O que é o phishing?
O phishing é uma das técnicas de ciberataque no âmbito da engenharia social, que abordámos no TIP da semana passada.
O termo “Phishing” deriva da palavra inglesa “fishing” e está sempre relacionado com a captura de dados e informações através da utilização de correio eletrónico para cometer este crime informático.
Assim, utilizando esta técnica, o cibercriminoso enviará aleatoriamente comunicações por correio eletrónico falsas ou fraudulentas a diferentes utilizadores, profissionais e particulares.
Nestas comunicações, é mais comum fazer-se passar por um contacto de confiança, seja ele alguém próximo (chefe, familiar, amigo) ou uma entidade importante (banco, administração pública, companhia de seguros).
Pode também estar relacionado com falsas verificações de início de sessão em plataformas (por exemplo, Amazon, Facebook, Netflix, etc.) ou pedidos de alteração de palavra-passe.
Isto garante que o Utilizador que recebe a mensagem de correio eletrónico não suspeita que é falsa e comete um erro, como descarregar um ficheiro, clicar numa hiperligação, fornecer dados ou iniciar sessão através de um sítio Web falso (“Pharming”, falaremos sobre isto no TIP específica mais adiante).
Isto, por sua vez, pode levar à instalação disfarçada de um vírus ou malware, ou seja, software malicioso que danifica o computador e a informação, ou à recolha de contactos, palavras-passe e quaisquer outros dados a que o cibercriminoso queira aceder.
Como é que podemos evitar isto?
- A regra de ouro continua a ser desconfiar de qualquer comunicação invulgar e “verificar duas vezes”. Para ter a certeza, devemos contactar o suposto remetente (o nosso chefe, familiar, banco, etc.) por outros meios oficiais, para perguntar se o correio recebido é verdadeiro.
- Não efetuar nenhuma das acções acima referidas antes de as ter verificado. Isto significa não descarregar ficheiros ou imagens, não clicar em ligações e, muito menos, introduzir dados pessoais ou palavras-passe em sítios Web ligados.
- Podemos verificar as ligações sem clicar nelas e, assim, evitar introduzir dados num sítio Web falso. Isto pode ser feito movendo o rato sobre a ligação, como se costuma dizer, sem clicar diretamente. Ao fazê-lo, verá que aparecerá uma mensagem com o nome original do sítio para o qual a ligação redirecciona e poderá verificar se se trata de um sítio oficial ou de um sítio fraudulento.
- Se suspeitar do conteúdo de uma comunicação, não responda à mensagem eletrónica. Isto pode colocar o cibercriminoso em alerta e este pode utilizar meios alternativos para nos enganar novamente (como o Vishing ou o Smishing, de que falaremos em futuros TIPS).
- Não se deve simplesmente omitir ou apagar. Se tivermos verificado o que precede e, em qualquer dos pontos, tivermos detectado a falsidade da comunicação, não devemos simplesmente apagá-la. Temos de notificar este incidente à equipa de apoio informático no local de trabalho e, a nível pessoal, ao fornecedor tecnológico do serviço de correio eletrónico (Microsoft, Google, etc.), para que este possa analisá-lo, resolvê-lo e podermos continuar a utilizar este serviço de forma segura, tanto para nós como para quaisquer outros Utilizadores.