phishing

Os ladrões da sua identidade

By | Jornalismo | No Comments

Você já deve ter ouvido falar do aumento de casos de golpes virtuais no Brasil. Talvez conheça alguém que tenha caído em um deles. Quem sabe você mesmo foi vítima de um desses pilantras?

Ou você acha que jamais cairia em uma maracutaia dessas?

Se esse for o seu caso, lamento acabar com as suas ilusões: ninguém está totalmente seguro dos meliantes virtuais. Até mesmo profissionais experientes podem cair nessa. Portanto, todo cuidado é pouco!


Veja esse artigo em vídeo:


Um acontecimento recente demonstra o poder dos bandidos.

No dia 15 de julho, o Twitter foi vítima da maior falha de segurança de sua história. E nenhum sistema deles foi comprometido por problemas de software. A invasão aconteceu a partir de funcionários que foram enganados e forneceram aos hackers seus dados de acesso à rede interna e a sistemas de gerenciamento de contas de usuários.

Em minutos, os cibercriminosos conseguiram os dados de 130 contas, e enviaram tuítes a partir de 45 delas, acessaram mensagens diretas de 36 e baixaram os dados de 7. E não eram quaisquer contas! Entre outras, estavam as do ex-presidente americano Barack Obama, do candidato à presidência dos Estados Unidos Joe Biden, do fundador da Microsoft Bill Gates, do CEO da Amazon, Jeff Bezos, e do empresário Elon Musk. Essa ação rápida convenceu pessoas que seguem essas contas a fazer doações, que teriam chegado a US$ 100 mil.

No dia 31 de julho, a polícia prendeu três homens acusados do crime. O líder da gangue é um adolescente de 17 anos, da Flórida.

Os funcionários de uma das empresas mais badaladas do Vale do Silício foram vítimas de uma técnica chamada “spear phishing”, uma versão mais elaborada do “phishing”.

O “phishing” convencional consiste no disparo de uma grande quantidade de e-mails e mensagens de SMS e WhatsApp que tentam convencer a vítima de que se trata de uma comunicação oficial de uma empresa ou instituição. Os bancos são os preferidos pelos criminosos para tentar enganar as pessoas. Se a vítima instala o programa ou clica no link, cai em um ambiente que simula o do banco, para que informe sua senha e até faça pagamentos.

Mas essas mensagens são enviadas para todo mundo sem qualquer personalização. Daí fica mais fácil perceber o golpe.

Já o “spear phishing”, que enganou os funcionários do Twitter, é bem mais elaborado. Antes de entrar em contato com a vítima, os bandidos fazem uma pesquisa sobre ela, para que a comunicação seja personalizada, tornando-se mais convincente.

No caso do ataque ao Twitter, a quadrilha fez a lição de casa. Conheciam exatamente quais funcionários atacar e o que falar para eles. Eles se passaram por membros da área de TI e sabiam o que dizer para convencer os profissionais a entrar em um site falso de acesso ao ambiente corporativo, idêntico ao da empresa.

Os bandidos precisavam ser incrivelmente convincentes na sua conversa. E foram!

Mas, se os funcionários do Twitter caíram nessa, imagine um cidadão comum, que não tem nenhum preparo e experiência para evitar esse tipo de golpe!

Em casos específicos, criminosos usam até sistemas que sintetizam a voz de alguém conhecido pela vítima, como um diretor da empresa. Ou seja, no “spear phishing”, os criminosos pesquisam nas redes sociais a sua vida, seu trabalho, sua família, seus amigos, seus gostos.

Golpes “viralizaram” com o Covid-19

Para você ter uma ideia do tamanho do “phishing” por aqui, nos primeiros meses da pandemia de coronavírus, o Brasil foi o quinto país no mundo nesse tipo de golpe. Ficamos atrás apenas da Venezuela, de Portugal, da Tunísia e da França.

Segundo a empresa de cibersegurança Kaspersky, um a cada oito brasileiros sofreu tentativas de ataque entre abril e junho. A consultoria Refinaria de Dados calcula que, entre 20 de março e 18 de maio, a busca de informações pessoais e bancárias de brasileiros na “Dark Web” cresceu 108%, passando de 19 milhões por dia! Já a Febraban (Federação Brasileira de Bancos) informa que o “phishing” aumentou 70% no pós-Covid-19.

Temas ligados à pandemia estão no centro dos ataques, especialmente o auxílio emergencial do governo. Por isso, o nome da Caixa Econômica Federal vem sendo muito usado. Golpes de sites de leilão falsos com o nome da Caixa também cresceram muito no período.

O que podemos fazer para nos proteger desses golpes?

No caso de empresas, é muito importante que treinem seus funcionários frequentemente contra ataques da chamada “engenharia social” feitos por mensagens digitais, ligações telefônicas e até pessoalmente.

Do lado do usuário final, não entre em sites que dizem ser do banco a partir de links enviados por e-mail, WhatsApp ou SMS. Bancos não mandam links, nem pedem senhas nunca! Aliás, jamais informe senhas a ninguém!

Tampouco entregue, em hipótese nenhuma, seu cartão de débito ou de crédito cortado a ninguém. E quando for jogar fora um cartão velho, corte o chip e a tarja magnética mais de uma vez. E não deposite os pedaços no lixo reciclável.

Não coloque dados pessoais e de cartões em sites de origem duvidosa. Ative o serviço do seu banco para receber um SMS a cada transação com cartões de crédito e débito, para identificar imediatamente alguma indevida.

Evite expor seu telefone nas redes sociais e sites. O mesmo vale para anúncios que fizer em sites de vendas: prefira os canais de comunicação da plataforma para falar com possíveis compradores. E desconfie se receber ligações ou mensagens de pessoas em nome desses sites, de bancos ou operadoras de cartão. Tampouco dá para confiar no número de quem está ligando, pois sistemas conseguem alterar essa identificação, para que apareça o número de alguém conhecido.

Se, ao ligar a um telefone, especialmente do banco ou operadora de cartão, aparecer automaticamente no celular um programa que diz ser da empresa, para continuar o atendimento por ali, desconfie! Prefira fazer a chamada por voz no número oficial da empresa. Se não houver essa opção, ligue de outro telefone, se possível, de um fixo.

O uso de frases informais e até gírias em conversas, e erros de ortografia, no caso de mensagens escritas, são suspeitos!

Desconfie de ligações oferecendo brindes, trabalho ou outro convite em nome de um amigo ou colega. E jamais confirme números que são enviados a você por SMS, WhatsApp ou e-mail. Esse é o método preferido para sequestrar o seu WhatsApp, para os criminosos depois mandarem mensagens a seus contatos, pedindo dinheiro em seu nome.

Aliás, ative a verificação em duas etapas no WhatsApp e outras plataformas. É uma camada a mais de segurança. Mesmo que o criminoso obtenha o código de verificação, vai precisar também de uma senha extra criada por você, e isso pode impedir que sua conta seja sequestrada.

Por fim, nunca instale aplicativos que venham por e-mail, WhatsApp ou SMS. Faça isso sempre a partir das lojas de aplicativos oficiais.

Então, faça um favor a você mesmo: não pense que isso nunca acontecerá com você! Ninguém está imune a esses ataques.

Desenvolva uma saudável desconfiança e preserve a sua identidade e os seus bens.