O termo phishing é originado da palavra inglesa fishing que significa pescar, ou seja, é a conduta daquele que pesca informações sobre o usuário de computador.
No início a palavra phishing (ou phishing scam) era utilizada para definir a fraude que consistia no envio de e-mail não solicitado pela vítima, que era estimulada a acessar páginas (sites) fraudulentas. Estas eram criadas com a intenção de permitir o acesso as informações eletrônicas da pessoa que lhe acessava, como por exemplo, número da conta bancária, cartão de crédito, senhas, e-mails e outras informações pessoas.
Uma característica destas mensagens é que simulavam ser originadas de uma instituição conhecida, como por exemplo, banco, órgão governamental, empresa, etc.
Nestes casos o hacker criava uma falsa história para atrair os usuários de computadores e com isso acessar as informações que tenha interesse, principalmente visando obter lucros ou causar prejuízos para as vítimas.
Atualmente esta palavra é utilizada para definir também a conduta das pessoas que encaminham mensagens com a finalidade de induzir a vítima a preencher formulários com seus dados privados ou que objetivam induzir o usuário a instalar códigos maliciosos, capazes de transmitir para o hacker as informações que tenha interesse.
De acordo com o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil, os principais tipos de ações envolvendo phishing utilizados pelos hackers são:
1 Mensagens que contêm links para programas maliciosos
A pessoa recebe uma mensagem por e-mail ou pelo serviço de mensagens instantâneas (MSN, ICQ, etc), normalmente com alguma promessa de lucro fácil, informação que desperte a curiosidade ou ameaça de produzir algum mal a vítima, de forma que ela clique em um link para fazer download (sinônimo de copiar, baixar) de um arquivo malicioso (malware) e em seguida abra/execute um arquivo malicioso.
São exemplos destas mensagens:
1.1 Oferta de grandes lucros: mensagens de um milionário da África ou da China que esteja interessado em parceria para lavar dinheiro, golpe da pirâmide, etc.
1.2 Fotos de conhecidos ou celebridades: notícias de celebridades, informação de que a pessoa está sendo traída, etc.
1.3 Notícias e boatos: tragédias divulgadas na mídia, boatos sobre personalidades, fotos de uma pessoa famosa que foi assassinada, filmagens de ator surpreendido consumindo drogas, etc.
1.4 Realy shows: fotos e vídeos sobre BBB, Fazenda, etc.
1.5 Orçamentos e cotações de preços: geralmente com links para acessar os dados do produto.
1.6 Sites de comércio eletrônico: cobrança de débito, devolução de compra e outros fatos envolvendo grandes empresas do gênero.
1.7 Empresas de telefonia ou provedoras de acesso a internet: aviso de bloqueio de serviços, promoções, consulta detalhadas, etc.
1.8 Falsos cartões virtuais: cartão do voxcards, etc.
1.9 Avisos de órgãos do governo: CPF cancelado ou pendente de regularização, correção do programa para enviar o Imposto de Renda, titulo eleitoral cancelado, etc,
1.10 SERASA ou SPC: inclusão de nome em cadastro de devedores, restrições financeiras, possibilidade de acessar ao extrato com as informações, etc.
1.11 Ameaças de órgãos do governo: mensagem da Polícia Federal sobre pornografia infantil em seu computador, intimação da Polícia Civil, informação sobre multa, cobrança de impostos, ação de despejo, etc.
1.12 Transações bancárias: necessidade de instalar novo módulo de segurança, etc.
1.13 Antivírus: cópia gratuita do antivírus, nova versão, atualização, etc.
Geralmente a vítima recebe algum destes e-mails, clica em determinado endereço da internet (link) encontrado no corpo do e-mail e, em seguida, é direcionada para um site semelhante ao que a desejava visitar. No site a vítima preenche um formulário ou realiza o login e seus dados sãos transmitidos para o computador do hacker, geralmente e-mail, CPF, RG, telefones, endereço, etc. Em certos casos ao acessar o site, a pessoa é estimulada a copiar determinado arquivo malicioso (malware) em seu computador e depois a abrir/executar este programa. O programa pode ter a funcionalidade de gravar todos os dados digitados (spyware), incluindo número da conta bancária, cartão de crédito, senha e outros dados importantes.
Uma medida para evitar que a pessoa seja vítima de phishing é sempre ler atentamente a mensagem, pois se for phishing geralmente possui diversos erros de gramática.
O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil também recomenda passar o cursor do mouse sobre o link e ver na barra de status do programa de e-mail qual o endereço que aparece, pois algumas vezes o link que o usuário lê na mensagem tem um endereço e o link que ele acessa ao clicar nele é outro.
Deve-se tomar muito cuidado com a extensão do arquivo anexo ao e-mail. Qualquer extensão pode conter arquivos maliciosos, porém se for .exe, .scr, .com, .dll, .zip e .rar o risco é maior.
O mesmo ocorre quando a mensagem recebida exige que o usuário faça download ou execute determinado arquivo ou programa. Independente do remetente da mensagem que o usuário tenha recebido deve-se tomar muito cuidado com seu conteúdo, pois aqueles que praticam crimes cibernéticos conseguem facilmente obter um e-mail com os mais variados nomes, inclusive de pessoas conhecidas. Além disso, o hacker pode infectar o computador da pessoa e fazer com que ela encaminhe e-mails com anexos ou links maliciosos para a sua lista de e-mails e você que é usuário pode ser uma vítima.
Na próxima semana falaremos sobre páginas de comércio eletrônico ou Internet Banking falsificadas.
BIBLIOGRAFIA
CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE INCIDENTES DE SEGURANÇA NO BRASIL. Cartilha de Segurança para Internet, versão 3.1. São Paulo: Comitê Gestor da Internet no Brasil, 2006. Disponível em: < http://cartilha.cert.br/download/cartilha-seguranca-internet.pdf>. Acesso em: 17 nov. 2010.
HIGOR VINICIUS NOGUEIRA JORGE é Delegado de Polícia, professor de análise de inteligência da Academia da Polícia Civil, professor universitário, presidente do Conselho Municipal Antidrogas de Santa Fé do Sul e especialista em polícia comunitária. Site: www.higorjorge.com.br
