Escolar Documentos
Profissional Documentos
Cultura Documentos
com/phishing/
Phishing
Phishing é um método que visa enganá-lo para que partilhe palavras-passe, números de
cartões de crédito e outros dados sensíveis, utilizando o nome de uma empresa de
confiança num e-mail ou numa chamada telefónica.
Phishing
Se os utilizadores morderem o isco e clicarem no link, são enviados para a imitação de um website
fidedigno. A partir daqui, é-lhes pedido que iniciem sessão com as suas credenciais de nome de
utilizador e palavra-passe. Se eles forem suficientemente ingénuos para o fazer, a informação de
registo é passada para o atacante, que a usa para roubar identidades, esvaziar contas bancárias e
vender informações pessoais no mercado negro.
1 de 11 21/03/2024, 20:08
O que é o phishing? Tipos de phishing e Exemplos | Malwarebytes https://pt.malwarebytes.com/phishing/
" P h i s h i n g é a fo r m a m a i s s i m p l e s d e
ciberataque e, ao mesmo tempo, a mais
perigosa e eficaz."
Ao contrário de outros tipos de ameaças online, o phishing não requer conhecimentos técnicos
particularmente sofisticados. Na verdade, de acordo com Adam Kujawa, Diretor do Malwarebytes
Labs, "Phishing é a forma mais simples de ciberataque e, ao mesmo tempo, a mais perigosa e
eficaz. Isto porque ataca o computador mais vulnerável e potente do planeta: a mente humana." Os
phishers não estão a tentar explorar uma vulnerabilidade técnica no sistema operativo do seu
dispositivo — eles estão a usar a "engenharia social. Desde o Windows e os iPhones, aos Macs e
Androids, nenhum sistema operativo está completamente seguro contra phishing,
independentemente da sua capacidade de segurança. Na verdade, os atacantes recorrem, muitas
vezes, ao phishing porque não conseguem encontrar nenhuma vulnerabilidade técnica. Para quê
perder tempo a decifrar níveis de segurança, se pode induzir alguém a dar-lhe a chave? Com
frequência, o elo mais fraco num sistema de segurança não é uma lacuna escondida num código
informático, mas um ser humano que não verifica duas vezes a origem de um email.
N ov i d a d e s s o b r e p h i s h i n g
H i s tó r i a d o p h i s h i n g
Na década de 1970, surgiu uma subcultura em redor da utilização de acessos ilícitos ("hacks") de
baixa tecnologia para explorar o sistema telefónico. Estes primeiros "hackers" chamavam-se
"phreaks" — uma combinação de "phone" e "freaks" (telefone e fanáticos). Numa época em que
não existiam muitos computadores ligados em rede para piratear, o phreaking era um modo
2 de 11 21/03/2024, 20:08
O que é o phishing? Tipos de phishing e Exemplos | Malwarebytes https://pt.malwarebytes.com/phishing/
comum de fazer chamadas de longa distância gratuitas ou obter números que não constavam das
listas telefónicas.
" P h i s h i n g é a fo r m a m a i s s i m p l e s d e
ciberataque e, ao mesmo tempo, a mais
perigosa e eficaz."
Mesmo antes de o próprio termo "phishing" se estabelecer, uma técnica de phishing era descrita
em pormenor num artigo e apresentação entregues em 1987 ao Grupo Internacional de
Utilizadores HP, Interex.
A utilização do nome em si foi atribuída, pela primeira vez, a um célebre spammer e hacker em
meados da década de 1990, Khan C Smith. Além disso, e segundo os registos na Internet, a
primeira vez que o termo phishing foi usado e registado publicamente foi a 2 de janeiro de 1996. A
menção surgiu num grupo de discussão Usenet chamado AOHell. Na altura, a America Online
(AOL) era o principal fornecedor de acesso à Internet, com milhões de registos diários.
Naturalmente, a popularidade da AOL tornou-a num alvo para os infratores. Os hackers e piratas
informáticos usaram-na para comunicarem entre si, bem como para realizarem ataques de
phishing a utilizadores legítimos. Quando a AOL tomou medidas para fechar o AOHell, os
atacantes viraram-se para outras técnicas. Enviaram mensagens para utilizadores da AOL,
declarando serem funcionários da AOL e pedindo-lhes que verificassem as suas contas e
fornecessem informações de faturação. A dada altura, o problema tinha assumido umas
proporções tais que a AOL anexou avisos a todos os clientes de email e dos serviços de mensagens
instantâneas, informando que "nenhum funcionário da AOL irá solicitar-lhe a sua palavra-passe ou
informações de faturação".
