DARYUS 
Phishing é uma palavra derivada do inglês (fishing), que significa roubo de dados pessoais online. Mais ou menos como uma pescaria, os criminosos jogam uma rede para uma lista muito grande de contatos com informações sedutoras para roubar os dados de quem morder a isca.
O termo foi criado por volta de 1996 por cibercriminosos que roubavam contas da AOL (America Online). Em 1997, o termo se popularizou na mídia. Apesar de ser um dos métodos de fraude mais simples, ainda é um dos mais perigosos e eficazes.
Segundo estudo realizado pela Axur, empresa líder em monitoramento e reação a riscos digitais na internet, o número de casos de phishing identificados no terceiro trimestre de 2021 foi de 7741 casos, um aumento de 81,08% em relação ao trimestre anterior, que teve 4275 casos identificados.
Esse aumento se deve ao fato de a Black Friday estar se aproximando, o dia do evento é marcado pelo maior número de ataques durante o ano. Em 2020, o aumento de ataques de phishing especificamente na última sexta-feira de novembro foi de 74,21%.
Os ataques de phishing atualmente estão sendo algo bastante recorrentes no mercado, principalmente durante a pandemia, onde os cibercriminosos estão atuando cada vez mais com frequência e criando campanhas direcionadas conhecidas como spear phishing.
Tipos de ataques de phishing
LExistem diferentes tipos de ataques de phishing: há algum tempo, os ataques estão saindo daquele típico e tradicional “clique aqui para ter seus dados roubados”, e indo muito mais além, até mesmo o estudo de negócio que o atacante faz, auxilia muito para realizar um ataque de phishing.
Spear phishing
Diferentemente do conceito para que foi criado, em que o
ataque é enviado para uma quantidade muito grande de pessoas, a prática de
spear phishing trabalha com alvos específicos, seja uma pessoa ou uma companhia.
Para isso, os cibercriminosos vasculham a internet atrás de informações
pessoais como nomes, e-mails, cargos etc., para que possam fornecer um conteúdo
personalizado para a vítima escolhida, tornando o ataque mais eficaz, já que
passa maior veracidade.
Clone phishing
Esse tipo de ataque de phishing se dá quando o criminoso
copia exatamente um e-mail que foi recebido e substitui os links para usuários
desavisados clicarem nesses e terem seus dados roubados. Em muitas ocasiões, o
cibercriminoso falsifica o e-mail do remetente também para dar mais veracidade
ao golpe.
Phone phishing
São os ataques de phishing realizados por telefone, também
conhecido como “vishing” (phishing por voz). Nesse método, os criminosos ligam
para as pessoas, como se fossem funcionários de um banco e relatam algum
problema específico que tenha urgência em resolver, para que a vítima forneça
dados pessoais e dados de cartões. O golpe também é feito via SMS e é conhecido
como smishing.
Phishing nos sites
Os ataques de phishing também são feitos por sites. Os
cibercriminosos fazem cópias de sites reais com o intuito de enganar o usuário
para que ele passe seus dados confidenciais. Com a coleta dos dados, os
criminosos conseguem acessar as contas reais das vítimas e aplicar as fraudes.
Os pop-ups também são formas muito usadas de phishing em sites.
Phishing nas redes sociais
Por fim, um dos métodos mais usados atualmente, os ataques
de phishing por redes sociais são feitos através de invasões de contas e envio
de links maliciosos para os contatos da pessoa que teve a conta invadida ou até
pela criação de perfis falsos para essa prática.
Como os ataques de phishing são feitos
Os ataques de phishing são preparados em algumas etapas: os criminosos fazem o planejamento, se preparam para realizar os ataques, fazem os ataques, coletam os dados roubados, usam esses dados e depois apagam os vestígios.
No planejamento, os cibercriminosos escolhem as vítimas e o
tipo de ataque de phishing mais adequado, e a partir daí, as pesquisas para
maior assertividade. Escolhido o tipo de ataque que será realizado, existe a
preparação dos e-mails, SMS, mensagens etc. e, em seguida, é realizado o ataque.
Após os ataques, os criminosos fazem a coleta dos dados
pessoais das vítimas, como dados bancários e dados de cartões de crédito, e
usam para aplicar as fraudes. Por fim, chega a etapa de pós-ataque: onde os
cibercriminosos apagam todos os vestígios para que não sejam descobertos e
encontrados.
Como identificar um ataque
Nem sempre é fácil identificar um ataque de phishing, o planejamento e preparo estão cada vez mais elaborados para que o ataque esteja cada vez mais eficaz.
Algumas coisas que podem ajudar nessa hora é ter disciplina
e bom senso. Analise se aquela oferta é boa demais para ser verdade, se você
está recebendo um e-mail de alguém da sua empresa que você não costuma ter
muito contato. Desconfie de anexos suspeitos e de e-mails com narrativas que te
causam medo e jamais clique em links integrados.
Como se proteger
Mesmo com uma estratégia de segurança muito bem definida e instaurada, nenhum sistema operacional está totalmente seguro de um ataque de phishing, já que os alvos não são especificamente vulnerabilidades e sim as pessoas. Na verdade, os ataques muitas vezes costumam ser opção diante do insucesso dos criminosos em encontrar vulnerabilidades técnicas em sistemas operacionais.
Lógico que você pode mitigar riscos com treinamentos e conscientização, mas dificilmente acabará com eles, visto que o ponto mais frágil para invadir uma rede de segurança é atacar o lado humano, induzindo-o a entregar esses dados por variados gatilhos.
A principal ação indicada para se proteger, é sempre desconfiar! Nunca abra e-mails de remetentes que você não conhece, não clique em links integrados, sempre passe o mouse por cima do link para verificar a veracidade. Para uso de dados pessoais sigilosos, verifique na URL da página se começa com “https”, o “s”, no final, significa que é um site seguro. Sites que começam com “http”, mesmo legítimos, podem ser vulneráveis a ciberataques.
Além disso, claro, também é recomendado o uso de antivírus e softwares de segurança anti-malware para uma maior proteção. Permaneça sempre alerta e, antes se executar qualquer ação em sites, e-mails e mensagens, procure por indícios de que seja uma isca.
Quer saber mais? Baixe gratuitamente o e-book com 6 dicas incríveis que te ajudarão a se proteger de ataques de phishing.
