instituições ou indivíduos específicos são denominadas de spear phishing.

[8] Consiste na
coleção de detalhes e informação pessoais de modo a aumentar a probabilidade de
sucesso dos atacantes. É a técnica de phishing mais eficaz atualmente, sendo responsável
por 91% de ataques deste gênero.[9]

Clone phishing
Editar
Clone phishing designa a tentativa de dirigir o utilizador a um sítio clonado do original ao
que a vítima pretende aceder. Consiste normalmente uma página de início de sessão que
requer a inserção de credenciais que são depois armazenadas pelos atacantes e o
utilizador redirigido para o sítio original. Pode também incluir o redirecionamento de uma
cópia de email legítimo (previamente recebido pelos atacantes) ou falsificado para a vítima,
no qual a ligação para um portal é falsificada para que pareça originar-se num utilizador ou
instituição legítimos.[10]

Whaling
Editar
Whaling — em referência à pesca da baleia, pelo acto de apanhar um peixe grande —
envolve a procura de dados e informação relativas a altos cargos ou personalidades de
relevância.[11] Neste caso, os ataques estão normalmente disfarçados de notificações
judiciais, queixas de clientes ou outras questões empresariais.

Detalhes
Editar
Ataque ao Servidor DNS
Editar
Ataque baseado na técnica "DNS cache poisoning", ou envenenamento de cache DNS, que
consiste em corromper o DNS (Sistema de nomes de domínio) em uma rede de
computadores, fazendo com que a URL (localizador uniforme de recursos ou endereço
www) de um site passe a apontar para um servidor diferente do original. Ao digitar a
URL(endereço) do site que deseja acessar, um banco por exemplo, o servidor DNS
converte o endereço em um número IP, correspondente ao do servidor do banco. Se o
servidor DNS estiver vulnerável a um ataque de Pharming, o endereço poderá apontar para
uma página falsa hospedada em outro servidor com outro endereço IP, que esteja sob
controle de um golpista.

URLs Falsas
Editar
Uma outra maneira é a criação de URLs extensas que dificultam a identificação por parte do
usuário. Um exemplo simples pode ser:
secure.nomedoseubanco.com.br/internetbanking/eud=651656JFYDHJJUHGRedirectto:mais
algumacoisa.dominiofalso.com Onde o usuário pode diretamente olhar o início da URL e
acreditar que está na região segura do site do seu banco, enquanto que na verdade está
em um subdomínio do website dominiofalso.com.

Formulários HTML Falsos em E-mails

Editar
Outra técnica menos frequente é a utilização de formulários em emails com formatação
HTML. Com isso, um usuário incauto pode diretamente no seu email incluir as informações
requeridas pelo atacante, e com isso, esse não precisa se preocupar com a clonagem da
interface do banco.

As buscas por essas informações sensíveis crescem com o aumento da possibilidade de

realizar as mais diversas tarefas no conforto do lar. Isso pode trazer a uma grande massa
de internautas uma ilusória sensação de segurança. Diz-se ilusória pois, uma vez que a
internet é uma tendência globalizada, não menos do que esperada é a presença de
criminosos.

Aproveitando-se da desatenção de certos usuários, indivíduos maliciosos desenvolvem e

põem em prática métodos cada vez mais sofisticados para cometer ações ilícitas, entre
eles, a oferenda de bens, montantes exorbitantes e negócios potencialmente irrecusáveis.
Alguns destes métodos, contudo, se destacam por sua eficácia e rendimento, e dentre
estes, podemos citar, certamente, o ataque de Phishing Scam.

Um breve histórico

Phishing (AFI: [ˈfɪʃɪŋ])[1] é o termo que designa as tentativas de obtenção de informação

pessoalmente identificável através de uma suplantação de identidade por parte de
criminosos em contextos informáticos (engenharia social).[2][3] A palavra é um neologismo
criado a partir do inglês fishing (pesca) devido à semelhança entre as duas técnicas,
servindo-se de um isca para apanhar uma vítima. Em 2014, estimava-se que o seu impacto
econômico mundial fosse de 5 mil milhões de dólares.[4]

É normalmente levado a cabo através da falsificação de comunicação eletrônica — spoofing

— de correio[5] ou mensagens,[6] dirigindo o utilizador para um estado semelhante ao
original e incitando-o a preencher campos onde detalhe dados como nomes de utilizador,
chaves de acesso ou detalhes bancários. Estas tentativas fingem ter como origem portais
sociais, instituições bancárias ou administradores de sistemas e podem conter ligações a
sítios infetados por ameaças. Para além disto, pode servir para a instalação de software
malicioso no sistema da vítima, podendo servir de plataforma para outro tipo de ataques,
como por exemplo as ameaças persistentes avançadas.

Está inserido nas técnicas de engenharia social utilizadas com o objetivo de enganar um
utilizador, e explora vulnerabilidades na segurança atual da internet.[7] Tentativas para
colmatar o problema incluem a criação de legislação, educação e sensibilização do público
e da implementação de melhorias nas técnicas de segurança.