Ataque Phishing

Também conhecido como ataque de pesca de informações, este tipo de ataque funciona da seguinte maneira: primeiramente, o atacante coleta seu e-mail ou número de telefone e os adiciona a uma grande lista. Ou seja, ele não tem um alvo específico, mas vários alvos na lista para tentar a sorte, pescando as informações. Depois de preparar a lista, ele elabora uma mensagem estruturada para manipular o usuário a clicar em um link ou botão que contenha um link malicioso. Ao clicar no link, o usuário é levado para uma página falsa, feita pelo atacante, que frequentemente contém um pequeno formulário para que o usuário insira seus dados, tais como e-mail, nome de usuário e senha de algum site ou aplicação específica, data de nascimento, endereço e informações de cartão de crédito. Existem várias situações e interesses específicos do atacante em obter essas informações. Após o usuário inserir e enviar seus dados, o atacante os recebe e utiliza para benefício próprio.

Vamos discutir algumas situações em que isso pode acontecer e como elas se desenrolam. Imagine que você recebe um e-mail ou SMS informando que precisa atualizar seus dados do banco Nubank, por exemplo. Clicando no botão ou link fornecido, você é direcionado para uma página semelhante à do banco, contendo um formulário para “atualizar” suas informações. Outro exemplo é receber um e-mail ou SMS dizendo que você fez uma compra de R$ 4.000,00 na Magazine Luiza, perguntando se você reconhece essa compra. Caso não reconheça, será solicitado que entre no link da mensagem para inserir seus dados e falar com a operadora do seu banco. Isso acontece o tempo todo. Mas você pode me perguntar: como posso evitar esse tipo de ataque? Vamos ver como nos proteger desse tipo de ataque.

Obs.: Em muitos exemplos, utilizarei o banco Nubank.

Primeiro, mantenha seu provedor de e-mail atualizado e bem configurado para bloquear e-mails de spam. Grande parte dos ataques de phishing são e-mails de spam, e muitos também se passam por e-mails autênticos.

Segundo, preste atenção ao remetente. Muitas vezes, o endereço do remetente é bem estranho, podendo conter números e letras aleatórias, totalmente diferentes da empresa da qual você espera o e-mail. Por exemplo, uma mensagem do banco Nubank, mas o endereço do remetente é totalmente diferente do banco. Pode acontecer também de o endereço do remetente ser bem parecido, mas com erro de ortografia ou apenas uma ou duas letras diferentes.

Endereço de email totalmente diferente do endereço do banco.

Endereço de email que parece ser o endereço do banco.

Terceiro, preste atenção no link que o atacante colocou para você acessar. Muitas vezes, o link leva a um site com um endereço totalmente diferente do site do banco Nubank. Em casos de ataques mais estruturados, o endereço pode se parecer com o do site do banco, mas com algumas letras diferentes.

Endereço do link parecido, mas com adição da letra "n" no endereço "nunbank.com.br".

Mas você pode me perguntar: como posso ver o endereço do site antes de clicar em um botão? Anote essa dica: passe o mouse sobre o botão e você verá o endereço do link na parte inferior do seu navegador. Ou você pode clicar com o botão direito do mouse sobre o botão e selecionar a opção “copiar link” ou “copiar endereço do link” e colar em um bloco de notas para ver o endereço. Também vou deixar um link de um site que pode analisar links e dizer se é malicioso ou não. O site é o VIRUSTOTAL: https://www.virustotal.com/gui/home/upload.

Ponteiro do mouse passando por cima do link e endereço sendo mostrado na parte inferior do browser.

Resumindo, o ataque de phishing também é conhecido como o ataque de pesca de informações. Literalmente, o atacante joga a isca (e-mail ou SMS) e espera que o usuário “morda a isca” (clique no link e envie os dados). E aí, gostou da dica de como se proteger? Então, já sabe: siga esses três passos para evitar cair nesse tipo de golpe. Agora que você tem conhecimento sobre ataques de phishing e como evitar cair nesse tipo de golpe, curta e compartilhe para que essa informação chegue a mais pessoas que não têm conhecimento desse tipo de ataque.