Blog da KondutoNotícias da fraudeProteja sua loja

Gigantes da tecnologia endurecem combate ao phishing – um medo quase unânime

Por 1 de novembro de 2019 novembro 14th, 2019 Nenhum comentário

Hoje vamos falar sobre uma ameaça de segurança que está incomodando e muito gigantes da tecnologia como Facebook, Microsoft e Google. Você imaginou vazamento de dados? Não desta vez. Outro pesadelo para esta turma atende pelo nome de phishing.

Não foi à toa que as três empresas endureceram a guerra contra este tipo de golpe ao longo de 2019. O Face, por exemplo, entrou no final de outubro com uma ação em um tribunal da Califórnia exigindo a derrubada de dois hosts de domínio nos quais estão registrados ao menos 20 sites de endereços como “hacking-facebook.net”, “m-facebook-login.com” e “iiinstagram.com”.

A empresa norte-americana não tem dúvidas de que todos eles são usados com um só objetivo – o de enganar os usuários – e alega violação de marca e de direitos autorais para tirá-los do ar, além de exigir o pagamento de multa de US$ 100 mil por danos para cada nome de domínio.

Já a Microsoft entrou em uma batalha parecida à da turma do Zucka (como chamamos nosso amigo Mark Zuckerberg) em março passado e saiu vitoriosa, assumindo o controle de 99 sites que anteriormente eram administrados por hackers iranianos e que usavam os nomes da marca e de produtos a ela pertencentes para parecerem legítimos.

Por fim, a Google também está em guerra declarada contra estes sites nocivos, tanto que lançou em junho uma extensão para o Chrome chamada “Suspicious Site Reporter” que emite alerta em caso de riscos na URL visitada, além de aceitar denúncias dos usuários do navegador. A big tech é uma das preferidas dos golpes de phishing. Que o digam os usuários de ferramentas como Google Drive e Dropbox, que frequentemente recebem e-mails que tentam se passar pela companhia.

Peraí! O que é phishing mesmo?

Já recebeu um e-mail “em nome” da Netflix afirmando que sua conta pode ser suspensa? Ou do Facebook te alertando que seu perfil será excluído em 24h? Ou ainda um de um banco no qual você às vezes nem tem conta te pedindo para preencher uns dados?

Bem, estes são casos de phishings clássicos, já que os criminosos – conhecidos como phishers – procuram se disfarçar como uma entidade confiável para obter nome completo, CPF, senhas, detalhes de cartão de crédito e outras informações confidenciais da vítima.

Estas mensagens costumam ser enviadas em massa e sempre flertam com este nível de confiança ou urgência que citamos nos exemplos acima para induzir a pessoa a abrir e depois clicar em links maliciosos, websites falsos e/ou ceder dados pessoais. O criminoso envia milhares (ou milhões) de e-mails deste tipo em poucos segundos, o que aumenta a possibilidade de alguém cair no golpe.

Ah, e já há dezenas de modalidades de phishing na praça. Além de e-mail, o envio de mensagens enganosas é comumente praticado por SMS (smishing), redes sociais e até por telefone (vishing). Contamos inclusive recentemente o caso de uma empresa que teve um prejuízo milionário após criminosos usarem um software que imitava a voz do CEO (leia aqui).

Existem também outros tipos de phishing mais “tecnológicos”, como o ramsomware, uma espécie de vírus que sequestra o device da vítima e cobra um valor em dinheiro pelo resgate, ou o Trojan, cujo nome homenageia o Cavalo de Troia por abrir a porta para uma invasão. Já outro golpe, conhecido como “content injection”, muda o conteúdo de uma página aparentemente confiável e induz o internauta a visitar um site externo.

Um medo (quase) unânime

A guerra das gigantes da tecnologia contra os phishers que contamos no início deste texto já mostra que esta prática criminosa não visa apenas a nós, pessoas físicas e reles mortais, mas também as empresas – pequenas, médias, grandes, estratosféricas… Afinal, às vezes basta apenas um funcionário cair na armadilha para um leque de possibilidades se abrir para o golpista de plantão, como invasão de contas, roubo de dados e acesso a informações sigilosas.

