De acordo com o relatório da Axur sobre atividade criminosa online no Brasil, apenas no último trimestre de 2020, foram identificados 8.569 casos de phishing. O número referente ao ano completo também chama atenção, tendo sido identificados 48.137 casos, representando um aumento de 99,23% de casos de 2019 para 2020. O setor que se destaca em número de casos de phishing é o e-commerce, sendo líder no número de ataques realizados no último trimestre de 2020, contabilizando 45% do volume de golpes.  

Algumas empresas especializadas em segurança digital identificaram alguns temas em comum nas tentativas de phishing no ano de 2020, sendo eles temas de destaque na mídia, como golpes envolvendo medidas de segurança conta a covid, dados de pesquisas sobre o vírus, a doença e as vacinas, bem como tradicionais temas políticos, como questões de saúde pública e o movimento Black Lives Matter (Vidas Negras Importam).

Diante desses números, de acordo com o mencionado relatório, as prospectivas para 2021 não são muito melhores, podendo-se esperar um aumento no número de casos de golpes de modo geral. Mas o que é o phishing e como você pode fugir deste golpe? 

Golpe phishing

De acordo com definição dada pelo Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), o phishing é um “tipo de fraude por meio da qual um golpista tenta obter dados pessoais e financeiros de um usuário, pela utilização de meios técnicos e engenharia social. 

Esse golpe geralmente é aplicado por meio de envio de mensagens contendo formulários ou links de sites falsos e fraudulentos, os quais são enviados com a finalidade de capturar dados pessoais sensíveis dos usuários e consumidores. Para atrair a atenção do usuário/consumidor, essas mensagens geralmente se passam por comunicações oficiais de instituições conhecidas, como bancos, empresas ou sites populares (e-commerces), e assim, induzem o usuário a fornecer os dados por meio do acesso a páginas falsas, ou por meio da instalação de códigos maliciosos, ou por meio do preenchimento de formulários. 

Essas mensagens podem apresentar uma diversidade de temas, no entanto, geralmente, os temas dizem respeito a tópicos populares na mídia na época do golpe. A Cartilha de Segurança para Internet do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil, reúne alguns exemplos comuns desse tipo de golpe: 

• Páginas falsas de e-commerce ou Internet Banking: É enviada mensagem em nome do e-commerce ou site da instituição financeira, contendo link para uma página falsa, mas que se parece com a página verdadeira da empresa. Nessa página, serão solicitados dados pessoais sensíveis. 
• Páginas falsas de redes sociais ou companhias aéreas: Da mesma forma que a anterior, a mensagem é enviada em nome da rede social ou companhia área que você costuma utilizar, contendo link para uma página falsa. Nessa página serão solicitados seu login e senha, os quais poderão posteriormente ser acessados pelo golpista, que passarão a ter acesso ao seu login nos sites verdadeiros e poderão, portanto, efetuar ações em seu nome. 
• Mensagens contendo formulários: A mensagem eletrônica enviada contém formulário com solicitações de dados pessoais sensíveis. A mensagem solicita o preenchimento do formulário e o envio, ao enviar o formulário preenchido, os golpistas terão acesso aos seus dados. 
• Mensagens contendo links para códigos maliciosos: A mensagem eletrônica enviada contém link para baixar e executar determinado arquivo. Ao baixá-lo, aparecerá uma mensagem de erro ou uma janelo pedindo para que o arquivo seja salvo. Após isso, quando o arquivo for executado, o código malicioso será instalado no computador.
• Solicitação de recadastramento: A mensagem eletrônica enviada, que se passa por serviço de suporte de instituição de ensino ou empresa em que você trabalha, informa que o serviço de e-mail está passando por manutenção e se faz necessário o recadastramento, necessitando que você forneça dados pessoais, como login e senha. 

Alguns outros exemplos muito comuns durante o ano de 2020 foram: mensagens contendo links de sites ou aplicativos com informações sobre o Corona Vírus, as vacinas e métodos de prevenção; mensagens eletrônicas solicitando a participação em pesquisas de opinião e pedidos de download relacionadas ao movimento Black Lives Matter (Vidas Negras Importam); mensagens se passando pela empresa Microsoft, mencionando a necessidade de falsas atualizações de aplicativos ou arquivos ou oferecendo treinando a funcionários relacionado à medidas de higiene e proteção contra o Corona Vírus, sempre visando o acesso às credenciais do Office 365; outra tendencia verificada, principalmente na época da Black Friday, foram mensagens eletrônicas que se passavam pela Amazon e solicitavam informações para resolver problemas com pedidos reais realizados no site; mensagens eletrônicas se passando pela Netflix e oferecendo assinatura gratuita, solicitando dados pessoais para garantir uma conta gratuita; entre outros. 

Segundo o executivo Fábio Ramos, CEO da Axur, no ano de 2021 vale ficar atento à possíveis ataques envolvendo o sistema de pagamentos e transferências desenvolvido pelo Banco Central (BC), o Pix. Por ser um sistema novo, poucos golpes foram registrados no fim de 2020, no entanto, o número de ataques envolvendo o Pix tem tendencia a crescer ao longo de 2021, uma vez que muitas pessoas vêm aderindo à essa forma de pagamento.

Spam Vs. Phishing 

O phishing não é a mesma coisa que um spam. A principal diferença entre eles reside na finalidade da mensagem, ou seja, o golpista que se utiliza de phishing tem a finalidade de obter vantagem em detrimento do usuário/consumidor. Já o spam é apenas lixo eletrônico, anúncios indesejados e não golpes. 

Como se proteger

A melhor forma de prevenção contra o phishing é o ceticismo. Fique atento a esses tipos de mensagens descritas aqui e desconfie. Na dúvida, não abra a mensagem, não responda formulários, não clique em links. Busque sempre o contato direto com a empresa responsável, a qual supostamente enviou a mensagem, para verificar as informações. 

Se não há relação prévia entre você e a empresa/instituição que supostamente te enviou a mensagem, questione-se o porquê de ela estar solicitando informações ou requisitando o preenchimento de formulários e o download de arquivos. E ainda que você tenha relação com a empresa/instituição, não considere que a mensagem é confiável sem checar as informações diretamente na fonte. 

Antes de clicar em um link desconhecido, verifique-o primeiro. Geralmente os golpistas possuem técnicas para esconder o link real que o direcionará para o phishing. Você pode realizar a verificação posicionando o mouse sobre o link, o qual, possivelmente, mostrará o link real da página falsa. 

Ademais, sempre verifica a conexão da página. Geralmente e-commerces e Internet Banking utilizam-se de conexões seguras, principalmente ao solicitas informações e dados sensíveis dos usuários e consumidores. 

Por fim, utilize sempre mecanismos de cibersegurança, como programas antimalware e antiphishing. Mantenha os softwares de segurança sempre atualizados e ativos.

Escrito por Nícolas Fabeni.