Conteúdo principal
Curso: Segurança na Internet > Unidade 1
Lição 9: Mais informações sobre o reconhecimento e a prevenção de fraudes on-lineAtaques de phishing
A internet é uma rede de computadores cheia de informações valiosas, portanto há diversos mecanismos de segurança para proteger essas informações.
Contudo, há um elo fraco nesses mecanismos: o ser humano. Se o usuário fornecer livremente suas informações pessoais ou acesso ao seu computador, torna-se muito mais difícil para os mecanismos de segurança proteger suas informações e dispositivos.
Um ataque de phishing é uma tentativa de enganar um usuário para que ele divulgue suas informações privadas.
Um exemplo de ataque
Um ataque de phishing normalmente começa com um e-mail que afirma ser de um site legítimo, como um site bancário ou um site de uma loja on-line:
O objetivo do e-mail é obter informações privadas do usuário, então é pedido ao destinatário que responda com informações pessoais ou é fornecido um link para um site que se parece muito com o original:
Se o usuário for convencido e inserir informações privadas no site, essas informações vão parar nas mãos do criminoso! Se o usuário preencher os campos com informações de acesso, o criminoso pode usar essas credenciais para acessar o site real, ou se o usuário fornecer informações do cartão de crédito, o criminoso pode usar o cartão para fazer compras em qualquer lugar.
Sinais de um ataque de phishing
Felizmente, há alguns sinais que revelam as fraudes de phishing.
Endereço de e-mail suspeito
E-mails de phishing geralmente são enviados de endereços em domínios que não pertencem à empresa legítima.
Por outro lado, um endereço de e-mail legítimo não é uma garantia de que um e-mail seja 100% seguro. Criminosos podem ter descoberto uma forma de falsificar o endereço de e-mail legítimo ou podem ter hackeado a empresa para ter controle do e-mail verdadeiro.
URL suspeita
Os e-mails de phishing muitas vezes vão fornecer links para um site com uma URL que parece legítima, mas na verdade é um site controlado pelo criminoso.
Os criminosos usam diversas estratégias para fazer URLs tentadoras:
- Erros de digitação da URL original ou do nome da empresa. Por exemplo, "goggle.com" em vez de "google.com".
- Uma grafia que usa caracteres de aparência semelhante, mas que são de outros alfabetos. Por exemplo, "wikipediа.org" versus "wikipedia.org". As letras "e" e "a" são, na verdade, caracteres diferentes nesses dois domínios.
- Subdomínios que se parecem com o nome do domínio. Por exemplo, "paypal.accounts.com" em vez de "accounts.paypal.com". A empresa PayPal é dona do segundo domínio, mas não tem nenhum controle sobre o primeiro.
- Um domínio de nível superior (TLD) diferente. Por exemplo, "paypal.io" versus "paypal.com". Empresas populares tentam comprar seu domínio com os TLDs mais comuns, como ".net", ".com" e ".org", mas há centenas de TLDs.
Mesmo que um criminoso não tenha encontrado uma URL parecida para hospedar sua página maliciosa, ele ainda pode tentar disfarçar a URL no HTML.
Considere este texto de aparência legítima:
Visite www.paypal.com para alterar sua senha.
Agora, tente clicar no link. Você não foi direcionado para a página do PayPal, não é? Isso porque o texto de um link não é igual ao destino do link.
Veja como está no HTML:
Visite <a href="https://www.khanacademy.org/computer-programming/this-isnt-the-right-page/5778954880073728">www.paypal.com</a> para alterar sua senha.
Um criminoso pode disfarçar links dessa forma em uma mensagem de e-mail ou em uma página. Sempre que você clicar em um link duvidoso, é importante verificar a URL na barra do navegador para ver em que página seu navegador realmente está.
Conexões HTTP não seguras
Todo site que pede informações sensíveis deveria usar HTTPS para criptografar as informações enviadas pela internet.
Sites de phishing nem sempre fazem um esforço extra para usar HTTPS.
Contudo, de acordo com um relatório, mais de dois terços dos sites de phishing usavam HTTPS em 2019, portanto uma URL segura não necessariamente significa uma URL legítima.
Solicitações de informações sensíveis
E-mails de phishing geralmente pedem para você responder com informações pessoais ou preencher um formulário em um site. A maioria das empresas legítimas não necessitam que você confirme informações pessoais após a criação da conta original.
Táticas de urgência e medo
Os e-mails de phishing usam manipulação psicológica para baixar nossa guarda e nos fazer respondê-los rapidamente, sem pensar nas consequências.
Como lidar com um ataque de phishing
A sofisticação dos ataques de phishing varia, portanto alguns e-mails serão obviamente falsos, enquanto outros podem ser incrivelmente convincentes.
Se você suspeitar que um e-mail é um ataque de phishing, não clique em nenhum link nem baixe nenhum arquivo anexo.
Encontre outra forma de entrar em contato com o suposto remetente para ver se o e-mail é legítimo. Se o e-mail for de uma empresa, você pode pesquisar on-line o número de telefone dela. Se for de um amigo ou colega, você pode enviar uma mensagem ou ligar para ele.
Spear phishing
Há um novo tipo de phishing que é ainda mais popular e perigoso: o spear-phishing. Em vez de mandar um e-mail parecido para diversos usuários, um spear phisher (criminoso que faz uso dessa técnica) vai pesquisar um único usuário e enviar um e-mail especificamente para ele.
Ataques de spear phishing geralmente visam a uma pessoa dentro de uma organização, com o objetivo de obter acesso às informações dessa organização.
Um dos meus colegas recebeu este e-mail de spear phishing que afirmava ser do próprio Sal Khan:
Felizmente, esse foi um e-mail de spear phishing óbvio devido ao endereço de e-mail do remetente.
Mas nem todas as tentativas de spear phishing são tão óbvias e nem todos os alvos estão tão vigilantes. Se uma única pessoa em uma organização acidentalmente revela suas credenciais ou baixa malware em seu computador de trabalho, um criminoso pode potencialmente violar todo o banco de dados da empresa. Não são as informações de uma única pessoa, são informações de milhares ou milhões de pessoas. 😬
🔍 Você consegue identificar uma fraude de phishing? Teste suas habilidades com este Phishing Quiz do Google.
🙋🏽🙋🏻♀️🙋🏿♂️Você ficou com alguma dúvida sobre esse tópico? Adoraríamos responder! Basta nos perguntar na área de dúvidas abaixo!
Quer participar da conversa?
Nenhuma postagem por enquanto.