O que é phishing? E como evitar golpes do tipo?

Introdução

Mensagens consideradas phishing (ou phishing scam) estão entre os maiores perigos da internet. Essas tentativas de fraudes chegam por e-mail, redes sociais, WhatsApp e afins, e podem resultar em consequências graves às vítimas, principalmente prejuízo financeiro.

É para te ajudar a se proteger contra esse perigo tão frequente que este texto foi escrito: nele, você vai entender o que é phishing, saberá como esse tipo de mensagem tenta te enganar e verá dicas sobre como se prevenir.

- O que é phishing?
- Principais perigos do phishing
- Phishing: como evitar
- Como o fraudador sabe que eu sou cliente de determinada empresa?
- E se o phishing tiver meu nome completo ou CPF?
- E se mensagem tiver sido enviada por uma pessoa conhecida?
- Dicas para se proteger do phishing
- Caí em em phishing. O que fazer?

O que é phishing?

O termo phishing faz alusão à palavra em inglês fishing, que significa "pescaria", em tradução livre. A associação com essa atividade não é mero acaso: o phishing scam é uma tentativa de fraude pela internet que utiliza "iscas", isto é, artifícios para atrair a atenção de uma pessoa e fazê-la realizar alguma ação.

Caso o indivíduo "morda a isca", poderá acabar informando dados bancários ou outras informações confidenciais a desconhecidos, percebendo apenas tardiamente que foi vítima de uma fraude on-line. Da mesma forma, poderá contaminar o seu computador ou smartphone com um vírus ou outro malware.

O phishing frequentemente chega por e-mail, mas também pode explorar outros meios, como SMS, redes sociais e serviços de mensagens instantâneas, como WhatsApp, Telegram e Facebook Messenger.

Normalmente, mensagens do tipo são criadas para parecerem emitidas por instituições conhecidas, como bancos, operadoras de telefonia, órgãos do governo (como a Receita Federal ou algum Detran) e administradoras de cartão de crédito, embora também possam se passar por pessoas físicas.

Essa é uma das principais características do phishing scam. Outra são os argumentos utilizados para convencer o usuário a clicar em um link ou arquivo duvidoso que acompanha a mensagem.


Principais perigos do phishing

Arroba - imagem ilustrativa Se uma pessoa receber uma mensagem de phishing scam e não perceber que está diante de um conteúdo fraudulento, poderá realizar uma ação que resultará em prejuízo financeiro ou em outros transtornos.

Um e-mail do tipo que se passa por aviso de banco, por exemplo, pode orientar o usuário a clicar em um link para atualizar um cadastro. Ao fazê-lo, a pessoa cairá em um site falso, mas bastante parecido ao da instituição bancária. Caso não note que aquela página não é legítima, ela fornecerá dados sigilosos, como número de conta corrente e senha de acesso à conta.

Esse tipo de fraude é tão comum que, hoje, muitos bancos usam medidas de proteção complementares, como exigir um código extra enviado por SMS ou aplicativo, ou permitir que o usuário acesse a conta apenas de celulares ou computadores cadastrados.

Em um esquema mais sofisticado, a mensagem pode conter um anexo ou link que direciona para uma malware. Se o usuário executá-lo, a praga se instalará em seu computador ou dispositivo móvel e poderá realizar uma série de ações, como registrar dados digitados, capturar arquivos do usuário ou monitorar suas atividades na web.

Outra consequência possível do phishing é confirmar que o e-mail ou número de celular do usuário está ativo. Depois disso, a pessoa passará a receber outras mensagens do tipo ou SPAM (e-mails não solicitados) e ainda poderá ser classificada como "alvo em potencial": ao executar a ação da primeira mensagem, ela indicou aos golpistas não saber identificar conteúdo enganoso.

Variações conseguem afetar o usuário em outros meios. Uma pessoa pode, por exemplo, aceitar um convite para um suposto jogo em uma rede social. Ao fazê-lo, o aplicativo malicioso pode emitir convites automaticamente para outros usuários. Estes, ao constatarem que o convite partiu de um conhecido, poderão aceitá-lo, dando continuidade ao esquema.

Não termina por aí. Outros exemplos de problemas: o computador do usuário, se contaminado por um malware, pode emitir SPAMs; contas em serviços on-line podem ser invadidas graças à captura de senhas e nomes de usuários; a pessoa pode fazer compras em um site fraudulento e, por esse motivo, não receber o produto; e assim por diante.


