Phishing: como identificá-lo?
Veículo: WNews
Data: 10/04/2007
Autora: Rui Maciel
Assunto: Segurança
Em 2006, segundo estatísticas do Cert.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil), das 197 mil tentativas de ataques registradas pela entidade, 21% tinham como alvo dados pessoais, que inclui o phishing.
Além disso, de acordo com um levantamento da empresa de segurança digital Fortinet, este tipo de fraude foi a mais ativa em fevereiro deste ano, respondendo por quase 19% do total das ofensivas. E, para completar, mais uma notícia desanimadora: um relatório da ISS (Internet Security Systems) avisa que os crackers brasileiros estão desenvolvendo phishings cada vez mais sofisticados, com páginas muito próximas das originais, temas pontuais como campeonatos de futebol e promoções, além de usar o nosso idioma com cada vez mais freqüência.
Portanto, sendo o phishing um dos golpes mais utilizados na Web para quem quer ganhar dinheiro em cima da boa fé alheia, cabe a pergunta: como se precaver contra este tipo de prática? A resposta não está em softwares revolucionários que consigam detectar as páginas fraudulentas, mesmo porque a maioria dos filtros do gênero deixa muito a desejar. As melhores dicas para não ser "fisgado" estão em informação e olho vivo.
Informação
Como já foi dito no começo desta reportagem, crackers que usam o phishing para "arrecadar" dinheiro, utilizam, na maioria das vezes, o nome de bancos, sites de compras (como o Mercado Livre), entidades como o SERASA, a Receita Federal ou o TSE (Tribunal Superior Eleitoral), além de empresas de serviços públicos como operadoras de telefonia celular e fixa, de fornecimento de energia elétrica, entre outras.No entanto, a dica-chave para quem não quer cair no golpe do phishing é saber que a maioria dessas companhias não envia e-mails para seus clientes, a não ser que eles solicitem previamente. Em outras palavras, se você receber mensagens do banco X, da operadora Y ou de órgãos públicos, simplesmente apague-as. Para induzir os internautas, cria falsos avisos informando que a vítima tem débitos ou que documentos como CPF e o título de eleitor apresentam irregularidades e podem ser cancelados.
Como você já sabe, o phishing se baseia em páginas falsas para induzir o usuário a fornecer seus dados. Para isso, o criminoso coloca na mensagem links que levarão a vítima a páginas manipuladas, que roubarão as informações confidenciais.
Caso ocorra dúvidas em relação a pendências ou problemas de qualquer natureza envolvendo essas empresas, a dica é: simplesmente abra o navegador, digite o endereço eletrônico da instituição e procure informações diretamente no site da companhia. Não use qualquer link que esteja anexo à mensagem eletrônica.
Olho vivo
Para identificar se a página é falsa ou não, o usuário precisa apenas ter uma boa dose de olho vivo. Isso porque os links que estão embutidos nos e-mails destinados ao golpe não apresentam a URL (caminho que o internauta digita no navegador para acessar um site - o famoso http://www.) das instituições que eles dizem representar.Por exemplo, se você recebe um e-mail do suposto banco X com um aviso, basta passar o mouse em cima de um dos links em anexo e verá que, em vez da URL mostrar o endereço da página Web do banco, trará um endereço, com um nome totalmente diferente - normalmente do servidor onde o site falso está hospedado. Na melhor das hipóteses, o cracker coloca o nome da empresa no final do endereço ou coloca alguns links verdadeiros pela mensagem, para passar alguma credibilidade à vítima.