Phishing: por que o golpe que mais afeta brasileiros ainda funciona?

A pesquisa TIC Domicílios, realizada pelo Cetic (Centro Regional de Estudos para o Desenvolvimento da Sociedade da Informação), revela que já somos mais de 126,9 milhões de brasileiros com acesso à internet. A maioria das pessoas (97%) costuma navegar usando um dispositivo móvel.

Essa notícia agrada muita gente, mas também os cibercriminosos. Com uma quantidade massiva de usuários pronta para clicar em qualquer link, as ameaças digitais tendem a se espalhar rapidamente.

Segundo o relatório Atividade Criminosa On-line no Brasil, da Axur, o país registrou no quarto trimestre de 2019 um aumento de 231,5% nos casos de phishing. Os meses mais ativos foram novembro (2.908 casos únicos) e dezembro (3.123 casos únicos), coincidindo com o período de compras.

Há uma série de motivos que “favorecem”o cibercriminoso neste momento. De acordo com a Confederação Nacional da Indústria (CNI), cerca de 70% dos brasileiros esperam saldões do tipo para fazer compras de maior valor.

Em épocas como a Black Friday, por exemplo, a quantidade de fraudes tende a ganhar expressividade. Isto não é uma exclusividade da data, por outro lado. Em praticamente qualquer outra ocasião (ou assunto que chame atenção), criminosos tentam se aproveitar:

• Cibercriminosos espalham documentos com malwares sobre coronavírus
• Criminosos usam Nubank e Santander para roubar senhas de cartão
• Novo golpe no WhatsApp envolve Bolsa Família e “pesca” 1 milhão de pessoas (UOL)
• Novo golpe no WhatsApp promete material escolar para beneficiários do Bolsa Família (Olhar Digital)

O ‘modus operandi‘ é quase sempre o mesmo: criminosos aproveitam assuntos em alta para criar campanhas; alimentam a divulgação em redes sociais, WhatsApp e até anúncios; criam páginas falsas e enviam e-mails para as vítimas; adicionam tom alarmante nas mensagens; tentam atingir o máximo possível de pessoas antes de derrubarem o funcionamento.

Promoções “imperdíveis”

Por exemplo, as famosas promoções imperdíveis em épocas de compras quase sempre são golpe. Se você vir aquela TV 4K de 55″ por R$ 900 em um e-commerce um tanto duvidoso, desconfie totalmente. Ainda mais considerando, entre outros, o teor da mensagem: normalmente, promoções assim acabam muito rápido e o estoque é ínfimo.

Há, além dos golpes envolvendo dinheiro, os que visam roubar dados de usuários; o que não significa, necessariamente, que não podem ter prejuízo financeiro para a vítima.

Nestes casos, o mesmo tom alarmante é usado, com mensagens como “sua conta será deletada”; ou “sua caixa de e-mail está cheia, clique aqui para ganhar mais espaço”.

Atacantes utilizam meios baratos (ou gratuitos) de disseminação (WhatsApp, Facebook, e-mail) para atingir o máximo de pessoas.

A técnica pode envolver um anexo malicioso (PDF, DOC) ou um link para uma página falsa, por exemplo. O que elas têm em comum é exatamente a exploração do emocional do indivíduo, que pode se sentir vulnerável ao receber a mensagem.

“Ataques por phishing são um problema crescente no mundo todo. Eles são extremamente eficientes, pois exploram o ponto mais vulnerável: as pessoas”, afirma Denis Lourenço, coordenador de Segurança da Informação da HostGator.

Leia também: Dia da Internet Segura: 3 dicas para prevenir riscos com IoT

Em casos do tipo, a dica imprescindível é buscar informações. Criminosos tendem a usar, entre outros, nomes de empresas grandes e populares para atingir mais pessoas. Portanto, ao receber um e-mail ou outra comunicação de empresas, o recomendado é entrar em contato com elas por outros canais oficiais.

Gigantes como Apple, Microsoft, Google, Amazon nunca vão pedir sua senha por um e-mail de “confirmação”; da mesma forma, grandes e-commerces como Submarino, Netshoes, Magazine Luiza e outros não darão “40% de desconto” em troca de um CPF.

Como identificar páginas falsas?

Apesar de atingirem a vítima com mensagens preocupantes, golpes de phishing são identificáveis. O primeiro passo ao receber uma comunicação do tipo é se manter calmo e prestar atenção aos detalhes – além de não baixar nada sem antes ter certeza do que se trata.

Isso porque as estratégias dos criminosos estão se tornando mais sofisticadas, o que por vezes pode enganar usuários experientes. Segundo Lourenço, duas coisas podem ser feitas “de forma mais efetiva contra este tipo de golpe”:

• 1) Muito treinamento: “as empresas precisam investir em campanhas de conscientização sobre o assunto, e devem fazer campanhas diferentes para cada público, para serem mais efetivas”
• 2) Cuidado com credenciais: “devemos habilitar autenticação em dois fatores em todos os lugares possíveis. Desta forma, você pode até cair em um golpe de phishing, mas seus dados estarão protegidos”

Desta forma, é preciso estar atento a itens como:

• Páginas com certificado HTTPS (o cadeado que aparece ao lado da URL) também podem ser falsas, justamente porque criminosos tentam passar um ar de autenticidade
• URL’s também podem contar caracteres parecidos com os do alfabeto tradicional, porém de fora, para tornar as páginas mais parecidas com as originais
• URL parte 2: muitos domínios são registrados, por exemplo, como “twiitter.com”, com dois “i’s”
• Em e-mails, atenção ao domínio que está enviando a comunicação
• Golpes do tipo podem, por vezes, conter erros de português identificáveis

Para navegar em plena segurança, Lourenço explica que é preciso usar senhas seguras; usar algum aplicativo de gerenciamento de senha e não reutilizá-las; manter softwares (Sistemas Operacionais, aplicativos) sempre atualizados e evitar os piratas; além de não usar redes públicas de Wi-Fi.