A adesão massiva a serviços digitais nos últimos anos, muitas vezes usados sem os devidos cuidados, faz com que o phishing seja uma ameaça digital crescente. Esse modo de atuação de cibercriminosos é uma prática usada há muito tempo na internet para coletar dados pessoais alheios de maneira furtiva na internet.
No entanto, o segundo trimestre de 2022 trouxe registros surpreendentes de aumento desse tipo de ataque hacker no mundo, com a novidade de o direcionamento deles ser feito em grande parte a telefones celulares.
Foram observados 1.097.811 de golpes com phishing nesse período, a maior quantidade já registrada desde 2004, quando começou a ser publicado o Relatório de Tendências de Phishing, divulgado pelo Grupo de Trabalho Anti-Phishing (APWG, na sigla em inglês), um consórcio internacional com mais de organizações e empresas internacionais dedicado a eliminar fraudes e roubo de identidades perpetrados pelo phishing.
Os principais setores alvo de criminosos foram o ramo financeiro, serviços de e-mail e de software como serviço (SaaS). Mas a informação mais impressionante é o aumento de cerca de 70% nos ataques a celulares em relação ao trimestre anterior.
Tipos de phishing em celulares
Dispositivos Android e iOS estão vulneráveis a ataques de phishing dos mais variados tipos. Os golpes convencionais do gênero são aqueles transmitidos por e-mail ou páginas de internet falsas.
Nesses casos, criminosos arquitetam mensagens ou páginas fingindo ser uma pessoa ou marca de confiança – pode ser desde um colega de trabalho a uma mensagem de promoção de comércio eletrônico. Em seguida, induzem suas vítimas a acessar tais mensagens ou páginas, geralmente fazendo se passar pelas páginas reais por e-mail e inserindo um link malicioso.
Ao clicar no link, a vítima é redirecionada para tais destinos virtuais, cópias fiéis dos verdadeiros, com aparência convincente. Lá, é enganada fornecendo informações sensíveis, como número de cartão de crédito, e-mail e outros dados pessoais. Em outros casos, um arquivo malicioso pode ser baixado na máquina da vítima, ficando ativo ou adormecido até comunicação do hacker, coletando dados alheios.
Os diferenciais do phishing nos celulares são o vishing e o smishing. O primeiro deles tem um nome curioso, mas não é nada menos do que o conhecido golpe telefônico: um fraudador se passa por alguém de confiança – um gerente de banco, um parente, plano de saúde, entre outros – e manipula o interlocutor em busca de informações sensíveis.
Já o smishing é a fraude por SMS. Ela se tornou particularmente difundido a partir da pandemia de 2020 no Brasil. Nesse contexto, os golpes mais comuns eram de fraudes bancárias ou ligadas ao setor de saúde, mas os pretextos do contato têm variado desde então.
Como evitar golpes com phishing
A maneira mais eficaz de não se tornar vítima de phishing é criar uma suspeita costumeira, mas saudável, de comunicações virtuais ou telefônicas.
Pelo telefone e SMS
Os cibercriminosos se beneficiam da desatenção e do modo mecânico de agir e pensar. Uma ligação telefônica convincente sobre um problema pelo qual a vítima passe no momento pode enganá-la. Assim, no caso de telefonemas, primeiro é preciso observar se é um número desconhecido que entra em contato.
Em seguida, se é uma ligação automatizada, solicitando informação de números de documentos – modo bastante comum de coletar dados de modo fraudulento. De olho na popularidade de tais golpes, vários bancos e outros serviços não pedem informações em ligações.
No caso do SMS, a recomendação é não clicar em links presentes em mensagens, a não ser que venham de um número já conhecido. Grande parte dos SMS são enviados de centrais automatizadas, que podem ou não ser confiáveis.
No e-mail
No caso de fraudes por e-mail, uma inspeção atenciosa de cada mensagem que abrimos é de grande ajuda, por exemplo. Isso inclui analisar atentamente o endereço do remetente, pois muitos criminosos usam endereços com alterações de uma ou duas letras para o disparo de mensagens.
Outra maneira de contornar o “pensamento automático” e fugir de golpes é adotar o hábito de digitar manualmente os endereços de sites em vez de clicar para ser redirecionado a partir de e-mails.
Além de entender a mentalidade que move esse tipo de ataque e implementar essas medidas no cotidiano, há outras maneiras de evitar golpes do gênero. A mais popular delas certamente é usar um filtro de spam no e-mail – mas há utilitários que podem ser bons aliados para fortalecer nosso cotidiano virtual.
Ferramentas para prevenir ou remediar problemas com phishing
Serviços de VPN são cada vez mais utilizados nos contextos empresarial e doméstico para aumentar a privacidade de navegação pela internet. Atualmente, muitos desses serviços também trazem consigo funcionalidades de segurança adicionais, como proteção antimalware.
Assim, uma boa VPN para iPhone ou Android pode ser de grande ajuda tanto para prevenir quanto para remediar ataques aos dados do celular.
Para prevenção, são úteis os programas que contam com um antimalware de bloqueio a websites suspeitos. Em regra, esses são softwares que contam com uma lista atualizada de sites suspeitos, ligados à compra e venda de dados de maneira criminosa na internet. Assim, ao tentar acessar um desses site a partir de um link de phishing, uma mensagem pode ser exibida, informando do risco do passo dado.
Por outro lado, caso o ataque de phishing já tenha sido conduzido com sucesso, uma alternativa é um programa de cibersegurança que rastreie credenciais pessoais na internet. VPNs e antivírus contam com esse tipo de função, em que os usuários podem conduzir buscas por nome, número de telefone, número de cartão de crédito e outros dados sensíveis na dark web. Se localizados dessa forma, os dados podem ser removidos ou modificados (no caso de endereços de e-mail e senhas, por exemplo).