O que é phishing: saiba como funciona e como identificar esse golpe digital no dia a dia

Você pode até não entender bem o que é phishing, mas provavelmente já teve contato com esse tipo de golpe sem saber…

Afinal, é bem frequente que pessoas que usam celular, e-mail ou redes sociais recebam mensagens em tom de urgência para clicar em algum link – gatilho “clássico” do phishing.

Apesar de não ser uma novidade no mundo virtual, esse tipo de golpe ainda faz muitas vítimas no dia a dia.

Por isso, continue a leitura para saber o que é phishing e conhecer todos os detalhes para não ser vítima deste tipo de golpe!

O que é phishing?

O phishing é um tipo de golpe que utiliza mensagens falsas para enganar pessoas e obter informações e dados sensíveis, que serão utilizados com finalidade criminosa.

Para atrair atenção, essas mensagens utilizam tom de urgência, sensacionalismo, cobranças ou vantagens como oferta de descontos, preços muito baixos ou promoções incríveis (principalmente em datas promocionais como a Black Friday, por exemplo).

O que quer dizer phishing e qual a origem desse termo

Para entendermos bem o que é phishing, é importante saber o significado desse termo.

A origem do termo phishing é uma mistura das palavras fishing (pesca) e phreaking (termo usado entre hackers digitais para definir a prática de invadir sistemas telefônicos).

Ou seja: phishing se refere à prática de “pescar” dados usando “iscas” (mensagens e/ou links maliciosos).

Quais são os riscos do phishing?

O phishing oferece riscos tanto para pessoas quanto para empresas e pode trazer sérios prejuízos.

Os principais perigos dessa prática criminosa são:

• Roubo de informações sensíveis, como dados pessoais, financeiros ou sigilosos.
• Fraudes de identidade.
• Perdas financeiras geradas por transferências, compras ou empréstimos realizados indevidamente.
• Invasão de redes, sistemas e dispositivos (computadores, celulares, notebooks etc).
• Vazamento e uso indevido de dados.

Para empresas, o risco é ainda mais extenso.

Além de possíveis punições previstas na LGPD (Lei Geral de Proteção de Dados), os danos causados pelo phishing podem gerar perda de reputação, processos judiciais movidos por pessoas afetadas, interrupção das operações e ataques de ransomware – que é o que acontece quando os bandidos não só invadem, como assumem o controle dos meios digitais do negócio, bloqueando o acesso a dados e sistemas.

O ransomware é como se fosse um sequestro de dados em que o atacante exige o pagamento de um resgate, sob ameaças de vazamento de informações.

Como o phishing funciona?

O phishing é um tipo de fraude que faz muitas vítimas porque alia tecnologia e engenharia social – técnica que consiste em manipular vítimas em potencial para que elas forneçam ou viabilizem o acesso a informações e sistemas.

Ele funciona porque:

• Explora a boa-fé, a falta de informação ou a desatenção das pessoas.
• Pode ser aplicado em larga escala, sem envolver muitos gastos.
• Tem forte apelo emocional usando gatilhos mentais como medo, urgência etc.
• Conta com o “fator humano” para driblar sistemas de antivírus, firewalls, filtros e outros mecanismos de defesa usados, principalmente, por empresas.

Etapas do phishing

Um golpe de phishing costuma envolver as seguintes etapas:

1. Planejamento e preparação da isca: os golpistas definem seus alvos e criam e-mails ou mensagens de texto do celular (SMS/torpedo) e de WhastApp com links maliciosos.
2. Disseminação do link: criminosos disparam as mensagens. O texto é sempre alarmante, preparado para gerar medo ou despertar urgência – seja para evitar danos ou aproveitar uma oportunidade.
3. Ação maliciosa: a mensagem faz com que as pessoas cliquem no link malicioso. Quando isso ocorre, acontecem ações de ataque como a instalação de um programa, a captura de dados sensíveis/confidenciais ou o acesso a algum site/perfil falso. Em alguns casos, o simples clique no link já provoca a contaminação do dispositivo eletrônico com vírus ou códigos nocivos sem que a vítima perceba.
4. Uso dos dados e efetivação do golpe: após o sucesso da etapa anterior, os golpistas virtuais capturam dados e passam a utilizá-los em ações criminosas como transações financeiras indevidas (compras, empréstimos, saques), venda de informações sensíveis, controle de acesso ao dispositivo ou até espionagem/chantagem industrial.

