[ad_1]
Robert Mueller, ex-diretor do FBI e conselheiro especial da technology Trump, notoriamente se recusou a fazer transações bancárias on-line após uma ligação com um golpe de electronic mail falso em 2009.
Então, o que o homem que costumava ser o chefe da organização policial mais respeitada do país temia por sua vida financeira? Em uma palavra, phishing – um termo cunhado por vigaristas da web para descrever o processo de “atrair” consumidores com electronic mail falso, texto, mídia social, mensagens instantâneas ou mesmo de voz que os atraem a fornecer suas informações privadas, assim como um pescador pode atrair um peixe com uma isca giratória brilhante.
O FBI certa vez chamou o phishing de “o novo golpe mais quente e preocupante da web”.
Embora não seja mais uma novidade, o phishing ainda é a maneira mais confiável de criminosos e espiões obterem informações secretas e invadirem redes de computadores e contas on-line. Entender o que é phishing e como se proteger dele é tão importante quanto sempre.
O que os golpes de phishing querem
Então, o que é phishing, exatamente? Phishing é um truque de confiança. Especialistas em segurança da informação chamam isso de “engenharia social”, mas é um trabalho fraudulento que engana as pessoas para entregar informações pessoais confidenciais, geralmente (mas não apenas) as credenciais online que os consumidores usam para se identificar no mercado online.
Alguns bons exemplos dessas credenciais valiosas são os nomes de usuário, endereços de electronic mail e senhas que são usados para fazer login em websites que armazenam os detalhes do cartão de crédito ou da conta bancária de um cliente para uso futuro.
As senhas para contas de mídia social ou webmail também podem ser phishing, pois essas contas também tendem a conter muitas informações úteis. Alguns golpes de phishing visam não senhas, mas itens como informações de cartão de crédito ou números de seguro social.
As formas mais recentes de phishing não visam roubar suas credenciais ou qualquer outro tipo de informação imediatamente, mas sim instalar malware no dispositivo que você está usando para ler as mensagens de phishing.
A chave para entender os golpes de phishing é que eles podem assumir muitas formas, mas todos visam roubar dinheiro, assumir contas, cometer roubo de identidade ou instalar malware.
Um bom exemplo de electronic mail de phishing seria uma mensagem de electronic mail que supostamente é enviada a você pelo seu banco, alertando-o sobre um saque a descoberto ou saldo negativo em sua conta.
O electronic mail de phishing pode incluir o que parece ser um hyperlink para o web page do seu banco, onde você pode fazer login com suas credenciais (seu nome de usuário e senha) para resolver o problema.
Mas, em vez de levá-lo ao web page actual do seu banco, o hyperlink leva você a um web page semelhante, administrado por criminosos que desejam acessar sua conta. Se eles obtiverem suas credenciais e assumirem o controle de sua conta, eles podem roubar seu dinheiro ou usar sua conta para “lavar” seus ganhos ilícitos.
Spear phishing
A maioria dos ataques de phishing são “spray and pray”, enviando toneladas de mensagens idênticas para milhares de vítimas em potencial na expectativa de que algumas dezenas caiam no golpe.
Muito mais eficazes são os e-mails de “spear phishing” que visam apenas algumas pessoas ou até mesmo uma única pessoa. No spear phishing, a isca é uma mensagem especificamente adaptada às expectativas da vítima.
Uma mensagem de spear phishing pode se dirigir a você pelo nome, se referir ao seu native de trabalho ou parecer que vem de seu chefe ou colega de trabalho. Ele o convidará a clicar em um hyperlink que leva à página de login de um serviço que sua empresa united states of america ou a baixar e abrir um anexo de electronic mail relacionado a negócios urgentes da empresa.
Alguns anos atrás, nós aqui no Tom’s Information fomos atingidos por uma mensagem de electronic mail de phishing que parecia vir de um de nossos funcionários de recursos humanos. A mensagem dizia que precisávamos resolver um assunto urgente da folha de pagamento. Havia um hyperlink dentro do corpo da mensagem que nos levava ao que parecia um dos portais de funcionários de nossa empresa, onde fomos convidados a fazer login.
Nem todos caíram no golpe de phishing, e várias pessoas tiveram o hyperlink bloqueado por um device antivírus. Mas algumas pessoas desafortunadas fizeram “login” no portal de funcionários falsos, apenas para descobrir alguns dias depois que seus contracheques de depósito direto foram redirecionados para contas bancárias desconhecidas.
Phishing de mensagem de texto SMS ou ‘smishing’
Os ataques de phishing não vêm mais apenas por electronic mail. Estamos vendo cada vez mais ataques “smishing” vindos de mensagens de texto SMS que são enviadas para milhares de números ao mesmo pace.
Às vezes, as mensagens dizem que você tem um pacote, normalmente um merchandise caro e desejável, como um novo iPhone, que precisa ser retirado. Quando você clica no hyperlink da Internet incluído para descobrir como, pode ver que o pacote é destinado a outra pessoa – mas de qualquer forma, você precisa fazer o obtain e preencher um formulário primeiro.
