O que é e como se proteger de phishing, esquema que envolveu Pablo Marçal
Candidato a prefeito de São Paulo, Pablo Marçal (PRTB) foi investigado por operar um programa responsável por captar e-mails para os quais seriam enviados spams. Por meio deles, a quadrilha fisgaria dados das contas bancárias das vítimas. Segundo a investigação, o esquema do qual ele fazia parte envolvia o que se convencionou chamar de phishing, uma técnica de fraude eletrônica.
O que aconteceu
Pablo Marçal foi condenado em 2010 por furto qualificado. Ele recebeu a condenação do TRF-1 (Tribunal Regional Federal da 1ª Região) a quatro anos e cinco meses de prisão. De acordo com a acusação, ele participou, em meados de 2005, de uma organização criminosa que invadia contas bancárias pela internet. Na época, tinha 18 anos.
Segundo a sentença, ele cuidava dos computadores da quadrilha e entregava listas de e-mails de possíveis vítimas. "O acusado [Pablo Marçal] não era responsável pela concretização material dos furtos cibernéticos sob foco, em prol da quadrilha por ele integrada. Porém, o réu cuidava da manutenção dos equipamentos de informática do grupo criminoso, além de realizar a captação de listas de e-mails para a quadrilha", diz a decisão.
De acordo com o Ministério Público Federal, pegava e-mails de vítimas para um dos líderes da organização, o pastor Danilo de Oliveira. O atual candidato admitiu que colaborou com o grupo, mas disse que não tinha conhecimento dos atos ilícitos.
O empresário nunca foi preso pelo crime. Em 2018, a Justiça entendeu que a pena já havia prescrito e a extinguiu.
O que é pishing?
É uma técnica para roubar dados pessoais ou instalar um malware (software malicioso), com a mesma finalidade. Essa coleta de informações da vítima pode incluir os seus contatos que, invariavelmente, podem ser alvos de outras ameaças virtuais.
O phishing usa uma isca, que pode chegar por e-mail, SMS, redes sociais ou apps de mensagem. A estratégia é popular, pois muitas vezes consegue romper as proteções tradicionais de seu computador ou smartphone. Afinal, é você a pessoa que entrega (mesmo sem saber) os seus dados pessoais —ao preencher formulários ou esquemas semelhantes, por exemplo.
Como surgiu o phishing
Segundo a MalwareBytes, empresa de segurança digital, há duas possíveis origens para o termo:
- Na primeira delas (e mais aceita), o nome nasce da junção das palavras "phony" (enganoso") e "fishing" (pescaria), numa espécie de "jogar no mar para ver quem cai no golpe".
- Na segunda delas, estaria ligado aos "phreaks", os primeiros hackers. O termo junta "phone" (telefone) e "freaks" (fanáticos) para designar uma subcultura dos anos 1970 que enganava operadores de telefonia --com técnicas muito parecidas com as do phishing-- para fazer chamadas a distância sem pagar nada.
Os primeiros incidentes de phishing foram detectados em 2 de janeiro de 1996. Na ocasião, hackers se passaram por empregados do AOL (America Online) e, numa combinação de e-mails e mensagens falsas, enganaram diversos usuários da plataforma, roubando senhas e credenciais.
No começo dos anos 2000, ataques começaram a se espelhar. O alvo já não eram só pessoas, mas também instituições bancárias, que migravam para a internet.
As táticas da época são, até hoje, bem populares. Entre elas, a estratégia de registrar sites e e-mails com caracteres muito parecidos com os de empresas originais e confiáveis para enganar potenciais vítimas.
Tipos mais comuns de phishing
Segundo a empresa de cibersegurança TrendMicro, podemos encontrar os seguintes tipos:
- E-mail phishing: a forma mais popular deste ataque. O cibercriminoso manda um e-mail falso de maneira generalizada para uma lista de pessoas para roubar credenciais, dados e contas de quem clica no link malicioso e cai no esquema.
