizar uma ligação segura (https);
  • Caso tenha dúvidas quanto à autenticidade do website, não introduza quaisquer dados pessoais em nenhuma circunstância;
  • Contacte a empresa ou prestador de serviços em questão, através do website ou outro meio de contacto oficial, para assegurar a legitimidade do seu website;
  • Não introduza dados sensíveis (logins, passwords, dados pessoais e/ou confidenciais) através de redes públicas.

 

 

Tipos de Phishing  

 

Phishing

Este é o método utilizado para obter dados confidenciais de utilizadores. Este termo deriva do inglês “fishing” – pescar – uma vez que estes grupos lançam o anzol e fazem-se passar por entidades geralmente conhecidas e credíveis, para obter acesso a contas privadas.

Smishing

É uma forma de phishing que se baseia no envio de uma mensagem de telemóvel (SMS ou MMS) confirmando o vínculo a uma empresa de serviços que irá cobrar uma quantia diária, caso o utilizador não anule o vínculo através do website da empresa. A tentativa de phishing ocorre no próprio website, sendo este o meio de obter os dados do utilizador.

Vishing

Este e-mail aparenta ser de uma instituição totalmente legítima, convidando o utilizador a contactar a entidade por telefone. No momento da chamada, o utilizador não é atendido por uma pessoa, mas sim por um atendedor automático, que solicita vários dados pessoais para “verificação de segurança”.

Spear-phishing

Este e-mail é enviado por alguém que se faz passar por um colega de empresa, ou o próprio chefe. O objetivo é fazer com que o utilizador divulgue dados pessoais, dando acesso e controlo ao sistema informático da organização em causa.

Receba todas as notícias e eventos no seu email