Dean Coclin (*)
O Brasil foi o país mais afetado por tentativas de roubo de dados pessoais e financeiros de pessoas na internet ao longo 2020, segundo pesquisa sobre práticas de phishing e spam no mundo realizada pela Kaspersky, empresa internacional de segurança cibernética.
De acordo com a pesquisa, o percentual de usuários brasileiros que tentaram abrir links enviados para roubar dados pelo menos uma vez representa 19,9% dos internautas do país. Em segundo lugar no ranking vem Portugal (19,7%), seguido da França (17,9%), Tunísia (17,6%), Camarões (17,3%) e Venezuela (16,8%).
O crime de phishing, no Brasil, está previsto na Lei nº 12737, de 2012 (crimes de informática). De acordo com o Superior Tribunal de Justiça, a infração também pode ser qualificada como furto qualificado, previsto no art. 155, § 4º, inciso II, do Código Penal Brasileiro, pela utilização de fraude para obtenção de dados da vítima.
Brasil não está sozinho. No ano passado, os e-mails de spam representaram em média pouco mais de 50% de todo o tráfego global de e-mail. Além disso, o PhishLabs identificou um aumento de 47% nas tentativas de phishing entre 2020 e 2021. Eles se tornaram muito comuns: aqueles e-mails incômodos que inundam sua caixa de entrada, projetados apenas para desviar suas informações pessoais e mais confidenciais sem você saber.
A. – Por que é importante falar sobre phishing? – Phishing é um termo originado do inglês (pescaria) que na informática é um tipo de roubo de identidade online. Esta ação fraudulenta é caracterizada por tentativas de aquisição ilícita de dados pessoais de outra pessoa, sejam eles senhas, dados financeiros, dados bancários, números de cartão de crédito ou simplesmente dados pessoais.
O fraudador usa e-mail, aplicativos e sites que são projetados especificamente para roubar dados pessoais. O criminoso se faz passar por uma pessoa ou empresa confiável, enviando uma mensagem para atrair suas vítimas. Assim, ao enviar uma mensagem para um e-mail, aplicativo ou outra ferramenta, o fraudador apenas espera até que o destinatário a receba e abra a mensagem.
Em muitos casos, isso é suficiente para que a vítima caia no golpe. Em outras, é necessário que a vítima clique em um determinado link para que o criminoso tenha acesso às informações que deseja. Como em uma pescaria real, há mais de uma maneira de fisgar a vítima e esse tipo de crime está se tornando cada vez mais sofisticado. Os golpistas digitais tornaram-se adeptos a fazer e-mails fraudulentos parecerem exatamente iguais aos legítimos, geralmente de empresas ou estabelecimentos com os quais você está familiarizado e confia.
E-mails de phishing geralmente se fazem passar por empresas, mas contas de mídia social também são um alvo em alta, já que muitos usuários são mais descuidados em protegê-las. Os phishers vão atrás de qualquer um, mas tendem a visar CEOs e CFOs, escritórios de advocacia, recursos humanos e instituições financeiras. Além disso, nos últimos anos, as lojas online e as redes sociais têm visto um aumento nos ataques. Esses grupos têm dados de clientes e informações confidenciais que os invasores visam e precisam estar em alerta máximo para se protegerem de golpes de phishing.
B. – A diferença entre phishing e spam – Embora muitas pessoas acreditem que seja a mesma coisa, o phishing é muito diferente do spam. Na prática, enquanto o spam está relacionado apenas a uma grande quantidade de emails e mensagens, sem qualquer finalidade criminosa, o phishing, como se vê, é uma prática que visa prejudicar a vítima, acessando dados e informações pessoais.
Geralmente, o spam é bastante comum na Internet. Todos os dias, inúmeras mensagens de sites, lojas e aplicativos preenchem a caixa de entrada da maioria dos usuários. Apenas cria o transtorno com a desorganização da caixa de entrada, mas não representa nenhum risco para o destinatário.
Por outro lado, o phishing utiliza o envio de mensagens em massa para enganar o alvo, induzindo-o a clicar em links falsos e / ou fornecer informações pessoais, sempre com o objetivo de prejudicar a vítima.
C. – Como se proteger e sua empresa contra phishing – Existem no mercado softwares anti-phishing, com filtros anti-spam eficazes, que avisam sobre indícios de irregularidades nos e-mails. Quanto aos sites, existem antivírus e firewalls que fazem a varredura e notificam irregularidades ou bloqueiam o acesso, quando detectam qualquer possibilidade de fraude.
Seguindo essas 10 dicas, você estará no caminho certo para se tornar um especialista em defesa contra golpes de phishing.
- Em vez de clicar em um link em um e-mail, abra uma nova página do navegador e digite o endereço / URL do site que você pretende visitar. Às vezes, um link fraudulento será muito semelhante a um confiável, apenas alterando algumas letras imperceptíveis.
- Atualize o sistema operacional e o software do navegador. As versões mais recentes da maioria dos navegadores vêm equipadas com filtros anti-phishing. À medida que os invasores planejam novos ataques, as atualizações de software aprimoram seus filtros.
- É uma boa ideia bloquear pop-ups ao navegar na Internet. Você pode navegar na web sem a ajuda de instruções não solicitadas.
- Nunca insira informações pessoais em janelas pop-up, a menos que tenha total certeza de que são do site pretendido.
- Para uso diário do computador, use uma conta de usuário padrão em vez de uma conta de administrador. Mude para a conta de administrador apenas quando as funções de administrador forem necessárias. Isso protege seu computador, reduzindo o acesso a funções administrativas críticas.
- Exclua e não abra mensagens de e-mail suspeitas. Pode ser tentador e, às vezes, o assunto pode ser cativante ou tão genérico que você deseja aprender mais – mas evite a tentação e simplesmente exclua-o.
- Aceite apenas certificados confiáveis em páginas da web. Não ignore os avisos do navegador. Às vezes recebemos tantos avisos de nosso computador ou navegador que é quase como o menino que gritou lobo. Não simplesmente ignore os avisos que você acha que viu sem lê-los completamente e considerar as implicações.
- Não clique em links que o levarão a um site ou endereço IP desconhecido.
- Esteja atento a quaisquer avisos inseguros do navegador. Por exemplo, o Chrome exibe um triângulo de aviso com “Não seguro” na barra de endereço se um site não tiver o protocolo de segurança HTTPS habilitado. Ative a proteção contra malware. Isso geralmente pode detectar e deter a maioria das ameaças sem que você precise fazer nada.
- Em geral, se você receber um e-mail de phishing, não o abra, não clique em nenhum link ou anexo e exclua-o imediatamente. Se você continua recebendo e-mails suspeitos, denuncie-os ao Grupo de Trabalho Anti-Phishing (APWG).
As organizações podem se proteger contra phishing habilitando a autenticação, relatório e conformidade de mensagens com base em domínio (DMARC). DMARC é um protocolo de e-mail que determina a autenticação e relatórios de e-mail para ajudar a prevenir phishing e spoofing.
Depois de habilitar e aplicar o DMARC, sua organização pode solicitar um Certificado de Marca Verificada (VMC) que permite que você coloque sua marca em marketing e comunicações por e-mail. Um VMC permite que você renderize o logotipo de sua marca no campo do remetente de clientes de
e-mail para que os usuários saibam que sua mensagem foi autenticada. É semelhante a ser verificado nas redes sociais, com os benefícios de segurança adicionais de validação e DMARC para proteção contra phishing.
O phishing é uma prática criminosa muito prejudicial no mundo virtual, que causa prejuízos financeiros, danos a equipamentos e danos morais. Os fraudadores estão continuamente em busca de novos temas e sistemas para capturar novas vítimas. Manter-se atualizado com as técnicas, truques e travessuras dos cibercriminosos e usar software anti-phishing, antivírus e firewall são as melhores maneiras de escapar dessa terrível ameaça.
(*) – É Diretor Sênior de Desenvolvimento de Negócios da DigiCert (www.digicert.com).
