Falar de phishing é falar de pesca.
Você gosta de pescar? Dizem por aí que relaxa, mas infelizmente não é bem assim que funciona no cibermundo...
Já ouviu falar de vishing e smishing? Oriundos do phishing, eles são ciberataques que visam “fisgar” as suas presas por meio de iscas pra lá de indigestas.
Neste artigo, vamos abordar essas práticas da pescaria de dados — uma pesca que não é nada esportiva, mas totalmente ilegal e nociva ao ambiente digital.
Mas afinal, o que é phishing?
Phishing é um golpe cibernético em que atacantes utilizam toda uma engenharia social para atrair e enganar as suas vítimas.
O foco desse ciberataque não é um computador, uma rede ou um dispositivo móvel em si, mas o elemento humano por trás deles. Os usuários são o alvo!
No phishing, os criminosos fingem ser remetentes verdadeiros para induzir a pessoa do outro lado a fornecer os seus dados confidenciais (como números de cartões, documentos, contas e senhas), ou executar qualquer outra ação desejada por eles.
Se você quiser saber mais sobre esse ataque, leia o artigo:
Mirian Fernandes
“Pô, mas esse golpe já tá manjado, não?!”
Não mesmo! Segundo o relatório mais recente da Kaspersky, o Brasil é hoje o país que mais sofre com phishing no mundo, e essa onda de ataques só tem aumentado!
E isso se dá por dois motivos:
Primeiro, por conta dos dias atípicos que temos vivido. Pescadores de dados costumam tirar proveito de épocas sensíveis — como essa da pandemia, por exemplo — para manipular psicologicamente usuários mais vulneráveis.
E, segundo, pelo fato de que os ataques phishing têm evoluído e tomado outras formas, se tornando um mal de múltiplas faces.
“Extra, Extra: phishing se expande e não se limita mais ao correio eletrônico!”
Antes aplicados apenas por e-mail, hoje esses golpes têm sido também disseminados através da rede de telefonia móvel.
E é aqui, no seu aparelho celular, onde os irmãos Smishing e Vishing entram, literalmente, na conversa.
Filhos do phishing, essas duas ramificações da pescaria de dados honram o legado do pai,enviando mensagens falsas com o intuito de calotear quem as recebe.
O objetivo é o mesmo. No entanto, o que diferencia o vishing do smishing é o meio pelo qual essas mensagens são enviadas.
Vishing (voice + phishing)
O vishing é o phishing de voz. Nele, os golpistas tentam tirar informações sigilosas da vítima por meio de mensagens de voz. São aqueles telefonemas (de robôs ou de humanos), por exemplo, que cobram algum dado pessoal para a confirmação de uma suposta compra.
Muita gente é fisgada por esse tipo de phishing, pois o esquema dos cibercriminosos costuma ser bem profissional. É tudo bem bolado para tornar a experiência da ligação muito parecida com a de uma instituição real e de credibilidade.
Para a execução do vishing, os atacantes desenvolvem um sistema de atendimento atrativo, personalizado e automatizado (com ramal e tudo), para ganhar o interesse e a confiança da presa.
Só que no fim, aquilo que para um usuário mais leigo parece legítimo e confiável, é, na verdade, uma isca falsa de um anzol bem afiado, pronto para ser puxado.
É um perigo!
E não é só com as chamadas de phishing que devemos nos preocupar, porque no oceano do cibermundo, o peixe não morre apenas pela boca.
Smishing (SMS + phishing)
O smishing é o phishing de SMS. O fim aqui é o mesmo (ludibriar as vítimas para obter informações pessoais), mas o meio pelo qual o golpe é aplicado, é agora, por mensagens de texto.
Os atacantes enviam torpedos projetados para instigar a presa a clicar em um link corrompido, preencher um formulário fraudulento ou baixar algum arquivo com vírus.
Muitos têm sido fisgados por smishing. Isso acontece porque a galera pensa ser improvável receber tentativas de golpes por SMS (já que o “normal” seria via e-mail), e também pelo fato de que é bem mais difícil identificar golpistas através de mensagens de texto.
