O Phishing consiste no tipo de fraude através da qual um pirata informático (hacker) tenta obter dados pessoais e financeiros de um utilizador, pela utilização combinada de meios técnicos e engenharia social.
A engenharia social consiste num conjunto de práticas que são utilizadas com o objetivo de persuadir o utilizador a realizar ações que favoreçam o atacante. Sendo este um ataque que é conduzido a nível psicológico, não há aplicativos que possam impedi-lo.
Com base na engenharia social o phishing utiliza-se da confiança que os utilizadores têm nas organizações ou indivíduos genuínos para convencê-los a disponibilizar informações confidenciais ou efetuar instalação de softwares maliciosos. Os utilizadores acreditam estar a obter vantagens com tais ações quando na verdade estão a ser “pescados” numa fraude.
O phishing ocorre por meio do envio de mensagens eletrónicas que:
- Tentam fazer-se passar pela comunicação oficial de uma instituição conhecida, como um banco, uma empresa ou um site popular;
- Procuram atrair a atenção do utilizador, seja por curiosidade, por caridade ou pela possibilidade de obter alguma vantagem financeira;
- Informam que a não execução dos procedimentos descritos pode acarretar sérias consequências, como a inscrição em serviços de proteção de crédito, o cancelamento de uma conta de e-mail, de uma conta bancária ou de um cartão de crédito;
- Tentam induzir o utilizador a fornecer dados pessoais e financeiros, por meio do acesso a páginas falsas, que tentam se passar pela página oficial da instituição;
- Tentam induzir o utilizador a instalar programas maliciosos, projetados para recolher informações confidenciais.
Alguns exemplos de mensagens fraudulentas:
Os e-mails de phishing apresentam características que, por norma, permitem diferenciá-los da comunicação oficial da entidade visada no e-mail. Assim ao receber um e-mail o BPI sugere sempre que:
- Verifique o endereço de e-mail do remetente. Habitualmente os e-mails de phishing são remetidos a partir de endereços de e-mail que não estão relacionados com a entidade visada no e-mail.
- Verificar se o e-mail lhe é dirigido (se está personalizado). Por norma os e-mails de phishing são enviados de forma massiva para os utilizadores da Internet que podem ou não ser utilizadores da instituição visada no e-mail. Assim e de forma a não levantar qualquer suspeita iniciam-se por expressões genéricas como por exemplo “Caro Cliente”, “Prezado Cliente” ou “Caro Utilizador”.
- Verificar se o pretendido no e-mail é habitual na comunicação da instituição que é visada naquela mensagem. Pedidos para execução urgente de determinados procedimentos para evitar constrangimentos no acesso às contas online ou realização de operações.
- Verificar o corpo da mensagem de forma a identificar a utilização de expressões pouco comuns ou inexistentes. Habitualmente os e-mails de phishing recorrem ao uso de expressões pouco comuns ou inexistentes na língua Portuguesa - “usuário, celular, recadastramento”.
- Verifique se o link que consta no e-mail aponta para a página oficial da instituição. Embora a imagem do e-mail seja em tudo semelhante à entidade que nele e visada, ao colocar o ponteiro do rato sobre o link do e-mail (sem clicar no mesmo) é possível verificar para que endereço remete aquele link, sendo que nos e-mails de phishing é sempre para uma página falsa e nunca o endereço da instituição.
Consulte aqui exemplos de e-mails fraudulentos e páginas fraudulentas.
A forma de proteção contra estes ataques segue as regras comuns a uma utilização segura da Internet, que são:
- Nunca envie informação pessoal que lhe seja solicitada por e-mail tal como: n.º do cartão de crédito, username, password, nomes, informações sobre o telemóvel pessoal (Fabricante, Modelo, Nº Telemóvel);
- Não siga as ligações (links) de e-mails suspeitos. Caso queira aceder, introduza diretamente no browser o endereço da entidade referida no e-mail e navegue a partir daí;
- Em caso de dúvida, contacte a entidade para confirmar a veracidade do email, mas nunca use os contactos indicados no e-mail;
- Desconfie de e-mails impessoais que se dizem de uma entidade com a qual mantém relações, seja um site de e-commerce ou uma instituição financeira. Normalmente os e-mails destas entidades dirigem-se ao Cliente pelo nome, como "Exmo. Sr. José Silva" e não por "Caro cliente".
- O objetivo dos e-mails fraudulentos é precisamente obter informação pessoal sobre si, pelo que é difícil conhecerem o seu nome de antemão.