Tipos de phishing e canais mais utilizados para o golpe

Um ataque de phishing pode ser realizado por qualquer meio de comunicação digital ou eletrônica (como o telefone, por exemplo).

Os tipos de phishing mais comuns são realizados pelos seguintes canais:

• E-mail.
• SMS (mensagem de texto do celular, também chamado de torpedo). Essa versão do golpe pode receber o nome de Smishing.
• Aplicativos de mensagens como o Telegram e WhatsApp.
• Redes sociais (perfis falsos de marcas, celebridades, lojas etc).
• Sites maliciosos ou falsos/clonados (principalmente, de instituições financeiras, lojas de e-commerce, marcas conhecidas etc).
• Banners e anúncios maliciosos nos meios digitais.
• Ligações telefônicas. Essa variação é conhecida como vishing, termo originado da junção das palavras voice (voz) + phishing. Destaque para telefonemas que simulam contato de centrais de segurança de bancos, financeiras, órgãos governamentais etc.

10 mensagens mais comuns usadas como “isca” no phishing

Algumas das “iscas” mais utilizadas nos golpes de phishing envolvem ligações ou mensagens que:

1. Simulam contato de centrais de atendimento sobre confirmação de compras de alto valor, bloqueios de cartão, empréstimos realizados, transações indevidas, entre outras.
2. Oferecem chances de ganho fácil, premiações, promoções, cupons ou descontos completamente fora do padrão (principalmente, em datas com grande apelo comercial).
3. Solicitam a atualização ou instalação de aplicativos ou programas (principalmente de bancos e instituições financeiras).
4. Cobram dívidas, multas, impostos, faturas ou contas desconhecidas.
5. Compartilham fotos ou informações sensacionalistas de casos de grande repercussão.
6. Informam sobre a expiração de pontos em programas de milhagem, fidelidade etc.
7. Pedem atualizações de cadastro ou de senhas, sob ameaça de perda de acesso a contas bancárias e pagamentos de benefícios sociais ou aposentadorias.
8. Avisam sobre a necessidade de pagamentos de taxas de liberação de supostas entregas ou encomendas.
9. Imitam mensagens de pessoas conhecidas, solicitando transferências de dinheiro com urgência. No contato, os golpistas podem avisar também sobre “troca de número” ou até utilizar o número real do contato usando clonagem.
10. Oferecem empregos ou oportunidades de trabalho, geralmente envolvendo grandes ganhos e pouco esforço.

Como se proteger do phishing

A melhor maneira de se proteger do phishing é buscar informações e estar sempre com “alerta ligado” ao receber mensagens solicitando cliques em links ou ligações pedindo senhas e dados de qualquer natureza.

Confira outras dicas para não ser mais uma vítima do phishing!

Desconfie sempre

Um antigo ditado já diz que “esmola demais, até o santo desconfia”. Por isso, desconfie de ofertas muito vantajosas.

Não aja de forma precipitada

Ao receber mensagens em tom alarmante e urgente, mantenha a calma.

Jamais tome qualquer atitude nem revele qualquer dado antes de verificar a veracidade das informações. Desligue o telefone caso receba ligações dessa natureza.

Informe-se por canais oficiais

Em caso de qualquer contato não-solicitado, não faça o que está sendo pedido.

Busque informações nos canais oficiais da instituição/empresa que te acionou. Se precisar mandar alguma mensagem ou falar com alguém, utilize apenas os contatos informados em fontes confiáveis.

Não clique em links suspeitos

Jamais clique em qualquer link de e-mails ou mensagens (SMS, WhatsApp etc) sem ter certeza da procedência ou da fonte.

Avalie o contexto da mensagem e preste atenção em detalhes como endereço do e-mail, erros gramaticais e ortográficos e remetente.