- Spearphishing: "pescaria de arpão". É um phishing mais específico, com mensagens e informações voltados a enganar uma pessoa. Ex.: pedir dinheiro via WhatsApp porque número novo está no conserto.
- Whaling: tenta atingir empresas líderes em seus setores ou em posições econômicas confortáveis --como "pescar uma baleia".
- Smishing: são golpes em que mensagens de texto (SMS), normalmente se passando por bancos ou serviços digitais, levam a pessoa a clicar em links falsos ou enviar informações sensíveis.
- Vishing: é o mesmo princípio do smishing, mas por uma chamada falsa de voz por telefone, com o criminoso do outro lado se passando por uma instituição bancária.
Outras formas de phishing se tornaram tão elaboradas que deixam de ser facilmente reconhecidas e contam com uma série de táticas em conjunto, como os golpes do namoro e do pig-butchering (criminosos seduzem vítimas para conseguir dinheiro para investir em moedas virtuais).
Por que o phishing engana tanto
Ele joga com o psicológico da pessoa. A técnica cria urgência e legitimidade em um curtíssimo espaço de tempo.
No phishing, a mensagem costuma ser de uma fonte que se passa por confiável. Para comprovar, há um link ou um anexo junto.
Para isso, os golpistas usam normalmente o nome de:
- Uma instituição verdadeira, pessoa conhecida ou do seu círculo de contatos;
- Uma ameaça ou uma promessa;
- Um link ou anexo.
A instituição pode ser um banco ou uma grande empresa, não importa qual, ou ainda usar nome ou foto dos seus contatos. Isto acontece para a mensagem falsa ganhar credibilidade.
Depois, o corpo da mensagem apresenta uma ameaça ("sua conta será apagada") ou uma promessa ("depósito em sua conta" ou "restituição financeira").
Esta combinação instituição e ameaça/promessa é um disfarce. O objetivo é que você finalmente clique no link ou baixe o anexo, o verdadeiro anzol. E é aí que mora o perigo. Nestes casos:
- O link tem a finalidade de encaminhar você a uma página falsa preparada pelo golpista;
- O anexo pode ser desde um formulário praticamente idêntico ao de uma instituição oficial, um boleto falso ou, no pior dos casos, um malware.
Ao clicar, você se torna vulnerável para que o criminoso do outro lado do golpe furte credenciais, dados pessoais ou até mesmo acesso a suas contas bancárias.
Como diminuir os riscos de cair no golpe
Para escapar, mais do que antivírus, é sempre necessário desconfiar das mensagens que recebe.
Separamos alguns passos simples para toda vez que você tiver dúvida:
- Confira a origem da mensagem. A forma de contato (endereço de e-mail, número de telefone) é mesmo daquele órgão ou pessoa conhecida? Muitas vezes são letras ou palavras não relacionadas.
- Não clique imediatamente no link. Vá direto na página do banco ou loja para ver se o aviso está lá também.
- Na dúvida, tente outra forma de contato. Busque falar com a instituição ou pessoa antes de abrir anexos, ou clicar em qualquer link.
- Dá para checar presencialmente? Então cheque. Vá até a pessoa ou instituição e mostre a mensagem. Peça para que eles confirmem a autoria ou validade.
*Com informações de reportagem publicada em 27/01/2023
ID: {{comments.info.id}}
URL: {{comments.info.url}}
Ocorreu um erro ao carregar os comentários.
Por favor, tente novamente mais tarde.
{{comments.total}} Comentário
{{comments.total}} Comentários
Seja o primeiro a comentar
Essa discussão está encerrada
Não é possivel enviar novos comentários.
Essa área é exclusiva para você, assinante, ler e comentar.
Só assinantes do UOL podem comentar
Ainda não é assinante? Assine já.
Se você já é assinante do UOL, faça seu login.
O autor da mensagem, e não o UOL, é o responsável pelo comentário. Reserve um tempo para ler as Regras de Uso para comentários.