" A s p á g i n a s d a s r e d e s s o c i a i s to r n a r a m - s e
num alvo preferencial de phishing."
3 de 11 21/03/2024, 20:08
O que é o phishing? Tipos de phishing e Exemplos | Malwarebytes https://pt.malwarebytes.com/phishing/
Ao entrar na década de 2000, o phishing virou a sua atenção para a exploração de sistemas de
pagamento online. Tornou-se comum para os phishers visar clientes de serviços bancários e de
pagamento online, alguns dos quais — de acordo com um estudo posterior — terão mesmo sido
claramente identificados e estabelecida a sua ligação ao banco utilizado. Da mesma forma, as
páginas das redes sociais tornaram-se num alvo preferencial de phishing, atraente para os
infratores, pois os dados pessoais nessas páginas são úteis para o roubo de identidade.
Os criminosos registaram dezenas de domínios que imitavam tão bem o eBay e o PayPal, que
passavam por verdadeiros, caso não se prestasse atenção suficiente. Os clientes PayPal recebiam,
então, emails de phishing (com links para o website falso), a solicitar-lhes que atualizassem o
número dos seus cartões de crédito e outras informações de identificação pessoal. O primeiro
ataque de phishing conhecido contra um banco foi registado pela The Banker (uma publicação da
The Financial Times Ltd.), em setembro de 2003.
" E m 2 01 3 , 1 1 0 m i l h õ e s d e r e g i s t o s d e
c l i e n t e s e d e c a r t õ e s d e c r é d i t o fo r a m
roubados a clientes da Target."
Em 2011, o phishing encontrou um apoio de estado quando uma suspeita campanha de phishing
chinesa tomou por alvo as contas Gmail de oficiais de alta patente dos governos e serviços militares
dos Estados Unidos e Coreia do Sul, bem como de ativistas políticos chineses.
Naquele que foi, talvez, o evento mais famoso de 2013, 110 milhões de registos de clientes e de
cartões de crédito foram roubados a clientes da Target, através da conta de um subcontratante
vítima de phishing.
4 de 11 21/03/2024, 20:08
O que é o phishing? Tipos de phishing e Exemplos | Malwarebytes https://pt.malwarebytes.com/phishing/
Ainda mais infame foi a campanha de phishing lançada pelo Fancy Bear (um grupo de
ciberespionagem associado aos serviços russos de informações militares GRU) contra endereços
de email associados ao Comité Nacional Democrata no primeiro trimestre de 2016. Em particular, a
conta de Gmail do diretor da campanha de Hillary Clinton às eleições presidenciais de 2016, John
Podesta, foi pirateada e, subsequentemente, revelada, depois de cair no truque mais antigo — um
ataque de phishing, informando que a palavra-passe do seu email tinha sido comprometida
(portanto, clique aqui para a alterar).
Apesar das suas inúmeras variedades, o denominador comum a todos os ataques de phishing é o
recurso a uma pretensão fraudulenta para adquirir elementos de valor. Entre as principais
categorias, incluem-se:
Spear phishing
Enquanto que a maioria das campanhas de phishing envia emails em massa para o máximo
número de pessoas possível, o spear phishing tem um alvo. Os ataques de spear phishing visam
uma pessoa ou organização em específico, frequentemente com conteúdos criados à medida da
vítima ou vítimas. Requerem um reconhecimento anterior ao ataque para revelar nomes, cargos,
endereços de email e outras informações semelhantes. Os hackers esquadrinham a Internet para
combinar estes dados com outras informações pesquisadas sobre os colegas do alvo, juntamente
com os nomes e relações profissionais de funcionários chave nas suas organizações. Com isto, o
phisher arquiteta um email credível.
Por exemplo: um infrator pode ter como alvo de spear phishing um funcionário cujas
responsabilidades incluam a possibilidade de autorizar pagamentos. O email alega ser de um
executivo da organização, instruindo o funcionário a efetuar um pagamento substancial a esse
executivo ou a um fornecedor (quando, na verdade, o link de pagamento malicioso o envia para o
atacante).
O spear phishing é uma ameaça crítica para as empresas (e governos) e tem custos muito elevados.
