Phishing é um velho
método de fisgar pessoas na internet e induzi-las a clicar em links de sites
que instalam vírus em seus computadores e celulares. A novidade do cibercrime é
que as tentativas, agora, também são offline: os hackers estão usando papel.
Fraudadores mandam
cartas ou bilhetes físicos com propagandas, convites ou contas falsas
a pagar, e sugerem que a vítima escreva o endereço eletrônico na internet para
receber um benefício.
Ao entrar no site
falso, ela cai na armadilha e instala um programa malicioso em sua máquina,
como em qualquer outro golpe digital.
Esse software dá
acesso remoto ao cibercriminoso, que pode roubar seus dados pessoais, acessar
documentos ou cometer qualquer crime de falsidade ideológica.
O El Pescador,
braço da empresa de inteligência cibernética Tempest, presta serviços de
conscientização sobre phishing a clientes. Parte do trabalho é simular ataques,
como se fossem hackers comuns.
Rafael Silva,
presidente do El Pescador, diz que a demanda por simulações de ataques físicos
cresceu no último ano nas empresas, justamente porque esse tipo de ataque ficou
mais frequente.
Embora o mercado de
segurança não tenha números sobre ofensivas de hackers com a utilização de
papel, especialistas dizem que é um tipo de engenharia social –método
clássico em que o atacante usa artifícios psicológicos para manipular a vítima
e obter informações.
Segundo recente pesquisa da IBM, cerca
de um terço dos ciberataques hoje começam desse modo.
Uma maneira de usar
engenharia social é pelo telefone. O criminoso liga para um funcionário,
se faz passar por um colega ou pelo chefe, e pede o acesso à rede
corporativa.
“Eles exploram
muito as relações de confiança. Nos nossos testes, fazemos isso como os
atacantes. Criamos um convite de confraternização da empresa ou
dizemos que a pessoa foi selecionada para algum programa interno", diz
Silva.
O apelo emocional é
uma das chaves para o êxito desse crime.
Quando o foco é
na pessoa física, os golpistas usam uma marca que a pessoa seja cliente e
enviam mensagens como "resgate seus pontos" ou "você foi
sorteado" e um link encurtado para que ela digite em seu
navegador.
Nos testes do El
Pescador, 90% dos funcionários são fisgados, diz o especialista. A empresa
trabalha com grandes bancos, hospitais e varejo.
André Carreto, especialista
em segurança da Symantec, diz que o phishing físico é custoso,
demanda muita engenharia social e costuma ser bem direcionado.
“Quando o foco é a
pessoa física, a ideia é o retorno financeiro. Quando é a empresa, o foco é o
acesso a informações sensíveis”, diz.
Outros golpes
Além de convites e
cupons falsos enviados pelo correio, especialistas apontam para o aumento da
manipulação de contas de telefone, internet e TV por assinatura.
Nesse caso, não é
preciso digitar nada no computador ou celular, apenas pagar um boleto
falso. O dinheiro vai direto para a conta do criminoso.
Exemplo desse golpe é o boleto de conta do
Santander fraudada; cidadãos devem ficar atentos a cobranças inesperadas – Veja
reprodução do boleto no início dessa publicação.
“É um golpe
capcioso porque se a conta for de baixo valor, não vale a pena; se for um
pagamento alto, como uma mensalidade escolar, a vítima desconfia. Então, é
comum que o golpe seja destinado a TVs por assinatura e telefone, que costumam
ter preços intermediários”, diz Carreto.
Para Thiago Lima,
engenheiro sistemas da A10 Networks, os hackers evoluíram no
estudo de suas vítimas antes de aplicarem golpes. Até QR Code,
ele diz, tem sido usado para obter informações, embora esse golpe não
seja comum no Brasil.
“Hoje é simples e
gratuito entrar em um site e gerar um QR Code. Depois, é preciso imprimir
e colar por cima de algum QR Code oficial. Nos Estados Unidos, já
aplicaram esse golpe em estacionamento de shopping.”
Como se proteger?
A boa notícia é que
a cartilha para evitar o phishing tradicional, normalmente enviado por
email ou WhatsApp, do offline é semelhante: ambos têm mensagens
apelativas, às vezes em tons de ameaça.
É indicado
desconfiar quando um conteúdo exige a troca de senha ou o pagamento de uma
conta com um prazo urgente. Bancos não solicitam tokens ou senhas por
telefone e nem por email.
Além disso, é
sempre importante verificar se o domínio do site indicado por email tem relação
com o endereço (que vem antes da arroba), desconfiar de promoções e sorteios
e instalar antivírus no computador e no celular.
Extraído de:
sosconsumidor.com.br - Fonte: Folha Online - Por: Paula Soprana
Nenhum comentário:
Postar um comentário