Milhões de Sites de Phishing são Criados a Cada Mês: Descubra as Suas Máscaras
Ninguém quer ser o peixe bobo que fica preso numa isca aleatória. A analogia da pesca funciona bem quando queremos dizer aos usuários como eles se sentem quando são enganados pelos sites de phishing, mensagens de e-mail e pop-ups. Afinal, a palavra "phishing" não surgiu do nada: a comparação está lá e é apropriada.
Como você provavelmente pode dizer, neste blog, falaremos mais sobre os sites de phishing e phishing. Esperamos que as informações contidas neste post ajudem você a reconhecer essas páginas da Web no futuro, de forma que você seja capaz de proteger-se contra o roubo de dados pessoais.
Índice
O Que é Phishing?
Antes de irmos para o tópico principal da nossa entrada, gostaríamos de lhe dar uma ideia geral sobre o que é phishing. Para simplificar, o phishing é uma atividade maliciosa que permite que os golpistas roubem informaçōes confidenciais. Essas informações confidenciais podem incluir nomes de usuários, senhas, detalhes do cartão de crédito e assim por diante. Os ataques de phishing podem ser realizados por meio de mensagens de e-mail, mensagens instantâneas e outras técnicas de engenharia social que alcançam os usuários por meio de vários canais da Internet.
Por exemplo, uma mensagem de spam é muitas vezes parte de um esquema de phishing. Por exemplo, os usuários podem receber um e-mail que parece uma notificação legítima de um banco específico. A mensagem geralmente contém um link de saída e os usuários são solicitados a clicar nesse link para confirmar a sua identidade. No entanto, ao "confirmar" a sua identidade, eles apenas revelam essas informações aos cibercriminosos.
Assim, podemos ver que um ataque de phishing consiste basicamente em duas partes: a mensagem e a página de origem. Já cobrimos o que os usuários devem fazer para evitar o primeiro componente dessa cadeia. Portanto, hoje gostaríamos de nos concentrar nos sites de phishing.
Sites de Phishing
Seria ótimo se pudéssemos fornecer uma lista dos sites de phishing, e você poderia colocá-la em algum lugar para evitá-los. Infelizmente, os especialistas em segurança sugerem que essas páginas têm uma duração realmente curta. Sabe-se que elas são substituídas em poucas horas para evitar serem detectadas. Esse curto período de vida significa que existem milhões desses sites por aí. Um relatório da WebRoot afirma que cerca de 1.4 milhōes de sites de phishing são, em média, criados todos os meses.
Como esses sites são de curta duração, eles são capazes de evitar as listas de bloqueio que é uma das estratégias tradicionais anti-phishing. Uma lista estática se torna desatualizada em questão de segundos, e os usuários não podem mais confiar nela quando precisarem verificar se uma determinada página é mal-intencionada ou não. Além do mais, em vez de usar uma página, os hackers agora utilizam sites rotativos, e isso permite que as suas campanhas de phishing vivam por mais tempo. Então, o que os usuários podem fazer para perceber os sites falsos?
Tendências dos Sites Falsos
Os especialistas em segurança concordam unanimemente que está se tornando um desafio reconhecer os sites falsos. Os sites de phishing que tentam roubar informações confidenciais tendem a parecer extremamente realistas, e quando você associa isso ao senso de urgência que eles usam para enganar usuários inocentes, pode ser difícil dizer se uma página é falsa.
Se você está acostumado a uma determinada fonte ou layout de algum site popular, pode achar que a página falsa é real mesmo se ver a mesma cor ou o mesmo logotipo. Portanto, não é surpresa que os hackers personifiquem sites populares como o Google, Facebook, Dropbox, PayPal e outros, para extrair informações importantes dos usuários desavisados.
Normalmente, deve ser possível dizer que a página é falsa, verificando o seu URL. No entanto, os desenvolvedores de ataques de phishing sabem disso e tendem a usar ferramentas de script para codificar os seus endereços, fazendo com que pareçam criptografados e seguros. Nesse caso, o que pode chamar a sua atenção é o design do site. Embora os golpistas possam usar o mesmo esquema de cores e os mesmos logotipos, o design pode estar desatualizado. Então, se você perceber que a página do PayPal que você abriu parece diferente da que você abriu ontem, é o primeiro sinal de que algo está errado.
É Possível Evitar os Ataques de Phishing?
O grande número de sites fraudulentos torna claramente difícil, até mesmo para os especialistas em segurança, encontrar métodos relevantes e eficazes para conter essa epidemia de phishing. Sem mencionar que é quase impossível acompanhar os sites porque eles ficam offline muito rápido. As mudanças nas técnicas de ataques de phishing exigem novos métodos de detecção, e esse é claramente um dos principais desafios que os especialistas em segurança cibernética enfrentam hoje em dia. Mas e os usuários comuns? Existe alguma coisa que eles podem fazer para evitar esses ataques?
Embora esteja se tornando muito difícil detectar tais ataques, ainda há uma coisa que todos eles compartilham, e isso é o causa o senso de urgência. Em outras palavras, os ataques de phishing irão apostar nos seus medos e emoções, a fim de induzi-lo a entregar as suas informações confidenciais. Na maioria das vezes, as mensagens de phishing implicam que, se você não fizer algo imediatamente, todo o seu mundo entrará em colapso em um instante. Portanto, as palavras que você deve procurar incluem "aviso", "alerta", "erro" e assim por diante. A linguagem usada nas mensagens de phishing e sites é projetada para colocar você em ação sem dar a você tempo para pensar.
Portanto, você tem que permanecer calmo mesmo que alguém afirme que você precisa tratar de um assunto urgente imediatamente. Por exemplo, antes de divulgar as suas informações confidenciais, você pode sempre verificar se o problema é uma ameaça real. Se você estiver no PayPal, pode tentar acessar a sua conta por meio de outro navegador ou pode, simplesmente, entrar em contato com o atendimento ao cliente (e até mesmo fornecer o link suspeito!), perguntando se você realmente tem problemas específicos com a sua conta.
Nenhuma empresa encerraria a sua conta em questão de horas sem verificar novamente com você várias vezes antes disso. Ninguém iria querer perder um cliente desse jeito. Portanto, a melhor maneira de se proteger de um ataque de phishing é manter a cabeça fria e sempre checar se as terríveis consequências descritas em uma mensagem específica são reais. Não há necessidade de mergulhar de cabeça na rede de phishing.