Phishing: como evitar

Com exceção para esquemas cuidadosamente elaborados, é relativamente fácil identificar um phishing scam. Isso porque algumas características são comuns à maioria dessas mensagens. Veja, a seguir, as principais delas.

O phishing se passa por mensagens de bancos, operadoras de celular, órgãos públicos, entre outros

Os responsáveis pelo phishing criam mensagens falsas que incorporam cores, logotipos, slogans e outras características da identidade de alguma instituição conhecida. O motivo é óbvio: fazer o usuário acreditar que aquela entidade está se comunicando com ele.

No Brasil, é bastante comum encontrar mensagens do tipo que se passam por comunicados de bancos, operadoras de cartão de crédito, companhias aéreas, serviços de redes sociais, desenvolvedoras de antivírus, entidades judiciais, lojas virtuais e assim por diante.

Não raramente, as mensagens têm falhas grosseiras no aspecto visual, como figuras faltantes, itens desalinhados ou imagens de qualidade ruim — uma instituição séria não deixaria erros do tipo ocorrerem.

Há, no entanto, e-mails fraudulentos ou perfis em redes sociais que são cópia fiel dos legítimos. Por isso, é importante observar outros aspectos da mensagem.

Erros gramaticais e ortográficos

Como dito no tópico anterior, instituições sérias, por se preocuparem com a sua imagem, não emitem comunicados grosseiros. Logo, se você se deparar com uma mensagem com erros ortográficos e gramaticais em nome de uma empresa ou órgão do governo, muito provavelmente estará diante de um phishing.

A imagem abaixo é um exemplo. Repare que, além do uso inadequado de pontuação, o texto tem erros ortográficos:

Erros em um e-mail falso em nome de um banco
Erros em um e-mail falso em nome de um banco

Links estranhos ou anexos suspeitos

É comum que esquemas de phishing usem links "confusos" (que você não seria capaz de guardar de cabeça) ou que, de alguma forma, se assemelham ao endereço legítimo da entidade mencionada na mensagem. Por exemplo, se o site da Empresa X é www.empresax.com.br, o e-mail pode ter um link do tipo www.empresax.dirt.com.

É possível também que a descrição do link aponte para o endereço legítimo do site da empresa, mas, ao passar o cursor do mouse por cima deste, o navegador ou cliente de e-mail mostre o link verdadeiro e, consequentemente, suspeito. Daí a importância de prestar atenção nesse detalhe.

Observe o exemplo abaixo. Nele, o navegador de internet mostra o link verdadeiro quando o cursor do mouse está posicionado acima do endereço descrito na mensagem. Perceba que o link real não tem nada a ver com a instituição mencionada:

Exemplo de link falso
Exemplo de link falso

Da mesma forma, também é importante se atentar aos arquivos anexados, especialmente se estes tiverem extensões como .exe ou .zip.

Argumentos alarmantes ou que instigam a curiosidade

Para que um phishing tenha efeito, é necessário que o usuário realize alguma ação: clicar em um link, abrir o anexo ou responder à mensagem, por exemplo. Para que isso ocorra, o responsável pela fraude costuma utilizar argumentos alarmantes, que estimulam a curiosidade, que despertam a sensação de urgência ou cause sensação de oportunidade.

Não é difícil entender o porquê: quando tomado por esses sentimentos, o indivíduo tende a raciocinar menos e agir impulsionado pela emoção. A seguir, os argumentos falsos mais comuns.

Envolvendo bancos:

  • A mensagem alega que o usuário tem uma dívida de empréstimo bancário e que seu nome irá ser registrado em órgãos de proteção ao crédito se o pagamento não for feito em tempo hábil;
  • A mensagem afirma que o usuário deve fazer um recadastramento para não ter o acesso à sua conta bloqueada;
  • A mensagem avisa sobre um novo módulo de proteção que deve ser instalado no computador;
  • A mensagem se passa por um comprovante de depósito supostamente feito na conta da pessoa;
  • A mensagem avisa que o login, chave de acesso ou token do usuário expirou, sendo necessário clicar em um link para renová-lo.

A imagem abaixo é um exemplo. Seu texto ameaça com o bloqueio de acesso à conta caso uma suposta sincronização de "token" não seja feita (tudo mentira):

E-mail falso em nome de banco com ameaça
E-mail falso em nome de banco com ameaça

Envolvendo cartões de crédito:

  • A mensagem se passa por um lançamento no cartão do usuário, muitas vezes de valor alto;
  • A mensagem se passa por uma fatura de cartão, muitas vezes com vencimento próximo;
  • A mensagem argumenta que o usuário tem pontos de fidelidade prestes a expirar.

