If you're seeing this message, it means we're having trouble loading external resources on our website.

Se você está atrás de um filtro da Web, certifique-se que os domínios *.kastatic.org e *.kasandbox.org estão desbloqueados.

Conteúdo principal

Curso: Segurança na Internet > Unidade 1

Lição 9: Mais informações sobre o reconhecimento e a prevenção de fraudes on-line
Faculdade, carreiras e mais
Segurança na Internet
Segurança de dados on-line
Mais informações sobre o reconhecimento e a prevenção de fraudes on-line
© 2024 Khan AcademyTermos de usoPolítica de privacidadeAviso de cookies

Ataques de phishing

Google Sala de Aula
A internet é uma rede de computadores cheia de informações valiosas, portanto há diversos mecanismos de segurança para proteger essas informações.
Contudo, há um elo fraco nesses mecanismos: o ser humano. Se o usuário fornecer livremente suas informações pessoais ou acesso ao seu computador, torna-se muito mais difícil para os mecanismos de segurança proteger suas informações e dispositivos.
Um ataque de phishing é uma tentativa de enganar um usuário para que ele divulgue suas informações privadas.
Ilustração de um ataque de phishing. Um criminoso tem uma linha de pesca com um anzol fincado em um navegador. O navegador tem um campo de senha preenchido com "UsersR3alP@ssword".
Um phisher (criminoso que pratica ataques de phishing) usa uma isca tentadora, um site persuasivo. Se o usuário morde a isca, então o phisher consegue "pescar" algumas apetitosas informações privadas.

Um exemplo de ataque

Um ataque de phishing normalmente começa com um e-mail que afirma ser de um site legítimo, como um site bancário ou um site de uma loja on-line:
Captura de tela de um e-mail de phishing. O campo do Assunto do e-mail diz "Seu acesso ao PayPal foi bloqueado !". O e-mail foi enviado por "PayPal paypalaccounts@mailbox.com". No corpo do e-mail, há um título em destaque "Sua conta do PayPal está limitada, resolva o problema em 24 horas!"; o corpo do e-mail é "Caro cliente PayPal, Lamentamos informar que você não pode acessar todos os recursos da conta paypal, como pagamentos e transferência de dinheiro. Clique aqui para resolver o problema de sua conta agora. Por que ela está bloqueada? Porque acreditamos que sua conta corre o risco de ser roubada e utilizada sem autorização. Como posso resolver o problema? Confirme todos as suas informações em nosso servidor. Clique no link abaixo e siga todos os passos. Confirme as informações da conta agora". Há duas partes do texto com hyperlink.
Um e-mail que afirma ser do PayPal
O objetivo do e-mail é obter informações privadas do usuário, então é pedido ao destinatário que responda com informações pessoais ou é fornecido um link para um site que se parece muito com o original:
Captura de tela de um site de phishing. O navegador mostra o título da página como "Acesse sua conta PayPal". A barra de endereço mostra "paypal--accounts.com". A área principal da tela contém uma caixa de login com o logotipo do PayPal: um campo para inserir e-mail ou número de telefone, um campo para inserção da senha e um botão "Conectar".
Um site que afirma ser a tela de acesso do PayPal
Se o usuário for convencido e inserir informações privadas no site, essas informações vão parar nas mãos do criminoso! Se o usuário preencher os campos com informações de acesso, o criminoso pode usar essas credenciais para acessar o site real, ou se o usuário fornecer informações do cartão de crédito, o criminoso pode usar o cartão para fazer compras em qualquer lugar.

Sinais de um ataque de phishing

Felizmente, há alguns sinais que revelam as fraudes de phishing.

Endereço de e-mail suspeito

E-mails de phishing geralmente são enviados de endereços em domínios que não pertencem à empresa legítima.
Captura de tela do e-mail de phishing recortado para mostrar apenas a linha do remetente. O e-mail foi enviado por "PayPal paypalaccounts@mailbox.com". O endereço de e-mail está destacado com um círculo.
Parece que o e-mail foi enviado pelo PayPal, mas na verdade foi enviado por mailbox.com.
Por outro lado, um endereço de e-mail legítimo não é uma garantia de que um e-mail seja 100% seguro. Criminosos podem ter descoberto uma forma de falsificar o endereço de e-mail legítimo ou podem ter hackeado a empresa para ter controle do e-mail verdadeiro.

URL suspeita

Os e-mails de phishing muitas vezes vão fornecer links para um site com uma URL que parece legítima, mas na verdade é um site controlado pelo criminoso.
Captura de tela de um site de phishing recortado para mostrar somente a barra de endereço. O navegador mostra o título da página como "Acesse sua conta PayPal". A barra de endereço mostra "paypal--accounts.com". O endereço está destacado com um círculo.
A URL contém o termo "paypal", mas não é um domínio PayPal verdadeiro.
Os criminosos usam diversas estratégias para fazer URLs tentadoras:
  • Erros de digitação da URL original ou do nome da empresa. Por exemplo, "goggle.com" em vez de "google.com".
  • Uma grafia que usa caracteres de aparência semelhante, mas que são de outros alfabetos. Por exemplo, "wikipediа.org" versus "wikipedia.org". As letras "e" e "a" são, na verdade, caracteres diferentes nesses dois domínios.
  • Subdomínios que se parecem com o nome do domínio. Por exemplo, "paypal.accounts.com" em vez de "accounts.paypal.com". A empresa PayPal é dona do segundo domínio, mas não tem nenhum controle sobre o primeiro.
  • Um domínio de nível superior (TLD) diferente. Por exemplo, "paypal.io" versus "paypal.com". Empresas populares tentam comprar seu domínio com os TLDs mais comuns, como ".net", ".com" e ".org", mas há centenas de TLDs.
Mesmo que um criminoso não tenha encontrado uma URL parecida para hospedar sua página maliciosa, ele ainda pode tentar disfarçar a URL no HTML.
Considere este texto de aparência legítima:
Visite www.paypal.com para alterar sua senha.
Agora, tente clicar no link. Você não foi direcionado para a página do PayPal, não é? Isso porque o texto de um link não é igual ao destino do link.
Veja como está no HTML:
Visite <a href="https://www.khanacademy.org/computer-programming/this-isnt-the-right-page/5778954880073728">www.paypal.com</a> para alterar sua senha.
Um criminoso pode disfarçar links dessa forma em uma mensagem de e-mail ou em uma página. Sempre que você clicar em um link duvidoso, é importante verificar a URL na barra do navegador para ver em que página seu navegador realmente está.

