Internet

13/09/2014 06h46 - Atualizado em 15/09/2014 10h56

Como escapar de golpes de phishing

Edivaldo Brito
por
Para o TechTudo

Um dos golpes mais comuns na Internet, já há alguns anos, o phishing é uma fraude que tem como principal objetivo “pescar” informações e dados pessoais importantes, através de mensagens falsas de e-mail, SMS ou por meio de redes sociais. Através desse método, criminosos conseguem nomes e senhas de usuários e, às vezes, até mesmo dados de contas bancárias e cartões de crédito. Conheça mais um pouco sobre esse tipo de golpe e fique preparado para não cair nele e ser mais uma vítima.

Após vazamento de fotos, Apple começa enviar alertas de acesso ao iCloud

Phishing: Descubra como não ser fisgado (Foto: Reprodução/TechTudo)Phishing: Descubra como não ser "fisgado" (Foto: Reprodução/TechTudo)

Em julho de 2010, um desenvolvedor vietnamita chamado Thuat Nguyen foi banido pela Apple por ter feito compras fraudulentas no nome de mais de 400 usuários do iTunes. Esse tipo de ocorrência mostra o quão perigoso pode ser esse tipo de golpe, tanto para as empresas como para os usuários comuns.

Apesar de ser bastante variado, normalmente o phishing sempre tem o mesmo objetivo: roubar informações confidenciais de pessoas ou empresas. Isto é, conseguir nomes de usuários, e-mails e senhas ou qualquer outra informação relacionada a identidade online, para, assim, obter acesso a algo importante como serviços, contas bancárias e cartões de crédito e débito.

Para conseguir seus objetivos, os criminosos virtuais se aproveitam de conversas falsas em sites, programas e aplicativos de mensagens instantâneas e e-mails, fazendo os usuários clicarem em links maliciosos. Há casos em que são construídas páginas inteiras para imitar sites de bancos e outras instituições, somente para fazer o internauta pensar que está no site original e digitar as informações.

Para não cair em armadilhas como essa, o internauta precisa estar muito atento ao que acessa e usar alguma ferramenta de segurança que tenha proteção contra phishing. Só assim será possível escapar. 

Phishing com endereços longos

Uma das maneiras mais comuns que os criminosos usam para “pescar” dados das vítimas é a criação de URLs extensas que dificultam a identificação por parte do usuário, como por exemplo:

secure.nomedoseubanco.com.br/internetbanking/eud=651656JFYDHJJUHGRedirectto:maisalgumacoisa.dominiofalso.com

Por causa do tamanho, o usuário dará atenção apenas ao início da URL e acreditará que está na região segura do site do seu banco, quando, na verdade, está em um subdomínio do website “dominiofalso.com”.

Use o truque da ‘senha errada’

Quando estiver acessando um site com um endereço longo como no exemplo acima e você ficar em dúvida quanto a veracidade do site, ou achar que, por alguma razão, poderia não ser o do seu banco, use o truque do “falso positivo”.

Como mostrar sites seguros no Google Chrome? Veja no Fórum do TechTudo.

O truque da senha errada ou falso positivo funciona assim: no momento em que o site lhe pedir a senha pela primeira vez, coloque uma senha propositadamente errada. Se o sistema aceitar o que você digitou, sem parar a navegação e não alertar sobre a senha errada, significa que você pode estar em um falso domínio e sendo vítima de uma tentativa de golpe.

Em situações como essa, o verdadeiro site do banco teria verificado a senha, informado que ela estava errada e pedido para digitar a senha novamente. O site falso não faz isso, uma vez que não sabe seus dados corretos, está apenas capturando tudo. 

Golpistas usam proxy

Todo cuidado sempre é pouco, pois basta apenas que um código malicioso simples seja executado no computador da vítima, para que o hacker obtenha o que quer ou prepare o caminho para isso. Esse código poderá, por exemplo, alterar as configurações do navegador de Internet e configurar o mesmo para usar o proxy definido pelo golpista. Pior, nesse tipo de fraude o proxy é configurado para entrar em ação somente nos sites dos bancos e, com isso, sites comuns não passam pelo intermediário, garantindo o acesso normal à web e a ilusão de que o usuário está navegando normalmente.