Envolvendo entidades do governo:

  • A mensagem afirma que um documento (como Título de Eleitor ou CPF) será cancelado caso o usuário não clique no link ou anexo para atualizá-lo;
  • A mensagem alega que o usuário tem uma pendência de grande valor na Receita Federal ou que há irregularidades em sua declaração de Imposto de Renda;
  • A mensagem afirma que o usuário está sendo intimado por um órgão judicial ou autoridade policial;
  • A mensagem alega que a pessoa tem multas de trânsito ou irregularidades nos documentos do seu carro.

Envolvendo notícias e acontecimentos recentes:

  • A mensagem promete detalhes supostamente encobertos pela imprensa ou fotos fortes de uma tragédia de grande repercussão;
  • A mensagem promete informações exclusivas sobre escândalos políticos, celebridades ou denúncias.

Promessas de revelações:

  • A mensagem promete revelar fotos que mostram que a pessoa está sendo traída;
  • A mensagem promete revelar informações exclusivas a respeito de uma celebridade;
  • A mensagem promete revelações conclusivas sobre teorias de conspiração.

Promessas de prêmios, recompensas ou heranças:

  • A mensagem afirma que o usuário foi sorteado e ganhará passagens aéreas, carros, bônus ou prêmios em dinheiro;
  • A mensagem afirma que o usuário tem um prêmio pendente na loteria e que irá perdê-lo se não resgatá-lo nas próximas horas;
  • Uma pessoa se passa por um herdeiro de uma grande fortuna que necessita mudar de país por razões políticas e oferece uma compensação significativa, caso o usuário ajude-o neste processo — o velho golpe do "príncipe nigeriano" se encaixa aqui.

A imagem abaixo mostra um exemplo de phishing scam em nome de uma empresa de distribuição de benefícios para funcionários. O argumento utilizado é o de oferecer o dobro de bonificação após o usuário realizar um cadastro (é claro que é falso):

E-mail falso prometendo prêmio
E-mail falso prometendo prêmio

Mensagem enviada "por engano" ou demonstrando interesse:

  • A mensagem promete fotos íntimas de alguém ou de festas, sendo escrita de forma a fazer o usuário acreditar que o e-mail chegou a ele por engano, uma tentativa de alimentar a sua curiosidade;
  • A mensagem se passa por um contato de um admirador secreto desconhecido, mas que quer se revelar à pessoa.

Envolvendo redes sociais e serviços como WhatsApp:

  • A mensagem afirma que a conta do usuário em uma rede social será excluída ou passará a ser paga se determinada ação não for realizada;
  • A mensagem se passa por um recado ou convite de alguém numa rede social;
  • A mensagem afirma que o usuário foi marcado em fotos de uma pessoa, geralmente desconhecida, em uma rede social;
  • Mensagens chegam por WhatsApp (ou aplicativo semelhante) se passando por promoções de lojas, ofertas de emprego, truques para evitar impostos, notícias sensacionalistas, entre outros.

* * *

Esses são só alguns exemplos. Esquemas de phishing podem explorar vários outros argumentos para enganar, mas perceba que a ideia é, quase sempre, a de "fisgar" a pessoa a partir de um sentimento de alerta, curiosidade ou oportunidade.


Como o fraudador sabe que eu sou cliente de determinada empresa?

Se você recebeu um e-mail fraudulento em nome de um banco ou de uma companhia aérea, por exemplo, pode estar se perguntando: "como é que o emissor soube que eu sou cliente dessa empresa?" A verdade é que, na maioria absoluta das vezes, ele não sabe!

O que o fraudador geralmente faz é trabalhar com tentativas de acerto. A mensagem é disparada para milhares de pessoas de uma só vez porque o emissor sabe que uma parcela significativa delas provavelmente é, de fato, clientes de determinadas empresas.

Para tanto, às mensagens são atribuídas denominações de companhias que têm uma base de clientes muito grande e que, de preferência, tenham pouca concorrência. É por isso que nomes de bancos, companhias aéras, grandes redes varejistas e operadoras de telefonia costumam ser utilizados indevidamente nesse tipo de fraude.


E se o phishing tiver meu nome completo ou CPF?

