O que é phishing?

Phishing é um tipo de crime cibernético que visa obter seus dados pessoais ou financeiros de forma fraudulenta para cometer outros crimes. Por exemplo, alguém envia um e-mail, mensagem de texto, ou mesmo liga pelo telefone, fazendo-se passar por uma empresa ou entidade conhecida, como banco, operadora de cartão de crédito, operadora de celular, uma loja, etc., para convencer a vítima a divulgar alguma informação pessoal sensível, como dados do cartão de crédito, dados bancários, senhas, códigos de verificação de duas etapas, etc.

Na mensagem de phishing, o criminoso pode: 1) solicitar diretamente os dados que ele deseja obter ou 2) fazer com que você baixe um documento ou aplicativo, 3) direcioná-lo (via link ou botão) para um site onde você baixa e instala um aplicativo malicioso 4) direcioná-lo para um site onde você preenche seus dados pessoais ou de segurança.

A ideia do phishing é fazer isso tudo sob o disfarce de uma entidade legítima, em que você confiaria. Veja exemplo abaixo de um e-mail que informa sobre caixa postal cheia, como se viesse do provedor do usuário:

O link para "Atualizar meu e-mail" leva para um site onde o usuário insere os dados de acesso à caixa postal, que depois são utilizados para envio de spam e talvez roubo de dados pessoas e dos contatos.

No caso do exemplo acima, se houver suspeita da legitimidade do e-mail, o usuário deve entrar em contato diretamente com o seu provedor para verificar a informação.

Como se proteger do phishing?

Como nem sempre é possível saber de cara se um e-mail ou mensagem é phishing, você pode minimizar o risco de tornar-se uma vítima desse crime adotando as seguintes práticas:

1. Não abra mensagens suspeitas ou não solicitadas, mesmo aquelas com assunto que despertem sua curiosidade ou atenção. Simplesmente apague.

2. Se já abriu a mensagem, examine seu conteúdo. O e-mail pode até incluir o logotipo da empresa ou entidade, ou mesmo ter o mesmo formato de um e-mail original. Procure por erros de português, ou linguagem incongruente, que evidenciem que o e-mail ou mensagem não é legítima. Mas não se baseie só nisso, pois os criminosos estão ficando mais sofisticados e procurando melhorar a grámatica.

3. Verifique o endereço de e-mail do remetente: se o domínio (o que vem depois do @) é da empresa ou entidade identificada no e-mail. Se for totalmente diferente, a suspeita de phishing é alta. Se for parecido, mas não igual ao da empresa, desconfie. Exemplo: Banco XPTO, cujo site é https://bancoxpto.com.br/, mas o domínio do e-mail é @bancoxpto-validacao.com.br, desconfie.

4. Se você determinar que o conteúdo do e-mail possa ser verdadeiro, mas não tem 100% de certeza, NÃO clique em nenhum link ou botão. Digite manualmente o endereço do site da entidade no seu browser (ou procure-o no Google) e acesse sua conta por lá. Ou você pode ligar para a empresa (não use algum número de telefone informado no e-mail) para confirmar a veracidade do conteúdo.

5. Se decidir que vai clicar em algum botão ou link, saiba que um e-mail de phishing pode ter links ou botões que levam para o site legítimo E TAMBÉM links falsos, então verifique sempre antes de clicar. Também veja se o domínio do link é exatamente o do site da empresa, e não algo parecido que possa ser confundido de relance, tipo www.amzon.com, masterc4rd.com, etc.

6. Mantenha seu sistema e browser sempre atualizados. Os principais browsers modernos têm proteção anti-phishing: ao acessar um site suspeito, você é alertado sobre o risco potencial antes de que possa usá-lo.

7. Use um antivírus ou anti-malware atualizado, pois muitos também têm proteção anti-phishing que complementam a proteção dos browsers.