Quando o usuário acessa um site bancário, o proxy toma conta e em vez de direcionar o usuário ao site verdadeiro, ele envia uma página falsa ao navegador. Qualquer informação enviada ao site malicioso é repassada aos criminosos, que poderão realizar a fraude com os dados da vítima.

Como nessa situação não existe a necessidade de um código malicioso permanecer em execução no computador o tempo todo, não existe queda de desempenho perceptível. Em muitos casos, o código é executado a partir de applets Java colocados em sites legítimos. O usuário, que não desconfia do problema, aceita e a configuração é trocada com um único clique, daí a importância de estar sempre atento a toda e qualquer solicitação de autorização feita por aplicações no seu navegador.

Protocolo SSL auxilia contra ataques

Para ajudar na proteção contra golpes, os servidores e os navegadores da internet contam com o protocolo SSL (Secure Sockets Layer). Ele é ativado no momento em que o usuário começa acessar uma área segura do site (o navegador exibe um cadeado nessas áreas). A partir desse momento, o computador do usuário e o servidor utilizam um canal criptografado, de modo exclusivo para as comunicações privadas pela internet pública. Os servidores que fornecem essa proteção, possuem um certificado SSL, que consiste em um par de chaves, além de informações de identificação verificadas.

Exemplo de um site de banco falsificado, pois está sem o HTTPS (Foto: Reprodução/Fellipes Blog) Exemplo de um site de banco falsificado, pois está sem o HTTPS (Foto: Reprodução/Fellipe's Blog)

No momento em que um navegador da web aponta para um site protegido, o servidor compartilha a chave pública com o internauta para estabelecer um método de criptografia e uma chave de sessão única. O cliente confirma que reconhece o emissor do certificado SSL e que confia nele. Esse processo é chamado de “handshake de SSL” e inicia uma sessão segura que protege a privacidade e a integridade das mensagens.

Cuidado com o golpe no aplicativo do Facebook

Um outro método que não é muito novo, mas continua constantemente usado no Facebook, é o do aplicativo. Nele, o criminoso cria um subdomínio no próprio app, projetado de forma semelhante ao Facebook (Facebook Page Verification) e usando a logo de segurança da rede social. A página de phishing pede aos usuários para entrar na URL do site e que a vítima digite seu login e senha do Facebook para poder usar o serviço. Uma vez digitados, o hacker registra as informações. Nesse caso, o mais importante é estar atento aos aplicativos, as autorizações e a procedência do software.

Facebook Security (Foto: Divulgação/avast)Facebook Security (Foto: Divulgação/Avast)

Para ter mais segurança e evitar cair no phishing, alguns cuidados básicos devem ser tomados. Primeiro, troque regularmente suas senhas e não use senhas repetidas, ou seja, para cada conta de e-mail, rede social ou qualquer tipo de login, use códigos distintos.

É importante também sempre lembrar de manter um antivírus eficiente e sempre atualizado, tanto no seu PC quanto em dispositivos móveis. Evite também encher o PC com ferramentas e programas que o deixam mais lento e dificultam a observação de fenômenos que poderiam denunciar uma invasão.

Golpes envolvendo phishing tem acontecido com frequência e utilizam toda e qualquer forma de se aproveitar da curiosidade e ingenuidade dos usuários. Para evitá-los, é importante sempre estar atento a tudo que acontece no computador, ao que é acessado na Internet e em e-mails ou links suspeitos, mesmo que pareçam ser reais ou de fontes confiáveis e amigas.

Portanto, manter seu computador sempre protegido é a melhor forma de se prevenir contra ataques virtuais. Veja no TechTudo Downloads os melhores antivírus grátis para Windows e aproveite para conferir opções de antivírus para Android. Os gerenciadores de senhas também podem ser muito úteis, foi pensando nisso que criamos um kit com os melhores para você; baixe e proteja-se.

Via Blog PSafe

Seja o primeiro a comentar

Os comentários são de responsabilidade exclusiva de seus autores e não representam a opinião deste site. Se achar algo que viole os termos de uso, denuncie. Leia as perguntas mais frequentes para saber o que é impróprio ou ilegal.

recentes

populares

  • Renata Santos
    2014-09-16T20:38:25

    Legal esse truque de por a senha errada no site do banco, vou ficar de olho quando ver uma url estranha e comprida!

  • Debora Leite
    2014-09-15T20:16:58

    boa a matéria! bem esclarecedora