Existem diversas maneiras de um cibercriminoso roubar os dados de uma pessoa. E-mail, mensagens de texto ou até mesmo ligações são alguns dos exemplos mais comuns.  Segundo a Federação Brasileira de Bancos, a cada minuto foram bloqueadas 110 tentativas na América Latina durante o ano de 2022. 

Com isso em mente, sabemos que o phishing não é mais novidade em todo o mundo, entretanto, entender como se prevenir desse ataque cibernético é muito importante. Veja no blog de hoje o que é de fato o phishing, suas etapas, como preveni-lo e como curiosidade, sua origem.

O que é phishing?

De origem da palavra “fishing”, que significa pescar, o phishing diz respeito aos “pescadores” de dados pessoais. Ou seja, quem pratica esse golpe tem como intenção roubar informações pessoais e bancárias, como dados de cartão de crédito ou senhas. Essa pesca acontece através do fingimento. Os hackers fingem ser uma pessoa ou empresa confiável, enganando quem recebe o contato. Normalmente, isso ocorre por e-mail ou mensagem, onde é enviado um link ou documento para download, que se clicados, dão total acesso a quem está por trás do envio.

Mas, é preciso estar atento por todos os lados. Veja a seguir quais são as etapas do phishing e como se prevenir desse ciberataque:

Quais são as etapas do phishing?

Existem 5 etapas do phishing: planejamento, preparação, ataque, coleta e fraude. Isso evidencia a complexidade que a maioria dos golpes cibernéticos possuem. Veja como cada uma delas se desenrola:

1. Planejamento: o público-alvo é escolhido, a interação para conseguir os dados é definida juntamente com a intenção desse roubo.
2. Preparação: o material que será a isca da vítima é preparado: textos, documentos, mensagens, entre outros.
3. Ataque: com todo o planejamento e preparação prontas, os criminosos partem para a ação com o envio das mensagens.
4. Coleta: a partir da coleta de dados obtida pelo clique no link ou documento enviado, as informações são reunidas para serem utilizadas no golpe final.
5. Fraude: é a principal etapa do processo de phishing. Ocorre quando os criminosos em posse dos dados coletados acessam contas, roubam dinheiro, criam novas identidades, entre outras ações.

Maneiras de prevenir o phishing

Agora que você sabe como o phishing funciona na prática, que tal aprender maneiras de prevenir o phishing? Essa é uma parte fundamental deste conteúdo, já que este ciberataque pode trazer prejuízos intangíveis para sua vida. Fique atento!

1. Não confie em tudo que receber 

Certifique-se de que o que está recebendo é realmente do destinatário, checando se o endereço está correto. Qualquer alteração pequena já é sinal de alerta. Também analise com muito critério os arquivos recebidos. Se o assunto foi muito diferente do comum, desconfie!

2. Mantenha os sistemas, antivírus e firewalls atualizados

Com as atualizações automáticas, mesmo que o computador não proteja 100%, pode evitar a instalação de programas maliciosos e corrigir falhas, deixando você um pouco menos vulneráveis. Além disso, manter os softwares atualizados ajuda a detectar mensagens suspeitas, e também, no caso do firewall, criam uma barreira contra esses e-mails.

3. Proteja aqueles com maior poder de decisão

Hackers buscam pessoas que tenham o que ser roubados. Por isso, podem atacar executivos com poder de efetuar pagamentos ou transferências, por exemplo. Utilizar uma máquina atualizada, com todos os softwares em dia, é mais do que essencial, nesse caso.

4. Avalie a interação com clientes

Realizar flood com anúncios, propagandas e mensagens pode deixar os clientes irritados ou até mesmo desconfiados. Além disso, isso aumenta a chance dos criminosos utilizarem o endereço da sua empresa para realizar golpes.  Tome cuidado com a frequência que entra em contato com sua empresa e certifique-se de ser um conteúdo que transmita confiança e credibilidade!

5. Reforce com os usuários da rede questões de segurança

Para isso, ter um protocolo de segurança bem definido e explicado é essencial. Com ele, os usuários saberão o que fazer e o que não fazer e principalmente, estarão adeptos a perceber sinais de que algo está errado.

6. Utilize Autenticação de Dois Fatores (2FA): 

Implementar o 2FA é uma camada extra de segurança que requer não apenas a senha, mas também um código temporário enviado para um dispositivo confiável do usuário. Isso dificulta ainda mais o acesso não autorizado mesmo se a senha for comprometida.

7. Desconfie de ofertas e promoções suspeitas: 

Se receber ofertas ou promoções por e-mail que parecem ótimas para serem verdadeiras, é provável serem tentativas de phishing. Desconfie de e-mails que solicitam informações pessoais ou financeiras em troca de prêmios e benefícios.

8. Monitore de atividades Não Autorizadas: 

Verifique regularmente seu extrato bancário, histórico de transações e registros de login para identificar qualquer atividade suspeita que possa indicar uma tentativa de phishing bem-sucedida.

9. Faça backup regularmente: 

Em caso de comprometimento dos dados devido a um ataque de phishing, ter backups regulares dos dados importantes é fundamental para restaurar as informações e minimizar os impactos causados pelo incidente.

Quanto tempo dura um phishing?

Segundo estudos, o ciclo de vida de páginas falsas utilizadas nos esquemas de phishing é de até 24h em sua maioria. Pela Kapersky, que analisou mais de 5.000 páginas em 2021, cerca de 1.800 deixaram de estar ativos em poucas horas. Os especialistas apontam que a vida útil de uma página de phishing depende do tempo necessário para que os administradores dos servidores as identifiquem e eliminem. À medida que o tempo passa, aumenta a probabilidade de entrarem em bases de dados anti phishing, reduzindo as hipóteses de fazerem vítimas.

Como esse golpe surgiu?

O termo phishing passou a ser utilizado na década de 90, em um grupo de discussão chamado AOL formado por hackers. Nele, discutiam as primeiras táticas da fraude, com técnicas de engenharia social e troca de emails fakes. Foi nos anos 2000 que as coisas começaram a crescer, tendo como novo alvo os sites de compra e pagamento online, a exemplo do eBay e PayPal.

A lógica seguida era a seguinte:

Os clientes recebiam um e-mail falso de solicitação de atualização de cadastro, ao clicarem no link, os usuários informavam números de cartão de crédito, informações bancárias e pessoais. Semelhante ao que acontece hoje em dia, não é mesmo?