Como o phishing leva à invasão de contas e ao roubo de identidade

Um usuário navegando no seu feed de rede social vê um link que supostamente exibe um vídeo “exclusivo” relacionado a um assunto do momento. Ao clicar no link do vídeo chega a uma página com uma janela pop-up que solicita que o usuário faça login (de novo) com suas credenciais da mídia social ou se registre com seu email, e outros detalhes, no site para ver o conteúdo exclusivo. Depois de feito o login, o usuário é redirecionado de novo para outra página que pode ou não ter algo a ver com o assunto viral. Ele fecha a janela e volta ao navegador.

Esse é um cenário bastante comum atualmente, onde links – ou encontrados em uma página da web, ou em uma postagem de mídia social ou em um email – para assuntos aparentemente interessantes ou importantes, ou promessas de conteúdos “exclusivos” levam a nada mais do que uma série de páginas com solicitações de registros ou login, pesquisas inúteis, pop-ups irritantes ou downloads de ferramentas ou aplicações. Qualquer pessoa que use a Internet regularmente provavelmente já se deparou com um desses tipos de links e páginas. E, se você se registrou com suas credenciais ou deu suas senhas para chegar a algum lugar ou ver alguma coisa, pode ser uma boa ideia mudar suas senhas agora, porque você pode ter sido vítima de um golpe de phishing.

Você alguma vez perdeu o acesso a uma conta online, tem amigos que disseram que você enviou uns emails estranhos ou que descobriram que “você” postou um conteúdo esquisito ou spam na mídia social, e ficou imaginando como isso aconteceu? Você pode voltar àquele momento em que tentou seguir uma trilha interminável de links e páginas, sem chegar a lugar algum.

O phishing sempre foi um meio popular para golpistas e cibercriminosos online para induzir os usuários a fornecerem suas informações pessoais, tais como, credenciais de registro, detalhes de cartões de crédito e contas bancárias, números de seguro social e outras informações pessoais importantes. É uma forma de roubo de identidade – ou pelo menos um dos métodos usados para chegar a isso – onde um golpista usa uma página ou email parecendo autêntico de empresas de confiança, tais como firmas de pagamento e bancos, para levar usuários desavisados a fornecerem suas informações.

A mensagem falsa de email ou do site insiste que o destinatário clique em um link para atualizar seu perfil pessoal ou realizar alguma transação. O link então leva a vítima para um site falso onde qualquer informação pessoal ou financeira fornecida é diretamente direcionada para o golpista. Os tipos de phishing variam: spear phishing, vishing (phishing por voz) e Smishing (phishing por SMS/texto). O spear phishing é um método usado para obter informações de indivíduos específicos, normalmente funcionários de grandes empresas. Essa tática é usada para obter acesso às coisas mais importantes da empresa e é um componente comum de um ataque direcionado. Vishing é o phishing por telefone e é um método comum de engenharia social usado para obter informações do usuário; enquanto o Smishing é feito através de SMS/texto.

Saber sobre o phishing não é o bastante. É fundamental entender como ele funciona e como pode afetar você, evitando se tornar uma vítima. Há muitas maneiras de se cair em uma armadilha de um golpe de phishing. Algumas dessas táticas envolvem email, entregas via web, mensagens instantâneas, mídia social, hosts de cavalos de Troia, manipulação de links, keyloggers, sequestro de sessões, reconfiguração de sistema, injeção de conteúdo, phishing via mecanismos de buscas, phishing por telefone e malware. Essas técnicas de phishing podem ser agrupadas em certas categorias.

O phishing também é uma ferramenta popular usada em engenharia social. Antes das pessoas ficarem sabendo dos golpes online, muitas foram vítimas desses tipos de ameaças online. Vocês se lembram da carta da Nigéria (419)? Muitos usuários, se não todos, encontraram esse famoso email em suas caixas de entrada e, infelizmente, muitos sucumbiram a esse ataque e responderam fornecendo suas informações pessoais e financeiras. Essas são algumas das táticas mais comuns de phishing:

Email – uma das iscas mais comuns de phishing é o email. Ele pode assumir a forma de qualquer coisa urgente ou aflitiva. Os emails de phishing parecem ser de remetentes legítimos. Para que eles tenham essa aparência, os cibercriminosos usam logotipos e assinaturas falsificadas, usando textos e assuntos enganosos. As mensagens são atraentes e geralmente prometem um prêmio ou uma recompensa, em troca de um registro ou login de algum tipo, fornecendo informações ou credenciais online do usuário.

Sites – um site típico de phishing inclui um conteúdo que parece verdadeiro, nomes de domínios similares de sites legítimos, formulários, janelas pop-up e até falsos endereços IP.  Os cibercriminosos usam formulários similares aos de sites legítimos para coletar informações dos visitantes. Além disso, os golpistas usam scripts ou comandos HTML para imitações de URLs para criar barras de endereço falsos.

Mídia social – por ser uma plataforma popular para compartilhamento de conteúdo viral, os cibercriminosos procuram potenciais vítimas nas redes sociais. Eles usam convites atraentes ou virais que levam a páginas que pedem que os usuários se registrem, baixem alguma coisa, ou façam login com suas contas de mídia social.

Como Evitar Golpes de Phishing

Vamos voltar ao cenário anterior. Agora que você sabe que o phishing normalmente começa ao se abrir links em mensagens ou postagens de mídia social feitos para “pescar” suas credenciais, o mais sensato é ficar longe de emails e sites que pareçam suspeitos. Se você estiver ocupado com prazos, comprando online ou simplesmente navegando por lazer, é melhor evitar links e emails que, para começar, não parecem estar certos. Mas quais são os sinais? Lembre-se, impedir uma tentativa de phishing parece pebolim, onde as pessoas pensam que girar os jogadores aleatoriamente aumenta suas chances de bater na bolinha. Mas com tantos espaços, a bolinha continuará parada. Essas são algumas dicas úteis para reconhecer uma tentativa de phishing e de como atingi-los na hora:

Sites legítimos ou instituições financeiras pedindo informações pessoais – cuidado com organizações (inclusive órgãos do governo) solicitando suas informações pessoais já que raramente, ou nunca, fazem isso… a menos que você esteja realmente se registrando para alguma coisa. Porém, emails que, no início, mencionam seu nome verdadeiro ao invés de “membro” podem vir de fontes legítimas. Mas, tenha cuidado e sempre verifique com a empresa antes de fazer alguma coisa.

Emails ou páginas com erros de ortografia ou de gramática – as empresas valorizam sua reputação e revisam seus sites e as cartas que enviam para seus clientes. Assim, é fácil separar um email legítimo de um email de phishing.

Assuntos intimidadores ou alarmantes – cibercriminosos atraem a atenção dos usuários usando táticas amedrontadoras e uma linguagem emocional. Evite tais mensagens e apague-as na hora.

Links suspeitos em emails e postagens na mídia social – pode ser bem difícil para um olho destreinado identificar links maliciosos. Porém, uma das maneiras mais fáceis para dizer se é uma tentativa de phishing na mídia social – e uma das táticas de phishing mais comuns na mídia social –é quando um link solicita que você se registre, novamente, com suas credenciais. Verifique aonde o link vai e continue a obter seu conteúdo de fontes conhecidas.

Continue acompanhando nosso blog, saiba quais são as ultimas ameaças cibernéticas e aprenda a se proteger na rede! Algum comentário sobre essa postagem? Fale com a gente no twitter @TrendMicroBR!