“O cibercriminoso aprendeu a escrever sem erros.“
O que é o phishing?
O phishing é uma das técnicas de ciberataque no âmbito da engenharia social, que abordámos na TIP da semana passada. O termo “Phishing” deriva da palavra inglesa “fishing” e está sempre relacionado com a captura de dados e informações através da utilização de correio eletrónico para cometer este crime informático.
Assim, utilizando esta técnica, o cibercriminoso enviará aleatoriamente comunicações por correio eletrónico falsas ou fraudulentas a diferentes utilizadores, profissionais e particulares. Nestas comunicações, é mais comum fazer-se passar por um contacto de confiança, seja ele alguém próximo (chefe, familiar, amigo) ou uma entidade importante (banco, administração pública, companhia de seguros).
Pode também estar relacionado com falsas verificações de início de sessão em plataformas (por exemplo, Amazon, Facebook, Netflix, etc.) ou pedidos de alteração de palavra-passe. Isto garante que o Utilizador que recebe a mensagem de correio eletrónico não suspeita que é falsa e comete um erro, como descarregar um ficheiro, clicar numa hiperligação, fornecer dados ou iniciar sessão através de um sítio Web falso (“Pharming”, falaremos sobre isto numa TIP específica mais adiante).
Isto, por sua vez, pode levar à instalação disfarçada de um vírus ou malware, ou seja, software malicioso que danifica o computador e a informação, ou à recolha de contactos, palavras-passe e quaisquer outros dados a que o cibercriminoso queira aceder.
Como é que podemos evitar isto?
- A regra de ouro continua a ser desconfiar de qualquer comunicação invulgar e “verificar duas vezes”. Para ter a certeza, devemos contactar o suposto remetente (o nosso chefe, familiar, banco, etc.) por outros meios oficiais, para perguntar se o correio recebido é verdadeiro.
- Não efetuar nenhuma das acções acima referidas antes de as ter verificado. Isto significa não descarregar ficheiros ou imagens, não clicar em ligações e, muito menos, introduzir dados pessoais ou palavras-passe em sítios Web ligados.
- Podemos verificar as ligações sem clicar nelas e, assim, evitar introduzir dados num sítio Web falso. Isto pode ser feito movendo o rato sobre a ligação, como se costuma dizer, sem clicar diretamente. Ao fazê-lo, verá que aparecerá uma mensagem com o nome original do sítio para o qual a ligação redirecciona e poderá verificar se se trata de um sítio oficial ou de um sítio fraudulento.
- Se suspeitar do conteúdo de uma comunicação, não responda à mensagem eletrónica. Isto pode alertar o cibercriminoso e este pode utilizar meios alternativos para nos enganar novamente (como o Vishing, chamadas telefónicas fraudulentas, ou o Smishing, mensagens de texto ou de Whatsapp falsas).
- Não se deve simplesmente omitir ou apagar. Se tivermos verificado o que precede e, em qualquer dos pontos, tivermos detectado a falsidade da comunicação, não devemos simplesmente apagá-la. Temos de notificar este incidente à equipa de apoio informático no local de trabalho e, a nível pessoal, ao fornecedor tecnológico do serviço de correio eletrónico (Microsoft, Google, etc.), para que este possa analisá-lo, resolvê-lo e podermos continuar a utilizar este serviço de forma segura, tanto para nós como para quaisquer outros Utilizadores.
NOTA IMPORTANTE: Mais uma vez, se tiveres a mínima suspeita de que sofreste um ciberataque, comunica-o ao teu departamento de informática, para que te possa aconselhar adequadamente. E, a nível pessoal, consulta as informações disponíveis na Internet, pergunta a especialistas ou contacta as equipas de apoio dos programas e aplicações.
*Datade envio: 24 de novembro de 2025