Pode acontecer de o phishing ter seu nome completo, número de CPF ou outra informação pessoal. O objetivo aqui é óbvio: com esses dados, é mais fácil te convencer de algo.

Felizmente, esse tipo de mensagem é pouco comum. O que acontece é que, de alguma forma, o fraudador teve acesso a um banco de dados com cadastros de pessoas. Isso é possível, por exemplo, quando uma loja online é invadida ou quando um funcionário de uma empresa revende indevidamente informações.

Por isso, mesmo quando a mensagem contiver dados pessoais, não desconsidere a possibilidade de haver uma tentativa de golpe ali.


E se mensagem tiver sido enviada por uma pessoa conhecida?

Mesmo que uma mensagem suspeita tenha sido enviada a você por um amigo ou conhecido, desconfie e, se possível, questione a pessoa sobre a sua emissão. Não é raro acontecer de malwares conseguirem acessar e-mail, serviços de mensagens instantâneas ou redes sociais para propagar conteúdo malicioso sem o dono da conta perceber.


Dicas para se proteger do phishing

É praticamente impossível impedir que esquemas fraudulentos cheguem até você, mas alguns cuidados simples te ajudam a se livrar do perigo:

- o primeiro deles é observar as características da mensagem (visual, erros ortográficos, links suspeitos, argumentos persuasivos, entre outros), tal como explicado anteriormente;

- lembre-se de que avisos de dívidas, convocações judiciais ou solicitações de cadastramento, por exemplo, não costumam ser feitas por e-mail ou redes sociais, mas por correspondência enviada à sua residência ou local de trabalho. Não se deixe levar pelo tom ameaçador ou alarmista da mensagem;

- desconfie de ofertas muito generosas. Ninguém lhe dará prêmios de concursos que você não esteja participando ou oferecerá um produto com preço muito abaixo do que é praticado pelo mercado. Se for necessário que você pague alguma taxa ou faça alguma contribuição em dinheiro, pode ter certeza que se trata de fraude;

- tenha cuidado com a sua curiosidade e desconfie de notícias sensacionalistas, teorias de conspiração ou notícias que não podem ser confirmadas em veículos renomados;

- se tiver dúvidas sobre a legitimidade de uma mensagem, entre em contato com a empresa ou instituição mencionada por telefone ou site oficial para pedir esclarecimentos;

- use antivírus e atualize seus softwares, especialmente navegadores. Eles podem barrar cliques inadvertidos em arquivos ou links maliciosos;

- se tiver certeza de que uma mensagem é phishing, apague-a imediatamente. Você também pode marcá-la como SPAM, quando possível. Isso porque, dependendo do serviço utilizado, se um número expressivo de usuários marcar determinada mensagem como tal, ela poderá ser barrada automaticamente nas contas de outras pessoas;

- passe estas orientações para familiares, amigos, colegas de trabalho e outras pessoas próximas para evitar que elas sejam vítimas do problema.


Caí em em phishing. O que fazer?

Se você executou alguma ação por influência de um phishing, deve agir logo. Caso você tenha entrado em um site falso de banco e inseriu seus dados pessoais, por exemplo, deve contatar imediatamente a instituição bancária para bloquear a sua conta e obter nova senha. Já se você tiver passado dados do seu cartão de crédito, é importante contatar a operadora para cancelá-lo e verificar lançamentos não reconhecidos.

Se você clicou em um malware, é recomendável verificar seu computador ou dispositivo móvel com um antivírus atualizado e de confiança. Além disso, também pode ser uma boa ideia trocar senhas digitadas após a contaminação.

Em caso de prejuízo ou qualquer outro transtorno considerável, não hesite em procurar orientação de autoridades policiais ou judiciais.


Conclusão

Não existe tecnologia que consiga combater de maneira definitiva todos os perigos existentes na internet, por isso, a prevenção continua sendo a arma mais eficaz. Com relação ao phishing, se você seguir as orientações dadas aqui, vai diminuir enormemente as chances de ser vítima de um golpe do tipo.

Nos links abaixo, você encontra outras dicas importantes de segurança online:

Publicado em 12_05_2013. Atualizado em 14_04_2019.

Emerson Alecrim Autor: Emerson Alecrim
Graduado em ciência da computação, produz conteúdo sobre tecnologia desde 2001. É aficionado por TI, comunicação, ciência e cultura geek.
TwitterInstagramLinkedIn