O termo, que possuí origem no inglês fishing, que significa “pescar”, foi assim pensado pois o criminoso tenta, literalmente, fazer com que a vítima fisgue sua isca.
Como temos atuado bastante nos últimos anos com a adequação de empresas a Lei Geral de Proteção de Dados, acabamos lidando no dia a dia com diversas questões relacionadas a segurança da informação. Uma das questões que mais nos chamam a atenção é o quanto os funcionários estão despreparados para ataques dessa natureza, que acabam por comprometer todo o trabalho que está sendo desenvolvido (não é incomum em testes realizados com softwares específicos, observarmos índices maiores que 30% de reprovação).
Portanto, ainda que o assunto fuja um pouco de nossa técnica (atuamos com parceiros especializados quando estamos em algum projeto de adequação ou até mesmo quando estamos prestando serviços como DPO), resolvemos escrever este artigo para ajudar um pouco nossos clientes na redução de número de funcionários distraídos.
O que é phishing?
Phishing nada mais é do que uma operação fraudulenta orquestrada por engenheiros sociais para tentar obter, de maneira ilícita, dados de outras pessoas, como senhas, informações financeiras/bancárias ou qualquer outro dado pessoal.
Como regra, o fraudador utiliza sites, aplicativos e/ou e-mails como forma de atingir seu objetivo, sendo este último um dos mais popularizados. Munidos de milhares de contas de e-mails, obtidos facilmente em banco de dados na internet, os criminosos disparam incontáveis e-mails por dia e apenas aguardam que um ou outro usuário desavisado abra ou clique em algum link contido na correspondência eletrônica, obtendo, com isso, os dados desejados.
Do que esse ataque é composto?
Esse ataque apresenta 3 elementos:
1. Eletrônico: sempre é feito por comunicação eletrônica (e-mail é a forma mais comum, tem sido recorrente a utilização de SMS, WhatsApp ou ligação telefônica)
2. Aparência: como não poderia deixar de ser, o golpista tenta se passar por uma pessoa ou organização conhecida, para assim ganhar a confiança da vítima.
3. Dados: o objetivo sempre é obter dados pessoais de suas vítimas, de modo a obter uma posterior vantagem financeira.
Muitas vezes o ataque obtém, inclusive, o histórico de navegação do usuário, possibilitando não somente a realização de uma fraude financeira, mas também a criação de um perfil do usuário fraudado.
Como faço para evitar esse tipo de ataque?
Os ataques estão cada dia mais sofisticados, mas aí vão algumas dicas para identificar um e-mail fraudulento:
1. Comece verificando o endereço do remetente. Normalmente após o @ consta algum tipo de domínio semelhante, que tenta disfarçar o domínio verdadeiro. Fique atento a alterações como @po1ofilms ou @p0lofilms.
2. Observe a saudação do e-mail, pois geralmente ela é genérica como “Caro Cliente” ou “Prezado Consumidor”. Caso contenha seu nome, siga prestando atenção, pois alguns ataques são mais complexos.
3. Atente a pedidos explícitos, com conotação de urgência, como “Confirme nas próximas 24hs”, “Clique aqui ou sua conta será desativada”, “Você receberá uma multa”, etc.
4. Suspeite de links e anexos. As fraudes geralmente se concretizam quando o usuário tenta abrir algum anexo ou clicar em algum link. Se o link parecer legítimo, passe o cursor sobre o link e veja seu verdadeiro endereço.
5. Desconfie sempre. Muitos criminosos enviam milhares de e-mails de phishing que buscam chegar na hora certa para a pessoa certa, ou seja, eles tentam, por exemplo, em razão do volume, fazer com que chegue para você um e-mail falso de seu banco, segundos depois de você realizar uma operação financeira no site da instituição, fato que acaba por distrair o usuário e fazê-lo pensar que se trata de uma correspondência legítima.
É possível prevenir os ataques por phishing através um olhar mais cuidadoso aos elementos do e-mail, site de destino ou anexo enviado. Havendo suspeita ou dúvida questione o setor responsável pela Tecnologia da Informação em sua empresa.
Felipe Mendonça
Advogado (OAB/RS 69.083 e OAB/PR 84.256). Mestre em Direito do Trabalho pela Pontifícia Universidade Católica do Rio Grande do Sul.