Não surpreende, portanto, que um estudo da plataforma de segurança on-line KnowBe4 tenha apontado que 96% (ou seja, uma quase unanimidade) das 600 empresas consultadas ao redor do mundo considerem os golpes de phishing por e-mail como a maior ameaça à segurança no próximo ano.

Fecharam o pódio de preocupações das instituições o descuido com o usuário final (que muitas vezes é o próprio funcionário da empresa) e fraudes de engenharia social (as quais em sua maioria também são práticas de phishing)…

Alta temporada

Não quero trazer más notícias, mas estamos vivendo uma alta temporada de phishing aqui no nosso Brasilzão, país que inclusive é apontado por muitos estudos como o campeão de fraudes deste tipo.

No mês de outubro, por exemplo, os cibercriminosos aproveitaram a liberação do saque de contas ativas e inativas do FGTS para tentar levar vantagem. Segundo a empresa de tecnologia russa Kaspersky, o aumento de golpes relacionados ao fundo foi de 100%, e 13 mil ataques chegaram a ser bloqueados por dia. Para completar, um aplicativo falso que se passava pela Caixa foi baixado por quase 100 mil pessoas!

Também vale lembrar que estamos entrando no clima de “Black Friday”, outro evento muito aguardado pelos golpistas para tentar fazer a gente morder o anzol – phishing inclusive é uma alusão a fishing, que significa “pescaria” em inglês.

Por isso, não se surpreenda se você vir por aí aquela passagem aérea por menos da metade do preço, um voucher com um desconto tentador para o seu restaurante preferido, aquele smartphone moderno pela bagatela de R$ 500, etc. Tudo cilada, Bino.

Como se proteger?

Em muitos casos, o bom senso é a arma mais eficaz. Um exemplo: se você não tem conta em determinada operadora de celular, por qual causa, razão, motivo ou circunstância você abriria um e-mail supostamente enviado por ela e ainda baixaria algum arquivo anexo ou enviaria seus dados? Isso também vale para as promoções sensacionais que citamos acima.

Sabemos, no entanto, que os criminosos em muitos casos capricham bastante nas mensagens, utilizando até o logo das empresas ou serviços que você usa e te chamando pelo nome. Aí vale uma análise apurada. Há erros de grafia no texto? Muitas vezes o golpista capricha no design, mas patina no português. E quanto ao e-mail do remetente? O destinatário diz ser o Facebook, mas o endereço é facebook@xmltn.net. Há algo de estranho aí, não é?

Muitos exemplos de phishings assim podem ser encontrados no site Catálogo de Fraudes. Lembre-se também de que toda empresa séria deixa clara a forma como se comunica com os clientes e os orienta frequentemente em relação à segurança. Em todo caso, se a dúvida for muito grande, entre em contato com o banco, loja, operadora e afins para checar a veracidade de determinada mensagem.

Por falar nisso, o Instagram anunciou recentemente um recurso que previne ataques de phishing. Basta ir às configurações de segurança do app e clicar em “e-mails do Instagram” que o usuário vê quais os e-mails que a rede social efetivamente enviou. Recebeu algum que não está na lista? Apague.

Antes de encerrar, vamos às últimas dicas contra o phishing: proteja suas senhas, mantenha seu navegador e softwares atualizados e tenha um antivírus instalado em todos os seus devices. E no caso das empresas? Um antifraude que combine inteligência artificial e comportamento de navegação é a melhor receita para evitar estragos.

Você já assina a newsletter da Konduto?

Eduardo Carneiro

Autor Eduardo Carneiro

Eduardo é jornalista formado pela Cásper Líbero e trabalhou em sites como Gazeta Esportiva, Terra e UOL ao longo da carreira. Na Konduto desde junho de 2019, escreve sobre as novidades do mundo da fraude e arrisca imitações de celebridades.

Mais posts de Eduardo Carneiro