Proteja-se do phishing
Veículo: IDG Now!
Data: 01/11/2007
Autora: Patrícia Peck
Assunto: Segurança
Vivemos um período curioso da humanidade onde as regras de comportamento estão em transformação. Outro dia uma colega me disse que estava explicando para a filha o que ela não podia fazer, pois era errado. A menina insistiu no erro, tem 6 anos, e a mãe disse: "minha filha, não caiu a ficha...." e a garota respondeu: "mamãe, o que é ficha?"
Como podemos nos proteger do que não conhecemos, ou não entendemos? As equipes de segurança possuem uma linguagem demasiadamente técnica e o usuário não consegue enxergar a importância de ter uma conduta segura no uso de tecnologia, pois não percebe claramente quais são os riscos e conseqüências afinal? Por isso, estamos nos tornando uma grande comunidade de laranjas virtuais com terceiro grau completo.
Será que é excesso de inocência? Ou seria excesso de negligência? Como fazer para que as pessoas entendam que senha é identidade, que não se deve abrir e-mails de estranhos, ou pior, que mesmo em e-mails de conhecidos deve-se aplicar o antivírus antes de baixar anexos?
Falar então de criptografia ou certificação então é um grande desafio. Mas os golpes virtuais estão ocorrendo, cada vez mais, e precisamos educar o usuário a se defender. Que usuário? Nós mesmos, nossos filhos, nossas equipes, nossos pais, todos ao redor, pois estamos em rede, de nada adiante um ter comportamento seguro e outro não.
O que significa este tal de phishing, afinal? O phishing é um tipo de fraude concebida para furtar dados, sejam dados de identidade, senha de banco, número de cartão de crédito, informação confidencial de empresa, fotos íntimas, qualquer dado em um equipamento ou acessado através do mesmo.
Como ele ocorre? De forma muito simples, que explora a imagem de uma marca com credibilidade para ludibriar o destinatário a abrir o e-mail ou clicar em um endereçamento e assim instalar no equipamento um arquivo malicioso que passa a agir buscando os dados e enviando para o infrator de forma remota.
Este tipo de ataque é conhecido como engenharia social pois manipula, normalmente, a inocência da vítima, ou sua negligência em não se dar conta dos riscos que corre na internet. De certo modo, é a versão moderna do golpe pelo telefone, em que alguém liga e pede dados e informações, seja para a pessoa da residência (âmbito familiar) ou da empresa (âmbito profissional).
O maior risco do phishing é o poder da interface gráfica, em que a pessoa acredita que o que está ali é verdade, mesmo quando há erros de português, promessas impossíveis, vantagens absurdas, que em outras situações ficaríamos desconfiados, mas que pelo email acabamos caindo como laranjas digitais.
O praticante do phishing incorre na prática de diversos ilícitos, principalmente criminais, como falsa identidade, falsidade ideológica, fraude, estelionato, furto de dados, uso não autorizado de marca, uso não autorizado de imagem, propaganda enganosa, entre outros. Ou seja, há leis para poder punir quem pratica o phishing, a dificuldade é descobrir quem foi, a prova de autoria, uma vez que normalmente o envio é feito de modo a gerar o maior anonimato possível. Mas, como hoje as testemunhas são as máquinas, há casos de se pegar o infrator através dos dados de cabeçalho, de IP, de logs. Tudo começa na denúncia, depois na investigação e quando possível, converte em punição.
É preciso conscientizar, para prevenir, e se ocorrer o problema, denunciar, por exercício de cidadania digital.
Como se proteger do phishing?
O Phishing tem início no envio de mensagens não solicitadas, ou seja, SPAMS para um número astronômico de pessoas. Tais emails podem ser de "sites" de sua confiança - do seu banco, da Receita Federal, da Polícia Federal e outras instituições públicas ou privadas - muitas vezes tomando proveito de ofertas e promoções, dando descontos, brindes, ou alegando que foi feita uma compra online e há uma fatura em aberto, ou que o nome da pessoa está sujo no Serasa, ou que está com conta em aberto para pagar de telefone, celular etc. A abordagem é criativa, mas é possível identificar se a mensagem é falsa, basta estar atento.
Normalmente as mensagens possuem um link, para usuário comum endereço de uma página conhecida ou outra modalidade é a instalação direta do código malicioso através do "clique aqui". O objetivo é conseguir invadir o e-mail e o computador da vítima e furtar seus dados, de identidade, deixando em alguns casos sua máquina zumbi para dar golpes em outras pessoas, pegar informações de contas de banco, senhas, e até mesmo praticar espionagem eletrônica.
Dicas para não ser "fisgado"
1. Manter firewall ativado e atualizado;
2. Mantenha seu antivírus sempre atualizado;
3. Não forneça informações pessoais por email ou ainda através de links presentes nestes;
4. Verifique sempre os links, conforme demonstrado acima;
5. Alguns phishings possuem erros graves de português;
6. Caso fique em dúvida entre em contato com a empresa remetente ou veja se a mesma informação consta do seu site oficial (especialmente em casos de promoção ou ofertas, inclusive para vagas de emprego);
7. Navegue em sites seguros;
8. Esteja atento pois já há phishings no messenger, em blogs, em comunidades do Orkut, no Youtube, na Wikipedia, no Second Life, e a tendência é chegar até o celular.
Se for vítima de um ataque entre em contato com o CERT.br -- Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil pelo e-mail cert@cert.br ou com a delegacia de crimes eletrônicos de seu Estado. Vamos aprender a nos proteger.