De acordo com um relatório de 2016 relativo a um inquérito sobre esta questão, o spear phishing
foi responsável por 38% dos ciberataques às empresas participantes durante o ano de 2015. Além
disso, para as empresas norte americanas envolvidas, o custo médio dos ataques de spear phishing
por incidente foi de 1,8 milhões de dólares.
5 de 11 21/03/2024, 20:08
O que é o phishing? Tipos de phishing e Exemplos | Malwarebytes https://pt.malwarebytes.com/phishing/
" U m ve r b o s o e m a i l d e p h i s h i n g d e a l g u é m
que afirma ser um príncipe nigeriano é um
d o s e s q u e m a s m a i s a n t i g o s e d u ra d o u ro s
da Internet."
Clone phishing
Neste ataque, os criminosos fazem uma cópia — ou clone — de emails anteriormente enviados,
mas fidedignos, que contenham um link ou um anexo. Depois, o phisher troca os links ou ficheiros
anexos por substitutos maliciosos, disfarçados de elementos verdadeiros. Os utilizadores incautos
clicam no link ou abrem o anexo que, frequentemente, permite que os seus sistemas sejam
sequestrados. Então, o phisher pode imitar a identidade da vítima para se mascarar como um
remetente de confiança perante outras vítimas na mesma organização.
Esquemas nigerianos/419
Um verboso email de phishing de alguém que afirma ser um príncipe nigeriano é um dos
esquemas mais antigos e duradouros da Internet. De acordo com Wendy Zamora, Gestora de
Conteúdo no Malwarebytes Labs, "o esquema de phishing do príncipe nigeriano vem de uma
pessoa que afirma ser um membro do governo ou da família real, que precisa de ajuda para
transferir milhões de dólares para fora da Nigéria. O email está assinalado como 'urgente' ou
'privado' e o seu remetente pede ao destinatário que lhe forneça o número de uma conta bancária
para guardar os fundos.""
Aliás, o número "419" está associado a este esquema. Ele refere-se à secção do Código Penal
Nigeriano relativo a fraude, criminalizações e sanções para os infratores.
Phone phishing
Nas tentativas de phishing por telefone, por vezes chamado de phishing por voz ou "vishing", o
6 de 11 21/03/2024, 20:08
O que é o phishing? Tipos de phishing e Exemplos | Malwarebytes https://pt.malwarebytes.com/phishing/
phisher efetua uma chamada telefónica, alegando representar o seu banco local, a polícia ou,
mesmo, os serviços de Finanças. De seguida, assustam-no com um qualquer tipo de problema e
insistem que deverá resolvê-lo imediatamente através do fornecimento dos seus dados bancários
ou do pagamento de uma multa. Normalmente, solicitam-lhe que efetue o pagamento através de
uma transferência eletrónica ou de cartões pré-pagos, pelo que é impossível identificá-los.
" O e m a i l c o n t é m u m a o fe r t a q u e p a r e c e
b o a d e m a i s p a r a s e r ve r d a d e . "
Co m o i d e n t i fi c a r u m a t a q u e d e p h i s h i n g
Reconhecer uma tentativa de phishing nem sempre é fácil; mas algumas dicas, alguma disciplina e
algum senso comum serão uma boa ajuda. Procure algo pouco provável ou invulgar. Pergunte-se
se a mensagem lhe "cheira bem". Confie na sua intuição, mas não se deixe dominar pelo medo.
Muitas vezes, os ataques de phishing recorrem ao medo para toldar o seu discernimento.
O email contém uma oferta que parece boa demais para ser verdade. Pode dizer que ganhou a
lotaria, um prémio fantástico ou qualquer outra coisa extraordinária.
• Reconhece o remetente, mas é alguém com quem não fala. Mesmo que conheça o nome do
remetente, desconfie no caso de ser alguém com quem não costuma comunicar, especialmente
se o conteúdo do email não tiver nada a ver com as suas responsabilidades profissionais
normais. O mesmo se aplica no caso de o seu endereço surgir em "cc" de mensagens para
pessoas que nem sequer conhece ou, eventualmente, um grupo de colegas de departamentos
não relacionados com o seu.
• A mensagem é assustadora. Tenha cuidado no caso de o email ter uma linguagem pesada ou
alarmista para criar uma sensação de urgência, exortando-o a clicar e a "tomar medidas
imediatamente", antes de a sua conta ser encerrada. Lembre-se: as organizações responsáveis
não pedem dados pessoais pela Internet.