Desconfie também de arquivos anexos: eles podem ter códigos maliciosos, vírus e outros malwares (programas feitos para causar danos ou abrir brechas de segurança em dispositivos eletrônicos).

Ative a verificação em duas etapas

A verificação em duas etapas – ou autentificação em dois fatores (2FA) é um recurso que proporciona mais proteção na hora de fazer o login em aplicativos ou sites, já que exige não só a senha como também um segundo fator/informação que comprove a identificação de quem está acessando.

Pode ser um código enviado por e-mail, token ou confirmações biométricas, por exemplo.

Essa opção é oferecida por diversas plataformas de redes sociais, aplicativos, sites de comércios eletrônico, marketplaces e de serviços financeiros e digitais (e-mails, canais de streaming, jogos etc). Ao ativá-la, você minimiza chances de acessos indevidos, ainda que alguém consiga sua senha.

Utilize programas de segurança

Usar e atualizar programas de segurança para computadores e celulares ajuda a detectar links e arquivos maliciosos.

Há várias opções de antivírus para computadores e celulares que podem ser úteis para evitar o programa.

Programas de firewall também podem ajudar a bloquear o acesso a sites nocivos e identificar alguns problemas causados pelo phishing (como acessos suspeitos, conexões não autorizadas etc).

Phishing em empresas: boas práticas para evitar problemas

O phishing é um dos golpes mais comuns aplicados contra empresas.

Por isso, quem tem um negócio precisa ter cuidado redobrado com essa ameaça.

Além de prejuízos financeiros, o phishing pode afetar seriamente a imagem e a credibilidade da empresa – comprometendo até a continuidade do empreendimento.

Por isso, além das dicas acima, é importante:

• Oferecer treinamento frequente às pessoas que trabalham no seu negócio. Conscientização é a chave para evitar problemas!
• Definir regras para uso de dispositivos e acesso a e-mails, redes sociais e arquivos pessoais usando a rede da empresa.
• Gerenciar acessos, de forma que cada pessoa acesse apenas o que realmente precisa para suas atividades no negócio.
• Atualizar sistemas e programas com frequência, garantido novas proteções contra brechas de segurança.
• Nunca utilizar programas “piratas”.
• Ter um plano de contingência, com ações claras, que permita minimizar rapidamente possíveis danos causados pelo phishing.
• Fazer backup dos dados utilizados com frequência regular.
• Criar senhas fortes.

O que fazer se cair em um golpe de phishing?

Agora que você já sabe bem o que é phishing, a gente espera que esse conteúdo ajude você a não ser vítima deste tipo de armadilha.

Mas, ainda assim, vamos deixar algumas dicas do que fazer caso caia neste golpe.

Para amenizar possíveis prejuízos causados pelo phishing, você deve:

• Trocar imediatamente suas senhas de acesso a e-mails, redes sociais e contas bancárias.
• Bloquear cartões de crédito e carteiras digitais.
• Entrar em contato com as instituições financeiras onde possui conta.
• Procurar uma delegacia de polícia o quanto antes para dar queixa ou registrar um boletim de ocorrência eletrônico. Se possível, dê preferência a delegacias especializadas em crimes virtuais.
• Avisar seus contatos sobre o ocorrido, alertando as pessoas sobre possíveis tentativas de golpe.
• Colocar em prática as ações previstas no plano de contingência (caso o phishing tenha afetado sua empresa).

E não se esqueça: com o avanço da digitalização, os golpes digitais também se tornam mais comuns.

Desconfiança, atenção e informação são elementos-chave para não cair no phishing e manter tanto a sua segurança pessoal quanto a segurança do seu negócio.

Por falar em segurança do seu negócio, você pode contar com a Cielo para fazer vendas rápidas e seguras nas lojas físicas e no e-commerce!

Conheça nossas soluções para impulsionar e simplificar o seu negócio!

Veja também:

• Conheça os 14 golpes mais comuns e confira dicas de segurança para proteger sua empresa!
• Cielo apoia projeto que usa IA para ampliar segurança e prevenção a fraudes no Pix
• LGPD no Brasil: confira as principais ações da Cielo para garantir a segurança e privacidade dos dados