Phishing: um guia prático para você, que não é especialista em segurança, se tornar um aliado na luta contra essa ameaça

Do nada você recebe uma mensagem no WhatsApp de alguém conhecido – um amigo, ou mesmo parente – contanto que está passando por uma dificuldade e que precisa que você faça uma transferência via PIX com urgência. 

O perfil que mandou a mensagem tem a foto do seu conhecido e, em alguns casos, envia até um áudio com a voz dessa pessoa. 

Claro que a mensagem “pesca” sua atenção imediata. Seu impulso é ajudar, mas há uma grande chance dessa mensagem ser um golpe chamado phishing. 

Phishing é o nome técnico de uma série de tipos de golpe que buscam capturar a atenção de sua vítima e convencê-la a entregar algo: uma informação pessoal, um dado bancário ou simplesmente dinheiro. 

O nome phishing é uma adaptação da expressão em inglês fishing, que significa pescaria e descreve com precisão como bandidos usam iscas para fisgar suas vítimas.

Essas iscas variam muito, mas sempre têm em comum o fato de serem convincentes e pedirem uma ação urgente, sem que a vítima tenha tempo para pensar: um boleto que está para vencer (mesmo que você não tenha nenhum boleto em aberto), uma promoção exclusiva e imperdível, um parente em apuros… tudo isso desperta nosso senso de urgência e nos torna vulneráveis ao phishing.

Neste artigo queremos mais do que só mostrar pra você o que é o phishing e como ele se tornou um dos golpes cibernéticos mais comuns, queremos que ao fim da leitura você se torne um agente de defesa, capaz proteger a você mesmo e a seus entes queridos. 

O que é Phishing, afinal? 

Apesar de ter um nome complicado, com cara de algo altamente tecnológico, o phishing não passa de uma forma de enganar pessoas para que elas entreguem algo. 

É como um ladrão que bate na sua porta vestido de entregador ou funcionário de alguma empresa. Ele não vai arrombar a sua porta. Vai bater e se apresentar como alguém confiável. E provavelmente você vai deixá-lo entrar.

Tipos Mais Comuns  

Por ser tão eficaz, o phishing pode estar presente em qualquer lugar: no seu email, no SMS, no WhatsApp, nas redes sociais ou mesmo em uma ligação telefônica. 

Abaixo separamos algumas das formas mais comuns que o phishing pode assumir. 

• Falso Suporte ou Urgência: Esse é um dos golpes mais comuns. A mensagem, que pode vir via SMS, WhatsApp ou email, se passa por uma empresa que você usa (banco, Netflix, empresa de energia) e diz que sua conta será cancelada caso você não tome uma ação imediata, que pode ser a instalação de um programa, a atualização de um software de segurança, ou qualquer outra, mas sempre urgente, para que você se sinta obrigado a agir rápido para resolver o problema. 
• Oportunidade Única: Um phishing que se aproveita da curiosidade (ou da ganância). Trazem temas como grandes ofertas de produtos caros, premiações, ou outras vantagens. O problema é que para obter a “vantagem” a vítima precisa informar dados pessoais, informações bancárias, etc… 
• O Clone (Sequestro de WhatsApp): Tipo de phishing que explora os vínculos afetivos entre as pessoas. O criminoso pode se passar por um amigo ou parente que acabou de trocar de número de celular. A partir daí pode pedir transferências bancárias, ou até sequestrar a sua conta do WhatsApp ao pedir o código de 6 dígitos que dá acesso à sua conta.

Por Que Ele Funciona (O Fator Humano / Engenharia Social)

Se o phishing é tão simples, por que as pessoas continuam caindo? A resposta está no centro do nosso debate: o fator humano.

O phishing é uma técnica de Engenharia Social, que é a arte de manipular pessoas para que elas realizem ações ou divulguem informações confidenciais. Criminosos que se especializam nessa técnica são especialistas em manipular emoções como:

• Pressa: O phishing sempre vai exigir uma resposta imediata. Essa urgência desliga nosso senso crítico.
• Medo: A ameaça de sofrer uma punição (ter sua conta bloqueada, por exemplo) ou o medo de desperdiçar uma grande vantagem ou oferta.
• Confiança: Criminosos sempre vão tentar simular marcas ou pessoas em que você confia.

Lembre-se: Cair em um golpe de phishing não é um erro técnico. É ter sido vítima de uma manipulação psicológica. Por isso, a melhor ferramenta de defesa não é um software, é o seu senso crítico.

Pequeno Manual de Defesa contra o Phishing

Para se proteger do phishing, você não precisa ser técnico; o importante é adotar uma postura de desconfiança e seguir esta lista de regras antes de clicar ou responder qualquer mensagem suspeita.

Sempre cheque o endereço

Uma das primeiras coisas para ficar atento quando você recebe uma mensagem de email que parece suspeita é o endereço do email. Veja alguns cuidados:

• Olhe o Endereço COMPLETO: Não confie apenas no nome que aparece (ex: “Banco Oficial”). Passe o mouse sobre o nome para ver o endereço de e-mail real (no celular basta segurar o link por alguns instantes que o link real vai aparecer).
• O Domínio Falso: Empresas legítimas como bancos ou grandes varejistas usam seu nome oficial no domínio, por exemplo: atendimento@bancoreal.com.br. Golpistas costumam usar pequenas variações contando com a falta de atenção da vítima, como nos exemplos abaixo::
  • @banco-real.com (com hífen)
  • @bancoreal_suporte.com (com underscore)
  • @gmaill.com ou @outlook-service.net (usando provedores genéricos ou com erros de ortografia).
• A Saudação Genérica: Se o e-mail começar com “Caro Cliente” ou “Prezado Usuário”, desconfie. Empresas sérias e grandes costumam se dirigir a você pelo seu nome ou sobrenome cadastrado.