Se você estiver em um telefone Android, o obtain é malware; se estiver em um iPhone, você será enviado para uma página de phishing que deseja suas informações pessoais e de cartão de crédito.
Há também ataques de spear phishing baseados em texto. Um estratagema comum envolve enviar uma mensagem de texto para um funcionário da empresa com uma mensagem que parece vir do chefe, que então pede ao funcionário para comprar cartões-presente ou transferir dinheiro para contas estranhas.
O pior de tudo são ataques de smishing de fraude bancária. A vítima recebe um texto que parece vir de seu banco avisando sobre um “alerta de fraude” e pedindo que confirme ou negue uma transação envolvendo um pouco de dinheiro.
Quando a vítima nega a transação, ela recebe uma ligação de alguém fingindo ser um “representante” do banco que a ajudará a resolver o assunto – mas o técnico realmente retira dinheiro de sua conta.
Como a vítima ajudou o “representante” a movimentar o dinheiro, o banco actual considera que se trata de uma transferência autorizada e não tem obrigação criminal de reembolsar a vítima, que fica sem dinheiro – às vezes em vários milhares de dólares.
Phishing de voz ou ‘vishing’
Você já deve estar familiarizado com ataques “vishing”. São chamadas telefônicas automatizadas feitas para números de telefone aleatórios.
Quando você atende, uma mensagem pré-gravada informa que seu número de seguro social corre o risco de ser roubado, ou que alguém comprou algo caro em sua conta da Amazon, ou que o FBI ou o IRS estão atrás de você por impostos não pagos, para visualização pornografia on-line ou por mandados pendentes.
Naturalmente, você ficaria alarmado ao saber disso. As mensagens sempre convidam você a clicar em “1” para se conectar a alguém que possa “ajudar”. Essa pessoa faz parte do golpe e pode solicitar seu número de Seguro Social ou nome de usuário e senha da Amazon. Ou eles podem pedir que você pague “multas” ou “impostos” no native usando cartões de crédito ou cartões-presente.
Como se proteger de ataques de phishing
A melhor maneira de se proteger contra ataques de phishing online é ficar atento e nunca fornecer nenhuma informação online — a menos que você tenha 110% de certeza de que está inserindo suas informações pessoais em um web page legítimo para uma finalidade legítima.
Se você for atraído por um electronic mail, texto, mensagem instantânea ou de mídia social para o que parece ser a página de login de uma de suas contas on-line, verifique o URL — o endereço da internet — da página de login na barra de endereços do seu navegador.
Certifique-se de que o nome da empresa está escrito corretamente, que o nome da empresa vem emblem antes de “.com”, “.org” ou “co.united kingdom” no URL e que o URL começa com “https://” em vez de “http://”. Verifique com muito cuidado, porque às vezes um “1” pode ser substituído por um “l” ou um “0” por um “o”.
Isso pode ser difícil de fazer em alguns navegadores móveis que nem sempre exibem um ou todo o endereço da internet. Toque na barra de endereço do navegador e veja se aparece um menu que inclui as palavras “copiar” ou um símbolo de dois retângulos sobrepostos – selecione-o para copiar o URL e, em seguida, mude para um aplicativo de edição de texto ou de electronic mail em que você pode colar o URL.
Verifique também se o texto em inglês na página não contém erros ortográficos, palavras estranhas ou gramática estranha. Se isso acontecer, você pode ter desembarcado em uma página de phishing.
Se a página parece legítima, mas o que ela promete parece bom demais (ou assustador demais) para ser verdade, entre em contato com a empresa envolvida por outros meios. Envie-lhes um electronic mail, ligue para eles ou até mesmo entre em contato com eles no Twitter para verificar se o que a página está oferecendo – ou alertando – é actual.
Os perigos dos ataques de phishing
Lembre-se de que sua identidade on-line e sua identidade na vida actual estão profundamente interligadas. As informações pessoais podem incluir tudo, desde seu número de telefone até seu endereço, pois mesmo essas informações aparentemente inocentes podem ser usadas para “perfilar” você e facilitar o acesso a outras informações mais seguras.
Um golpista pode usar informações básicas para configurar contas de cartão de crédito falsas ou até mesmo reivindicar benefícios governamentais em seu nome.
A melhor defesa é um bom ataque, então não facilite para os phishers obterem suas informações.
Nunca use a mesma senha para websites diferentes e, se você suspeitar que é alvo de um golpe de phishing, denuncie imediatamente ao Centro de Reclamações de Crimes na Web em http://www.ic3.gov/grievance/.
Tenha sempre um dos melhor antivírus programas instalados e em execução, porque muitas campanhas de phishing modernas visam infectar computadores em vez de roubar credenciais. Bons programas antivírus também bloqueiam o carregamento de websites de phishing conhecidos no seu navegador.
Para manter suas contas on-line o mais seguras possível, use um dos melhores gerenciadores de senhas e nunca reutilize senhas de uma conta para outra.
[ad_2]