Nos e-mails de phishing, por exemplo, é muito mais fácil detectar uma tentativa criminosa, pois podemos conferir os endereços eletrônicos, o design e a gramática do texto (que geralmente são estranhos).
Já no SMS, há poucos itens que podem ser verificados para saber se quem enviou o torpedo é confiável ou não (no geral, temos apenas o número do telefone e algumas palavras).
Provedores de e-mail com seus filtros anti-spam também conseguem impedir que muitos desses ataques de phishing cheguem à nossa caixa de entrada, enquanto as operadoras telefônicas não têm a mesma infraestrutura de cibersegurança, para defender nossos números celulares de golpistas de smishing.
Megazord do phishing
E se já não bastasse tudo isso, o smishing pode, por vezes, trabalhar em parceria com o vishing. Como?
A vítima pode receber um SMS de um criminoso virtual se passando por operadora de cartão de crédito, com uma notificação de suspensão ou desativação de conta.
Para que o usuário faça a reativação, é solicitado a realização de uma ligação para um número gratuito, que redireciona a chamada para um sistema de autoatendimento fraudulento que exige dados bancários da pessoa.
Dureza, né?!
Como não morder a isca?
Como o sucesso de todo golpe phishing depende de uma ação descuidada da vítima, uma boa dose de vigilância e ceticismo reduz bastante o risco de ser fisgado por pescadores digitais. Esteja sempre atento e desconfie de tudo!
Contudo, um pouco de praticidade não faz mal a ninguém, não é mesmo? Então, aqui vão algumas dicas práticas para te ajudar a se precaver contra ataques phishing de voz e SMS, e evitar o estresse que é cair nesses golpes:
- Nunca compartilhe informações com o número que te procurou. Nenhuma empresa, banco ou loja envia torpedos SMS exigindo que você atualize as informações da sua conta, ou confirme o código do seu cartão. Se estiver em dúvida quanto a veracidade da mensagem, entre em contato com o telefone ou portal oficial da instituição (só dar um google e você encontra rapidinho);
- Não tome nenhuma atitude precipitada. Ataques phishing, geralmente, pedem uma ação imediata do usuário. Considere como sinais de aviso de uma tentativa de golpe qualquer alerta de segurança urgente e resgates imediatos de cupons, por exemplo (como alerta o perito Vitor Santos, em seu vídeo ‘Como evitar fraudes’: "postergar a tomada de decisão é um dos principais passos para evitar ser vítima de golpes e fraudes.”);
- Não abra anexos ou links suspeitos. Qualquer mensagem pode conter "ganchos" que roubam seus dados, ou baixam malwares capazes de assumir o controle do seu PC, acessar suas credenciais, ou até mesmo te espionar;
- Evite retornar chamadas perdidas de números desconhecidos. Se o número for de um phisher, você pode se dar mal. Existe uma tecnologia telefônica maliciosa que bloqueia a linha telefônica da vítima depois que a chamada é encerrada e redireciona suas próximas ligações para a origem fraudulenta;
- Suspeite de telefones que não parecem reais. É difícil saber se um número telefônico é legítimo ou não, mas números como "5000" são, muitas vezes, usados por golpistas para evitar informar seus números verdadeiros;
- Cuide das suas senhas. Utilize senhas fortes (e diferentes para cada conta), altere-as com frequência e use sistemas de autenticação de dois fatores;
- Não armazene no smartphone informações de cartões de crédito ou de bancos. Sem essas informações, os ladrões não têm o que roubar, mesmo que injetem algum software malicioso no seu smartphone.
Conclusão
Vishing e Smishing são tipos específicos de phishing. São farinha do mesmo saco — ou melhor, iscas do mesmo anzol.
No vasto oceano que é o mundo digital, o mar tá sempre pra peixe; e nele, você é a pesca, nunca o pescador.
Fique atento! Quem relaxa nessa pescaria, por fim acaba se estressando!
Que tal ficar por dentro do mundo da cibersegurança e conhecer outras armas para a batalha contra os ataques cibernéticos?
Acompanhe-nos nas redes sociais e tenha acesso a conteúdos semanais:
Fontes:
