165 views 11 mins

O Brasil é líder mundial em golpes de phishing

em Destaques
terça-feira, 26 de outubro de 2021

Dean Coclin (*)

O Brasil foi o país mais afetado por tentativas de roubo de dados pessoais e financeiros de pessoas na internet ao longo 2020, segundo pesquisa sobre práticas de phishing e spam no mundo realizada pela Kaspersky, empresa internacional de segurança cibernética.

De acordo com a pesquisa, o percentual de usuários brasileiros que tentaram abrir links enviados para roubar dados pelo menos uma vez representa 19,9% dos internautas do país. Em segundo lugar no ranking vem Portugal (19,7%), seguido da França (17,9%), Tunísia (17,6%), Camarões (17,3%) e Venezuela (16,8%).

O crime de phishing, no Brasil, está previsto na Lei nº 12737, de 2012 (crimes de informática). De acordo com o Superior Tribunal de Justiça, a infração também pode ser qualificada como furto qualificado, previsto no art. 155, § 4º, inciso II, do Código Penal Brasileiro, pela utilização de fraude para obtenção de dados da vítima.

Brasil não está sozinho. No ano passado, os e-mails de spam representaram em média pouco mais de 50% de todo o tráfego global de e-mail. Além disso, o PhishLabs identificou um aumento de 47% nas tentativas de phishing entre 2020 e 2021. Eles se tornaram muito comuns: aqueles e-mails incômodos que inundam sua caixa de entrada, projetados apenas para desviar suas informações pessoais e mais confidenciais sem você saber.

A. – Por que é importante falar sobre phishing? – Phishing é um termo originado do inglês (pescaria) que na informática é um tipo de roubo de identidade online. Esta ação fraudulenta é caracterizada por tentativas de aquisição ilícita de dados pessoais de outra pessoa, sejam eles senhas, dados financeiros, dados bancários, números de cartão de crédito ou simplesmente dados pessoais.

O fraudador usa e-mail, aplicativos e sites que são projetados especificamente para roubar dados pessoais. O criminoso se faz passar por uma pessoa ou empresa confiável, enviando uma mensagem para atrair suas vítimas. Assim, ao enviar uma mensagem para um e-mail, aplicativo ou outra ferramenta, o fraudador apenas espera até que o destinatário a receba e abra a mensagem.

Em muitos casos, isso é suficiente para que a vítima caia no golpe. Em outras, é necessário que a vítima clique em um determinado link para que o criminoso tenha acesso às informações que deseja. Como em uma pescaria real, há mais de uma maneira de fisgar a vítima e esse tipo de crime está se tornando cada vez mais sofisticado. Os golpistas digitais tornaram-se adeptos a fazer e-mails fraudulentos parecerem exatamente iguais aos legítimos, geralmente de empresas ou estabelecimentos com os quais você está familiarizado e confia.

E-mails de phishing geralmente se fazem passar por empresas, mas contas de mídia social também são um alvo em alta, já que muitos usuários são mais descuidados em protegê-las. Os phishers vão atrás de qualquer um, mas tendem a visar CEOs e CFOs, escritórios de advocacia, recursos humanos e instituições financeiras. Além disso, nos últimos anos, as lojas online e as redes sociais têm visto um aumento nos ataques. Esses grupos têm dados de clientes e informações confidenciais que os invasores visam e precisam estar em alerta máximo para se protegerem de golpes de phishing.

B. – A diferença entre phishing e spam – Embora muitas pessoas acreditem que seja a mesma coisa, o phishing é muito diferente do spam. Na prática, enquanto o spam está relacionado apenas a uma grande quantidade de emails e mensagens, sem qualquer finalidade criminosa, o phishing, como se vê, é uma prática que visa prejudicar a vítima, acessando dados e informações pessoais.

Geralmente, o spam é bastante comum na Internet. Todos os dias, inúmeras mensagens de sites, lojas e aplicativos preenchem a caixa de entrada da maioria dos usuários. Apenas cria o transtorno com a desorganização da caixa de entrada, mas não representa nenhum risco para o destinatário.

Por outro lado, o phishing utiliza o envio de mensagens em massa para enganar o alvo, induzindo-o a clicar em links falsos e / ou fornecer informações pessoais, sempre com o objetivo de prejudicar a vítima.

C. – Como se proteger e sua empresa contra phishing – Existem no mercado softwares anti-phishing, com filtros anti-spam eficazes, que avisam sobre indícios de irregularidades nos e-mails. Quanto aos sites, existem antivírus e firewalls que fazem a varredura e notificam irregularidades ou bloqueiam o acesso, quando detectam qualquer possibilidade de fraude.

Seguindo essas 10 dicas, você estará no caminho certo para se tornar um especialista em defesa contra golpes de phishing.

  1. Em vez de clicar em um link em um e-mail, abra uma nova página do navegador e digite o endereço / URL do site que você pretende visitar. Às vezes, um link fraudulento será muito semelhante a um confiável, apenas alterando algumas letras imperceptíveis.
  2. Atualize o sistema operacional e o software do navegador. As versões mais recentes da maioria dos navegadores vêm equipadas com filtros anti-phishing. À medida que os invasores planejam novos ataques, as atualizações de software aprimoram seus filtros.
  3. É uma boa ideia bloquear pop-ups ao navegar na Internet. Você pode navegar na web sem a ajuda de instruções não solicitadas.
  4. Nunca insira informações pessoais em janelas pop-up, a menos que tenha total certeza de que são do site pretendido.
  5. Para uso diário do computador, use uma conta de usuário padrão em vez de uma conta de administrador. Mude para a conta de administrador apenas quando as funções de administrador forem necessárias. Isso protege seu computador, reduzindo o acesso a funções administrativas críticas.
  6. Exclua e não abra mensagens de e-mail suspeitas. Pode ser tentador e, às vezes, o assunto pode ser cativante ou tão genérico que você deseja aprender mais – mas evite a tentação e simplesmente exclua-o.
  7. Aceite apenas certificados confiáveis em páginas da web. Não ignore os avisos do navegador. Às vezes recebemos tantos avisos de nosso computador ou navegador que é quase como o menino que gritou lobo. Não simplesmente ignore os avisos que você acha que viu sem lê-los completamente e considerar as implicações.
  8. Não clique em links que o levarão a um site ou endereço IP desconhecido.
  9. Esteja atento a quaisquer avisos inseguros do navegador. Por exemplo, o Chrome exibe um triângulo de aviso com “Não seguro” na barra de endereço se um site não tiver o protocolo de segurança HTTPS habilitado. Ative a proteção contra malware. Isso geralmente pode detectar e deter a maioria das ameaças sem que você precise fazer nada.
  10. Em geral, se você receber um e-mail de phishing, não o abra, não clique em nenhum link ou anexo e exclua-o imediatamente. Se você continua recebendo e-mails suspeitos, denuncie-os ao Grupo de Trabalho Anti-Phishing (APWG).

As organizações podem se proteger contra phishing habilitando a autenticação, relatório e conformidade de mensagens com base em domínio (DMARC). DMARC é um protocolo de e-mail que determina a autenticação e relatórios de e-mail para ajudar a prevenir phishing e spoofing.

Depois de habilitar e aplicar o DMARC, sua organização pode solicitar um Certificado de Marca Verificada (VMC) que permite que você coloque sua marca em marketing e comunicações por e-mail. Um VMC permite que você renderize o logotipo de sua marca no campo do remetente de clientes de
e-mail para que os usuários saibam que sua mensagem foi autenticada. É semelhante a ser verificado nas redes sociais, com os benefícios de segurança adicionais de validação e DMARC para proteção contra phishing.

O phishing é uma prática criminosa muito prejudicial no mundo virtual, que causa prejuízos financeiros, danos a equipamentos e danos morais. Os fraudadores estão continuamente em busca de novos temas e sistemas para capturar novas vítimas. Manter-se atualizado com as técnicas, truques e travessuras dos cibercriminosos e usar software anti-phishing, antivírus e firewall são as melhores maneiras de escapar dessa terrível ameaça.

(*) – É Diretor Sênior de Desenvolvimento de Negócios da DigiCert (www.digicert.com).