Ataque de Phishing

O termo Phishing é uma adaptação do inglês “fhishing” (pesca) pelo

fato de que o infrator recorre a um isco para enganar a vítima e tem
como alvo uma grande quantidade de destinatários. No caso dos
utilizadores dos serviços de ‘homebanking' este género de ataque
informático envolve técnicas de engenharia social e ‘malware' ('software'
malicioso) e tem como objectivo o roubo de dados pessoais e
confidenciais para a execução de fraudes financeiras.
Na posse dessas credenciais o atacante fica com total acesso à
plataforma de ‘homebanking' da vítima, podendo então - dependendo
dos níveis de segurança de cada sistema ‘homebanking' - executar
consultas, pagamentos ou transferências bancárias a partir de qualquer
parte do mundo, o que dificulta a sua localização e identificação.
Os ataques são efectuados através do envio de mensagens de e-mail
que aparentam ter origem na instituição financeira, mas que na
realidade foram enviadas por ciber-criminosos. Nesses e-mails, o
cliente é induzido a "clicar" num ‘link' que o direcciona para uma página
da Internet onde muitas vezes este acaba por introduzir ou confirmar
dados pessoais e confidenciais, como os códigos de acesso ao serviço
de ‘homebanking', sobre contas ou cartões de crédito e de débito. Em
alguns casos as fraudes são facilmente detectáveis dado o aparente
amadorismo com que as mensagens ou os sites falsos foram
desenhados, com erros grosseiros ou expressões pouco comuns na
redacção. Nos casos mais elaborados a falsa página de Internet pode
parecer muito semelhante à legítima, nomeadamente, o endereço web
que aparece na janela do ‘browser'.
Noutro método utilizado pelos burlões a "presa" é também induzida a
descarregar um ficheiro que nada mais faz do que introduzir no
computador um vírus. O que ocorre é a "disseminação de arquivos com
código malicioso (ex: trojan, rootkit) que perante a sua execução se
instalam no sistema operacional e monitoram a atividade do
computador, gravando por exemplo as teclas pressionadas, registando
imagens ou mesmo capturando imagens sequenciais dos ecrãs com o
objectivo de identificar códigos de acesso que utilizam sistemas de
teclados virtuais". Na posse dessa informação, o ‘hacker' consegue uma
via de livre acesso ao dinheiro depositado na conta do cliente.
Escapar ao ‘phishing' é acima de tudo uma "questão de bom senso".
"Nenhum banco solicita via ‘e-mail' que os clientes comuniquem dados
pessoais. Sempre que isso aconteça devem contatar o banco a alertar
para essa situação. Mas, então como se consegue escapar ao ‘phishing'?
Os bancos devem disponibilizar nos seus sites um leque de informações
a alertar para os perigos e principais medidas de prevenção dessas
situações, alguns deles com grande destaque na página principal. Uma
das informações divulgada pelos bancos é da total responsabilidade dos
clientes dos serviços de ‘homebanking' das perdas caso sejam vítimas
de ‘phishing' alheios à instituição financeira.

Dicas para evitar ser "pescado"

Não revele dados confidenciais

Os especialistas alertam que nenhum banco solicita a divulgação ou a
alteração de dados pessoais e confidenciais através de mensagens de e-
mail. Sempre que tal lhe seja solicitado o mais provável é que esteja a
ser alvo de uma tentativa de ‘phishing' com vista a capturar dados do
cartão matriz ou dos seus códigos de acesso ao sistema de
‘homebanking' para posterior utilização fraudulenta.

Solução antivírus eficaz

Uma das formas dos ciber-criminosos chegarem aos dados de acesso
ao serviço de ‘homebanking' é através da instalação de vírus no
computador da vítima. Uma forma de prevenir que isso aconteça-
apesar de não ser impeditivo já que estão a surgir permanentemente
novos vírus- é possuir uma solução de antivírus de qualidade e que
esteja constantemente a ser actualizada.

Suspeite de ‘links' e ficheiros

Duvide sempre dos e-mails em que lhe é pedida qualquer acção ou
interacção já que podem conter vírus que se instalam no computador .
Não responda, não clique em ‘links' nem abra ficheiros de remetentes
desconhecidos. Nuno Mendes aconselha a nunca aceder à plataforma de
‘homebanking' através de um ‘link' recebido por e-mail e que os
utilizadores devem sempre digitar manualmente o endereço na barra de
endereços do ‘browser'.
Não use computadores públicos e preserve códigos
Esta é uma regra de ouro para escapar ao ‘phishing'. Nunca deve aceder
ao seu serviço de ‘homebanking' a partir de computadores públicos já
que estes podem estar contaminados por vírus. Não se esqueça ainda
de terminar sempre a sessão de internet ‘banking' através da opção
‘sair'. Evite códigos como clubes de futebol, nomes próprios, ou
expressões que possam ser de fácil dedução.

Atenção à linguagem usada

Nos e-mails fraudulentos é frequente identificar no texto da mensagem
erros de escrita grosseiros ou expressões pouco habituais e que
facilmente excluem a possibilidade de se tratar de uma comunicação
autêntica do banco. Isto acontece porque a maior parte dos ataques
informáticos tem origem fora de Portugal, em países como a Rússia ou a
China, em que muitas vezes são utilizadas traduções automáticas.

Sistemas operacionais atualizados

Uma forma de prevenir que o seu computador seja atacado por ciber-
criminosos é manter o sistema operativo sempre com as actualizações
mais recentes. Instale também por exemplo uma ‘firewall' no seu
computador já que só desta forma conseguirá filtrar e controlar o
tráfego que entra e sai do seu computador enquanto este estiver ligado
à Internet.