Segurança Digital #2 – Phishing: o problema de segurança que simplesmente não morre

Não adianta o quão segura é a fechadura da porta de casa quando você convida o ladrão a entrar.

Resumido numa frase, é assim que funciona uma das técnicas mais antigas utilizadas por criminosos para obter informações de acesso a serviços críticos, como bancos e redes sociais: o Phishing.

Todos nós já recebemos alguma mensagem suspeita alguma vez e, depois de quase 30 anos de existência da internet, a maioria de nós já aprendeu a identificar o que é um email fraudoso de um email real. Porém, o phishing continua um problema ainda hoje e, como é baseado na psicologia humana, podem-se passar outros 100 anos que o problema simplesmente não irá sumir.

Portanto, nunca se pode tomar cuidado demais contra o phishing, e aqui compartilho algumas dicas simples que podem te proteger de formas comuns do Phishing.

Como o phishing funciona

O objetivo do phishing é convencer você, o usuário de email ou de qualquer outro meio de comunicação, a revelar suas informações de acesso ou fazer alguma coisa que dará acesso ao autor do phishing a alguma área ou serviço restrito.

Os fatores que tornam o phishing possível são o medo (percepção de perda), percepção de urgência e percepção de legitimidade que, combinados com um usuário distraído, se tornam altamente eficientes. Porém, repare que o phishing depende exatamente disso: percepção do usuário.

As tentativas de phishing variam em várias escalas diferentes. Há tentativas genéricas, através de emails em massa para usuários sem discriminação, fingindo serem de um serviço popular que quase todos usam. Estas tentativas são geralmente óbvias, mas elas podem ser bem específicas também, chegando a ser bem personalizadas conforme o perfil do usuário e difíceis de se reconhecer. Geralmente estas formas sofisticadas são chamadas de Spear Phishing.

Um caso famoso de Spear Phishing foi o vazamento dos emails pessoais do gerente da campanha do Partido Democrático dos EUA em 2016. A causa-raíz deste ataque depois foi traçada a um phishing bem-sucedido. Este foi um exemplo extremo de quão profissional e específico o criminoso motivado do phishing pode se tornar.

https://dd80b675424c132b90b3-e48385e382d2e5d17821a5e1d8e4c86b.ssl.cf1.rackcdn.com/files/images_articles/podestadncphish2016.jpg
Fato? Ficção? O resultado final da eleição disse o resto.

Se você pensa que os custos envolvidos com a sua segurança digital não são relevantes, no caso do partido democrático o incidente lhe custou a eleição. Com exemplos destes acontecendo na vida real, se torna claro que não há limites pelo que o phishing pode se tornar.

Felizmente, exceto se sua posição ou exposição pública for altamente especial, a maior parte das tentativas de phishing que serão genéricas e fáceis de se identificar.

Identificando o phishing

Executar o phishing com sucesso é mais arte do que técnica, pois basta apenas convencer o usuário da veracidade da informação para que o truque prossiga sem qualquer forma de impedimento.

Há alguns elementos comuns às tentativas de Phishing que são sinais de que a mensagem é não é genuína. Você sempre deve se atentar a estes pontos quando receber um email de um remetente estranho, por exemplo:

  • O remetente possui um domínio exatamente igual ao esperado do serviço oficial (subdomínios são aceitáveis)? Ex: BRADESC0.COM.BR não é igual a BRADESCO.COM.BR
  • Os links inclusos no email apontam exatamente para onde deveriam apontar? Teste colocando o mouse sobre o link, e vendo para onde ele aponta no rodapé da janela.
  • O email pede que você tome alguma ação com urgência, alertando inclusive de algum risco se você ignorá-lo? Ex: se você não acessar este link e verificar sua conta, será bloqueado para sempre.

É possível reproduzir páginas de login pixel a pixel, e não é nem difícil. Sempre lembre-se de deixar possíveis emoções de lado e analisar os emails racionalmente. Se alguma das coisas acima não baterem, ou o seu próprio instinto te segurar, delete o email imediatamente.

Conclusão

O phishing continua sendo uma das maneiras mais simples e eficientes que o crime online consegue operar, seja em pequenas fraudes até incidentes com alvos específicos de alto escalão. Por não ter execução técnica e ultimamente depender apenas do usuário, é necessário ter consciência e saber reconhecer tais atentados para se defender deles.

Manter-se sempre atualizado quanto às técnicas de phishing é um ótimo meio de se proteger, tal como se faz contra golpes e fraude via telefone. Assim como nos investimentos, aprendizado constante é crucial.

Abraços e seguimos em frente!

Pinguim Investidor


Recursos adicionais para se conscientizar contra phishing:


Embora este post tenha intenção de beneficiar o leitor, infelizmente preciso frisar o meu disclaimer e dizer que não sou profissional praticante da área de segurança da informação. O conteúdo deste post é informativo, mas, assim como nos investimentos, você precisa fazer o seu próprio dever de casa também.

Anúncios

3 comentários sobre “Segurança Digital #2 – Phishing: o problema de segurança que simplesmente não morre

  1. Pingback: Segurança Digital #1 – Como Investir na sua Segurança Digital – Pinguim Investidor

  2. Pinguim Investidor,

    Excelente post. Interessante a frase inicial, eu ainda não conhecia.
    Gostei da explicação bem detalhada, pois muitas pessoas desconhecem os detalhes, que são imperceptíveis para leigos.

    Boa semana,
    https://www.simplicidadeeharmonia.com

    A propósito, estou recomeçando a postar em meus outros blogs, se quiser ver:
    https://simplicity4ever.blogspot.com
    https://solascripturabiblia.blogspot.com

    Curtido por 1 pessoa

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s