Na dúvida, não clique

O coração do phishing é o link disfarçado. Nunca clique sem verificar.

• Passe o Mouse (Computador): Passe o cursor do mouse sobre o link sem clicar. Na parte inferior da tela (geralmente no canto esquerdo), a URL de destino real aparecerá. Se o link diz “Clique Aqui”, mas a URL real que aparece é um monte de letras e números estranhos, não clique.
• Toque e Segure (Celular): Em smartphones, pressione e segure o link por alguns segundos. Uma janela ou caixa de diálogo se abrirá, exibindo o endereço real de destino.
• Links Encurtados: Evite ao máximo links encurtados (tipo Bit.ly) em mensagens de urgência.

Desconfie da urgência

O phishing explora suas emoções para comprometer sua capacidade de raciocínio.

• Ameaça de Bloqueio: Mensagens como “Sua conta será suspensa em 2 horas!” ou “Seu acesso está bloqueado, clique para desbloquear AGORA!” são táticas de pressão. Nunca resolva problemas urgentes de segurança clicando em links enviados por e-mail ou SMS.
• Oferta Milagrosa: Se a oferta for “boa demais para ser verdade”, como um iPhone por R$500 ou um prêmio para o qual você não se inscreveu, é 99% de chance de ser um golpe. 

Atenção aos detalhes

Embora alguns golpes sejam mais bem elaborados, eles ainda podem conter falhas simples que você pode identificar:

• Erros de Português: E-mails oficiais de grandes corporações passam por revisores. Erros grosseiros de ortografia, gramática ou pontuação são um sinal de que a mensagem foi criada por golpistas.
• Imagens e Logos: O logo da empresa está pixelado, cortado ou com a resolução ruim? O design da página de login é amador e destoa do site oficial? Fuja.

A Ação Segura: Verificação Fora da Rede

Se tudo parecer certo, mas você ainda estiver desconfiado, ainda existem outros cuidados:

• Não use o link da mensagem. Abra seu navegador (Chrome, Firefox, Safari) e digite o endereço oficial do site (ex: http://www.seu-banco.com.br) diretamente na barra de URL.
• Ligue para o 0800: Se for um alerta do seu banco, ligue para o número de atendimento ao cliente que está no verso do seu cartão ou no site oficial. Confirme a situação por uma via de comunicação que você sabe que é legítima.

Seja um aliado na proteção contra o phishing

Mesmo que este artigo tenha tocado apenas no básico da proteção contra o phishing, ao seguir as suas orientações você já pode se considerar mais seguro que a maioria das pessoas. 

Mas a luta contra o phishing não pode ser individual. Lembre-se: o cibercrime avança explorando a desinformação. Compartilhar informação e conhecimento é fundamental na proteção contra essa ameaça.

Transfira o conhecimento 

O público mais vulnerável ao phishing (idosos, pessoas com menos contato com tecnologia) muitas vezes sente vergonha ou medo de perguntar. Aborde esse assunto ativamente, mas sempre de forma didática e acolhedora. Num primeiro momento, algumas posturas simples podem ser de grande eficácia:

• Ensine a pessoa a parar. Antes de clicar ou responder a qualquer mensagem urgente, peça que ela espere três segundos e pense: “Isso faz sentido? Eu pedi isso? É um canal oficial?”
• Combine que, antes de fazer qualquer transferência bancária urgente pedida por WhatsApp, a pessoa deve ligar para o número antigo do parente ou amigo, apenas para confirmar a identidade.

Mas o que fazer se eu ou alguém da minha família cair em um golpe?

Mesmo com todo o cuidado, o erro acontece. O desespero é a primeira reação, mas agir rápido é a melhor defesa para minimizar os danos.

• 1. Mude Tudo: Se você inseriu uma senha em uma página falsa, mude essa senha IMEDIATAMENTE em todos os lugares onde ela é usada (e sim, você deve usar senhas diferentes para cada conta!).
• 2. Contate a Instituição: Ligue imediatamente para o número oficial do seu banco, da sua operadora de cartão ou da empresa que foi clonada. Explique o ocorrido para que eles possam bloquear transações ou contas.
• 3. Registre a Ocorrência: Faça um Boletim de Ocorrência (BO) online ou na delegacia. Isso é fundamental, pois o phishing é crime, e o registro é sua prova legal para tentar reaver prejuízos financeiros.

Lembre-se: Você não está sozinho

Mais do que um canal sobre cibersegurança, o TecSec é uma comunidade. Nessa comunidade existe espaço para qualquer pessoa interessada em saber mais sobre esse universo e sobre como se proteger dos golpes mais comuns. 

O crime cibernético ganha quando estamos isolados e desinformados, por isso criamos este espaço para criar uma rede de apoio e informação. Convidamos você a fazer parte dessa rede, compartilhando conhecimento e apoiando quem mais precisa.

E para fechar este blogspot, uma última dica de ouro: a melhor ferramenta para sua segurança é seu senso crítico, aliado a uma boa dose de desconfiança. Quando uma mensagem parece errada, provavelmente está. Confie no seu instinto e no seu conhecimento!