Compartilhe esta publicação
Phishing: Cuidado, tem golpe novo no mercado
Não é novidade a ação de hackers que literalmente causam "o terror" em empresas e usuários comuns, mas o arsenal de vírus e táticas sujas para roubar dados, só aumenta.
Uma das técnicas mais utilizadas na atualidade para o roubo de dados é o Phishing, que significa pescaria em inglês. Essa técnica não demanda muito conhecimento de programação e é baseada exclusivamente na mentira.
O que é Phishing?
Trata-se de um tipo de ataque cibernético. Em suma, o Phishing nada mais é do que uma forma de enganar pessoas e organizações para adquirir de forma ilegal seus dados e informações privadas.
Esse tipo de ataque é chamado de Phishing, que como já dito significa pescaria, porque é como uma armadilha: O criminoso lança uma "isca" e nós "mordemos" o anzol.
Assim, ele consegue acessar nossos dados pela "porta da frente" por assim dizer, já que ao cairmos na sua lábia, passamos as informações a ele de bom grado, crendo que a mentira que ele contou é a mais pura verdade.
Imagem: Freepik
Modus Operandi
Neste tipo de ciberataque, podem ser usadas várias táticas e estratégias. O foco é gerar uma motivação, que pode ser o desespero da pessoa, mediante a uma chantagem, ou pelo gatilho da escassez, quando usa o apelo de uma promoção muito tentadora, geralmente baseada no seu histórico de pesquisa.
Também usam boletos falsos, ou ainda cópia de boletos reais, com código de barras alterados, como por exemplo multas de trânsito falsificadas.
Os links desses boletos falsos, geralmente levam a uma cópia do site original, tão perfeita que engana facilmente aos mais desatentos. Nesses, a dica para se livrar da enrascada é olhar a URL do site. Parece ser o original, mas com uma pequena alteração, como usando o zero no lugar de 'o', ou coisa similar.
No caso de boletos, podemos receber por e-mail ou pelos correios, frutos de acordos falsos combinados via telefonemas, por isso o cuidado deve ser redobrado. Apesar de ter muita informação disponível contra esse tipo de ataque, milhões de usuários caem nesse tipo de golpe.
O objetivo é roubar do usuário a senha de autenticação, ou fazê-lo pagar contas falsas em favor do criminoso.
Sua segurança
Dados de 2021 da empresa de segurança digital Kaspersky, acusam que mais de 150 milhões de brasileiros caíram em algum tipo de phishing. E esse ano um novo golpe está fazendo ainda mais vítimas.
Em pesquisa realizada pela AVAST também em 2021, com 1.000 usuários, 55% deles se depararam com algum tipo de phishing. Os principais meios de aplicação do golpe são:
🔶 SMS;
🔶 Ligação telefônica;
🔶 E-mail;
🔶 Sites;
🔶 Físico.
O que fazer ao cair no golpe?
Ao cair no golpe, o usuário em questão, terá muito trabalho a fazer. Todas as suas senhas devem ser imediatamente trocadas. Os cartões de crédito deverão ser cancelados a fim de reverter o prejuízo financeiro do golpe.
Um boletim de ocorrências deverá ser lavrado, de preferência na polícia especializada, caso contrário, pode ser no site ou na delegacia da polícia civil da sua localidade.
A partir daí, a atenção das vítimas deverá ser redobrada quanto às notificações e mensagens de seus bancos e sites de compras, para refutar as ações do cibercriminosos o mais rápido possível, a fim de evitar qualquer tentativa de consumo em seu nome.
Nova ameaça: BitB
A nova técnica, é ainda mais melindrosa que as já conhecidas, olhos mais treinados, também podem cair nela, caso não estejam atentos. Esse não usa a URL alterada, quando acessado, o endereço do site apresentado é o mesmo do original! Ao primeiro olhar, não haveria indícios de fraude.
Isso se tornou possível graças à evolução das tecnologias HTML, CSS e JavaScript, que compõem a maioria dos sites da internet. É possível reproduzir as caixas de autenticação dentro de sites.
Por exemplo: Ao fazer uma compra em um site, ao escolher o produto você se prepara para fazer o pagamento, então o site perguntará se quer se cadastrar ou usar sua conta Google, Microsoft, ou Apple dentre outras.
Imagem: Freepik
Nessa hora, o site te oferece um pop-up idêntico aos usados pelos autenticadores, mostrando a URL correta, e você entra com seu usuário e senha para autenticar, mas na verdade volta para a página home do site. Pronto, você acabou de entregar seu usuário e senha para o criminoso.
Formas de detectar a Fraude
Essa modalidade de phishing é chamada de browser in the browser que quer dizer navegador "dentro" do navegador. Daí o nome BitB.
Para identificar se é um BitB ou não, uma das formas de pôr ele à prova, é tentar arrastar esse pop-up para fora da página. O BitB não sai da página, pois faz parte dela, diferente dos pop-ups normais.
Outra forma é minimizar a janela. O pop-up padrão, fica aberto mesmo com a janela minimizada. Se este em questão não ficou, significa que faz parte do site, que é fraudulento.
Ferramentas de defesa
Para enfrentar esse cenário, há algumas opções eficazes no mercado que podem nos ajudar contra esse novo tipo de phishing, que são:
Serviço de DNS, com o qual podemos criar filtros, para que o usuário receba um alerta quando o domínio é recém-contratado, indicação de que pode ser um golpe, já que o domínio da empresa pela qual você escolheu se autenticar, não pode ser recente.
Antivírus voltado para Web, que acusa quando você é redirecionado de forma escusa, ou seja, está dizendo que vai para a Microsoft por exemplo, mas na verdade o endereço é um outro qualquer criado pelo golpista.
Autenticação em duas etapas ou de dois fatores, para acessar suas contas. Nesses casos, se o usuário cair no BitB, mesmo colocando as credenciais, ainda será pedido um token. Então ele ficará de mãos vazias e o usuário terá escapado.
Nessa modalidade, prefira o token USB, pois este é inviolável, mas demanda um custo maior, e muito mais cuidado do que tem com as suas chaves de casa, portanto uma opção mais em conta e prática, é o token por aplicativo.
E cuidado: O token via SMS está defasado e não é mais considerado seguro.
Imagem: Rawpixel - Freepik
Gerenciador de senhas, para todas as contas. Há vários gerenciadores de senhas no mercado, mas prefira aqueles que tenham segurança anti-phishing.
Atenção ao telefone. Não responda a perguntas sobre seus dados sem ter certeza de quem está do outro lado. Atendentes ligam e dizem que são de determinada instituição, provavelmente uma na qual o usuário tem conta e pede a confirmação de seus dados para continuar.
Você não deve dizer seus dados, apenas "confirmar" então a pegadinha está na fala do atendente, que acaba por fazer com que o usuário digite ou fale seus dados. Lembrando que senhas são secretas e intransferíveis, por isso não podem ser informadas nem confirmadas.
Fique de olho
Sabe-se que quem faz a nossa segurança, somos nós mesmos. Sendo assim, precisamos estar atentos às artimanhas dos cibercriminosos, para nos defender e para poder ajudar nossos parentes e amigos próximos.
BitB é novidade, mas em breve aparecerá outros mecanismos e táticas para defraudar os desatentos, seja por quaisquer meios. Compartilhe informações seguras como estas com os seus, para evitar que algum conhecido venha a ser a próxima vítima.
Este artigo foi escrito por Reinaldo Coelho e publicado originalmente em Prensa.li.