Phishing (no original em inglês, não é "phinisher", é "phishing") é um tipo de ataque cibernético que envolve a tentativa de roubar informações confidenciais, como login e senha, de indivíduos ou organizações, através de comunicações enganosas.
Os atacantes usam diversas técnicas para enganar as vítimas, como:
Correio eletrônico hackers (spam): enviam correio eletrônico parecido com a empresa ou organização, para que a vítima clique em um link ou envie informações sensíveis.
Ligar para vítimas: os atacantes podem ligar para a vítima, fingindo ser um representante de uma empresa ou organização, com o objetivo de obter informações confidenciais.
Site fake: os atacantes criam sites falsos que parecem ser da empresa ou organização que está sendo alvo, com o objetivo de obter informações confidenciais.
Apliques de software pirateados: os atacantes podem distribuir aplicativos de software que parecem legítimos, mas que secretamente coletam informações confidenciais.
O objetivo final do phishing é obter acesso às contas bancárias, cartões de crédito, senhas de e-mail, informações de login e outros dados confidenciais.
Tipos de Phishing
Enquanto você lê este artigo sobre o que é phishing e já pensando em como melhorar sua técnica para evitar cair nessas armadilhas, existem criminosos trabalhando pesado em novas técnicas para roubar os seus dados.
Existem diversas formas de ataques phishing, e o Brasil é líder mundial em ataques virtuais feitos via email, SMS e links suspeitos. Conheça os principais tipos de phishing.
Scam: Os golpes de phishing scam são tentativas dos criminosos de induzi-lo a fornecer informações pessoais, como números de contas bancárias, senhas e números de cartão de crédito, através da abertura de links ou arquivos contaminados.
Essas informações serão usadas para usar sua conta indevidamente, roubar dinheiro e realizar transações. O contato pode ser feito via telefone, email, mensagem de texto ou pelas redes sociais.
Blind Phishing: é o mais comum de todos, disparado via email em massa e sem muitas estratégias, que contam apenas com a “sorte” de que algum usuário caia na armadilha.
Spear phishing: é quando o ataque é contra um grupo específico. Pode ser contra funcionários do governo, clientes de uma empresa específica ou até mesmo uma pessoa específica.
O spear phishing tem como objetivo acessar este banco de dados específico para obter informações sigilosas, arquivos confidenciais ou financeiros.
Clone phishing: este golpe clona um site original para atrair os usuários. Geralmente, ao acessar o site falso, a pessoa tem que inserir informações cadastrais em um formulário malicioso que transmitirá as informações para os criminosos.
Em seguida o usuário é direcionado para a página original sem perceber que foi vítima.
Whaling: o termo vem da palavra whale (baleia, em inglês) e quer dizer caçando baleias. Isso significa que este crime está ligado ao “tamanho do peixe a ser pescado”.
Whaling mira executivos de alto nível ou personalidades de relevância, como um presidente de uma corporação, e faz isso em nome da empresa para qual trabalha.
Estes ataques vêm mascarados como intimações judiciais ou notificações empresariais internas.
Vishing: a letra “p” foi trocada pela “v” porque o vishing utiliza mecanismos de voz para aplicar golpes.
Podem vir acompanhados de SMS que dizem que o seu cartão foi bloqueado e você precisa ligar para um determinado número para pedir a liberação, mas também pode ser uma ligação direta para sua casa ou seu celular. Os criminosos usam o VoIP pela facilidade em esconder a identidade de quem faz a chamada.
Pharming: é quando acontece o envenenamento do DNS (o sistema que traduz os números dos IP’s em nomes de domínio) e atinge os usuários em uma larga escala. Sempre que o usuário busca por um site na internet, ao digitar a URL (por exemplo google.com.br).
O endereço DNS resolve o nome do domínio para o número de IP do servidor. Mas se o DNS está comprometido, a URL digitada poderá levar o usuário para uma página falsa criada para o ataque.
Smishing: é o nome para phishing realizado através de SMS. São mensagens que geralmente constrangem o usuário como dívidas ou que impulsionam a tomar decisões imediatas pela emoção como sorteio, prêmios ou um valor alto a receber.