O que é Phishing

Prévia do material em texto

O que é Phishing ?
Phishing é uma boa parte milhões de ameaças virtuais que estão espalhadas pela internet. Essa prática, como o nome sugere (“phishing” em inglês corresponde a “pescaria”), tem o objetivo de “pescar” informações e dados pessoais importantes através de mensagens falsos. Com isso, os criminosos podem conseguir nomes de usuários e senhas de um site qualquer, como também são capazes obter dados de contas bancárias e cartões de crédito.
Onde se originou:
Sua criação foi em 1996, por crackers que praticavam roubo de contas da America Online (AOL), fraudando senhas de usuários. Sua primeira menção pública ocorreu no grupo blackhat alt.2600, em 28 de Janeiro do mesmo ano de sua criação, feita pelo usuário mk590, que dizia: 
- "O que acontece é que antigamente, podia-se fazer uma conta falsa na AOL, uma vez que se tivesse um gerador de cartões de crédito. Porém, a AOL foi esperta. Agora, após digitar-se os dados do cartão, é feita uma verificação com o respectivo banco. Alguém mais conhece outra maneira de adquirir uma conta que não seja através de Phishing?" 
Apenas um ano depois, em 1997, o termo foi citado na mídia. Neste mesmo ano, os phishs (contas hackeadas) já eram utilizados como moeda no mundo hacker, e podia-se facilmente trocar 10 phishs da AOL por uma parte de um software malicioso. O Phishing, antigamente utilizado para roubar contas de usuários da America Online, hoje tem aplicações muito maiores e obscuras, como por exemplo, o roubo de dinheiro de contas bancárias. 
Tipos de crimes eletrônicos onde é utilizado Phishing:
1 - Mobile malware
Trata-se de um vírus que embora fosse mais comum em computadores, está cada vez mais frequente em aparelhos móveis. Ele se instala e rouba dados como o de banco ou senhas do usuário.
2 - Aplicativos maliciosos
Há aplicativos feitos especialmente para roubo de dados de smartphones ou para enviar mensagens de texto com cobrança adicional sem que os consumidores saibam. No geral, eles são apresentados como com um aplicativo promissor e cheio de facilidades, mas ao serem baixados pelos usuários são usados para roubo de dados.
3 - Lojas virtuais falsificadas
No final de ano há muitas promoções, principalmente no e-commerce. Datas como o Black Friday, que oferecem produtos a menos da metade do preço, chamam o consumidor para as compras. Quando isso ocorre muitas lojas falsas são lançadas nas redes. Muitas vezes elas usam nomes muito semelhantes aos de lojas consagradas pelo consumidor. Fazem a venda e quando a promoção acaba, simplesmente excluem o site deixando o comprador sem o dinheiro nem produto.
4 - Concursos via Facebook
Os criminosos se passam por uma companhia aérea ou grande loja e lançam promoção na rede. Para participar do sorteio a pessoa precisa informar vários dados pessoais, que depois são usados para golpes.
5 – Falsos e-mails ou mensagens
Os hackers enviam e-mails que parecem ser de empresas reais, como bancos. Um exemplo clássico: o usuário recebe uma mensagem dizendo que seus dados precisam ser atualizados, pois a conta bancária pode ser desativada.
6 - Hotéis
Como as reservas de hotéis em sua maioria são feitas online, os criminosos aproveitam. Entram em contato com as pessoas falando que a cobrança para garantir a reserva teve problema e que a pessoa deve clicar no link e digitar os dados bancários. A pessoa clica, digita e tem os dados roubados por farsantes.
7 – Dropbox
Os criminosos usam falsos endereços que parecem vir da plataforma para levar os usuários a fazer login em um site fraudulento.
8 – Ataque aos arquivos do Google Docs
Como cada vez mais os usuários e até empresas estão armazenando documentos importantes na nuvem do Google Drive, os criminosos tem muito interesse em acessar a plataforma para roubar diferentes tipos arquivos, incluindo fotos pessoal. Assim o plano é basicamente o mesmo do Dropbox: um falso e-mail que parece ser da equipe do Google pede para que o usuário clique em um link falso.
9 - Peixe grande
Quando os criminosos querem atingir especificamente empresas, eles procuram atacar com phishing primeiro os funcionários que ocupam os altos cargos da empresa. Quando conseguem ter acesso a esses e-mails, logo várias mensagens são espalhadas, solicitando arquivos importantes aos colaboradores, que respondem prontamente aos seus superiores. Assim, em questão de minutos, os criminosos passam a ter acesso às informações confidenciais da empresa. Além do roubo de dados, podem acontecer perdas financeiras.
10 - Phishing por ransomware
Nesse tipo de ataque de phishing, o usuário também recebe um link fraudulento mas, em vez de ser redirecionado a um site falso, ele acaba instalando um malware no computador, muitas vezes em forma de ransomware. A intenção aqui não é exatamente roubar apenas as informações, mas também as máquinas, que são virtualmente sequestradas pelos criminosos. Para ter acesso a todos seus arquivos novamente, é preciso pagar por um resgate aos hackers.
11 - Pharming
O Pharming é um tipo bem perigoso de phishing, pois ele ataca o servidor DNS, principalmente de empresas. O ataque pode ser ou com a instalação de um cavalo de troia em algum computador host ou diretamente na rede. A partir daí qualquer endereço de site, mesmo que pareça confiável, pode levar a páginas fraudulentas sem que o usuário desconfie. Assim, os hackers conseguem coletar informações de várias pessoas ao mesmo tempo.
12 - Bitcoins
As criptomoedas estão em alta e os criminosos cibernéticos logo perceberam que seria uma um meio interessante de aplicar golpes por phishing. Os hackers têm utilizado truques como sites disfarçados de serviços de câmbio ou e-mails com oportunidade de compra que são tentadoras, mas totalmente falsas.
13 - Spear Phishing
Esse tipo de golpe visa atingir um número menor de pessoas, mas a chance de sucesso termina sendo maior. São enviadas a poucas pessoas mensagens personalizadas, com informações bem convincentes, como nome, sobrenome e outros dados, que levam o usuário a acreditar que está recebendo um e-mail legítimo de alguém familiar. Os golpistas podem até falsificar endereços de sites conhecidos, o que dificulta perceber que está se caindo em um golpe.
14 - Smishing SMS
O alvo aqui são exclusivamente os celulares. O smishing é um tipo de phishing que chega por mensagens de texto supostamente enviadas por empresas conhecidas que oferecem prêmios que não existem. Como das outras formas de golpe, a pessoa clica em algum link malicioso e é induzida a digitar dados pessoais, incluindo número do cartão de crédito. Mensagens de prêmios podem ocultar golpes phishing.
15 - Vishing
Aqui, mais uma vez, o telefone, móvel ou fixo, é a forma usada para atacar as vítimas, os criminosos criam uma mensagem automática e fazem repetidas ligações para vários números diferentes. Mais uma vez, sob o pretexto de serem empresas (e principalmente bancos), persuadem as pessoas a digitarem ou informarem dados pessoais. Esses são apenas alguns exemplos de como os criminosos podem usar o phishing para fazer vítimas. Como os programas de antivírus estão sempre em atualização, os hackers criam novas formas de ataque para burlar os sistemas de segurança.