• A mensagem contém anexos inesperados ou invulgares. Estes anexos podem conter malware,
7 de 11 21/03/2024, 20:08
O que é o phishing? Tipos de phishing e Exemplos | Malwarebytes https://pt.malwarebytes.com/phishing/
• A mensagem contém links que parecem um pouco estranhos. Mesmo que o seu sexto sentido
não ative nenhum alarme em relação aos elementos acima, não tome como seguras quaisquer
hiperligações incluídas. Em vez disso, passe o seu cursor sobre o link para ver o verdadeiro URL.
Esteja especialmente atento a erros de ortografia subtis num website normalmente familiar,
pois eles indiciam falsificações. É sempre melhor digitar o URL diretamente por si mesmo do
que clicar no link fornecido.
A seguir, apresentamos um exemplo de uma tentativa de phishing que imita uma mensagem do
PayPal, solicitando ao destinatário que clique no botão "Confirmar Agora". Passando o cursor do
rato sobre o botão, revela-se o verdadeiro URL de destino num retângulo vermelho.
Aqui, apresentamos outra imagem de um ataque de phishing, alegando, desta vez, ser da Amazon.
Atente na ameaça de encerrar a conta no caso de não haver resposta no prazo de 48 horas.
Clicando no link, acede a este formulário, que o convida a dar ao phisher aquilo de que ele precisa
para saquear os seus valores:
8 de 11 21/03/2024, 20:08
O que é o phishing? Tipos de phishing e Exemplos | Malwarebytes https://pt.malwarebytes.com/phishing/
Co m o p o s s o p r o t e g e r - m e d o p h i s h i n g ?
Tal como já referido, o phishing é uma ameaça de oportunidades iguais, capaz de aparecer em
ambientes de trabalho, computadores portáteis, tablets e smartphones. A maioria dos navegadores
da Internet tem formas de verificar se um link é seguro, mas a primeira linha de defesa contra
phishing é o seu discernimento. Treine o reconhecimento dos sinais de phishing e tente praticar
uma computação segura sempre que verifica o email, lê publicações no Facebook ou joga o seu
jogo online favorito.
Uma vez mais, o nosso Diretor Adam Kujawa apresenta algumas das práticas mais importantes para
que se mantenha seguro:
• Nunca clique num link num email, a menos que saiba exatamente onde irá ter.
• Para escalar essa proteção, caso receba um email de uma fonte insegura, navegue
manualmente para o link fornecido, introduzindo o endereço fidedigno do website no seu
browser.
• Se lhe for pedido que forneça informações confidenciais, verifique se o URL da página começa
por "HTTPS" em vez de apenas "HTTP". O "S" indica "seguro". Não é uma garantia de que o site
é fidedigno, mas quase todos os sites que o são usam HTTPS, por ser mais seguro. Os sites
HTTP, mesmo fidedignos, estão vulneráveis aos hackers.
• Se suspeitar de que um email não é fidedigno, insira um nome ou algum texto da mensagem
num motor de busca, para ver se existe algum ataque de phishing conhecido que recorra aos
mesmos métodos.
Como sempre, recomendamos que use algum tipo de software de segurança anti-malware. A
maioria das ferramentas de cibersegurança têm capacidade para detetar quando um link ou um
9 de 11 21/03/2024, 20:08
O que é o phishing? Tipos de phishing e Exemplos | Malwarebytes https://pt.malwarebytes.com/phishing/
anexo não é aquilo que parece, pelo que, mesmo que caia numa astuta tentativa de phishing, não
acabará a partilhar as suas informações com as pessoas erradas.
Todos os produtos de segurança Malwarebytes Premium oferecem uma proteção robusta contra
phishing. Conseguem detetar sites fraudulentos e impedi-lo de os abrir, mesmo que esteja
convencido de que são fidedignos.
Por isso, mantenha-se alerta, tome precauções e esteja atento a tudo o que pareça suspeito.
I n fo r m a ç ã o s o b r e c i b e r s e g u r a n ç a s e m a q u a l n ã o
pode passar
SUBSCREVER
CONTACTE-NOS
Malwarebytes Ltd.
10 de 11 21/03/2024, 20:08
O que é o phishing? Tipos de phishing e Exemplos | Malwarebytes https://pt.malwarebytes.com/phishing/
Ireland
SIGA-NOS
EULA Política de privacidade Termos de Serviço © 2024 Malwarebytes
11 de 11 21/03/2024, 20:08