Conexões HTTP não seguras

Todo site que pede informações sensíveis deveria usar HTTPS para criptografar as informações enviadas pela internet.
Sites de phishing nem sempre fazem um esforço extra para usar HTTPS.
Captura de tela de um site de phishing recortado para mostrar somente a barra de endereço. O navegador mostra o título da página como "Acesse sua conta PayPal". A barra de endereço mostra "Não seguro" e a URL "paypal--accounts.com". O aviso "Não seguro" está destacado com um círculo.
A URL não está protegida por HTTPS, portanto o navegador exibe o aviso "Não seguro".
Contudo, de acordo com um relatório, mais de dois terços dos sites de phishing usavam HTTPS em 2019, portanto uma URL segura não necessariamente significa uma URL legítima. 1

Solicitações de informações sensíveis

E-mails de phishing geralmente pedem para você responder com informações pessoais ou preencher um formulário em um site. A maioria das empresas legítimas não necessitam que você confirme informações pessoais após a criação da conta original.
Captura de tela de um site de phishing recortado para mostrar somente a área de login. A área tem o logotipo do PayPal: um campo de entrada para e-mail ou número de telefone, um campo para a senha e um botão "Conectar". Os campos de e-mail e senha estão destacados com círculos.

Táticas de urgência e medo

Os e-mails de phishing usam manipulação psicológica para baixar nossa guarda e nos fazer respondê-los rapidamente, sem pensar nas consequências.
Captura de tela de um e-mail de phishing recortado para mostrar a parte do corpo do e-mail. Nele, o título é "Sua conta PayPal está limitada, resolva em 24 horas!" e o texto é "Caro cliente PayPal, Lamentamos informar que você não pode acessar todos os recursos da sua conta paypal, como pagamento e transferência de dinheiro. Clique aqui para resolver os problemas da sua conta agora. Por que ela está bloqueada? Porque acreditamos que sua conta corre o risco de ser roubada e usada de forma não autorizada". O título e a parte final estão destacados com círculos.

Como lidar com um ataque de phishing

A sofisticação dos ataques de phishing varia, portanto alguns e-mails serão obviamente falsos, enquanto outros podem ser incrivelmente convincentes.
Se você suspeitar que um e-mail é um ataque de phishing, não clique em nenhum link nem baixe nenhum arquivo anexo.
Encontre outra forma de entrar em contato com o suposto remetente para ver se o e-mail é legítimo. Se o e-mail for de uma empresa, você pode pesquisar on-line o número de telefone dela. Se for de um amigo ou colega, você pode enviar uma mensagem ou ligar para ele.

Spear phishing

Há um novo tipo de phishing que é ainda mais popular e perigoso: o spear-phishing. Em vez de mandar um e-mail parecido para diversos usuários, um spear phisher (criminoso que faz uso dessa técnica) vai pesquisar um único usuário e enviar um e-mail especificamente para ele.
Ataques de spear phishing geralmente visam a uma pessoa dentro de uma organização, com o objetivo de obter acesso às informações dessa organização.
Um dos meus colegas recebeu este e-mail de spear phishing que afirmava ser do próprio Sal Khan:
Captura de tela de um e-mail com o assunto "Solicitação", o remetente "Sal Khan executivee197@gmail.com", e com o corpo do texto que diz "Quando tiver um minuto, por favor me envie um e-mail. Atenciosamente, Sal Khan, CEO"
Felizmente, esse foi um e-mail de spear phishing óbvio devido ao endereço de e-mail do remetente.
Mas nem todas as tentativas de spear phishing são tão óbvias e nem todos os alvos estão tão vigilantes. Se uma única pessoa em uma organização acidentalmente revela suas credenciais ou baixa malware em seu computador de trabalho, um criminoso pode potencialmente violar todo o banco de dados da empresa. Não são as informações de uma única pessoa, são informações de milhares ou milhões de pessoas. 😬
🔍 Você consegue identificar uma fraude de phishing? Teste suas habilidades com este Phishing Quiz do Google.
🙋🏽🙋🏻‍♀️🙋🏿‍♂️Você ficou com alguma dúvida sobre esse tópico? Adoraríamos responder! Basta nos perguntar na área de dúvidas abaixo!

Quer participar da conversa?

Entrar
Nenhuma postagem por enquanto.
Você entende inglês? Clique aqui para ver mais debates na versão em inglês do site da Khan Academy.