quinta-feira, 28 de fevereiro de 2013

Segurança na Internet - O que é Phishing?


 Todos os dias, milhões de ameaças virtuais são espalhadas pela internet. Boa parte desse montante pode ser classificada como phishing.

Essa prática, como o nome sugere (“phishing” em inglês corresponde a “pescaria”), tem o objetivo de "pescar” informações e dados pessoais importantes através de mensagens falsas. Com isso, os criminosos podem conseguir nomes de usuários e senhas de um site qualquer, como também são capazes obter dados de contas bancárias e cartões de crédito.

Para não cair em armadilhas como essa, o internauta precisa estar muito atento e prevenido contra o phishing. Para isso, você pode utilizar ferramentas anti-phishing gratuitas ou pagas e filtrar boa parte dessas ameaças. Alguns exemplos de aplicativos com esta finalidade são PhishGuard para o Firefox ou Internet Explorer e WOT para Google Chrome. Além disso, quase todos os antivírus no mercado são capazes de barrar este tipo de fraude.

Como acontece o golpe?


O phishing pode ocorrer de diversas formas. Algumas são bastante simples, como conversas falsas em mensageiros instantâneos e emails que pedem para clicar em links suspeitos. Fora isso, existem páginas inteiras construídas para imitar sites de bancos e outras instituições. Todas essas maneiras, no entanto, convergem para mesmo ponto: roubar informações confidenciais de pessoas ou empresas.

Se você já ouviu seus amigos reclamarem que receberam emails de um colega pedindo para clicar em determinado link, fique atento. O mesmo pode acontecer com você. Outros casos comuns são aquelas mensagens “estranhas” que alguns usuários recebem de amigos enquanto conversam no Windows Live Messenger (antigo MSN). O funcionamento é quase igual ao dos emails falsos, e você precisa tentar identificar a linguagem que o seu amigo normalmente usa. Fora isso, o mesmo tipo de fraude pode acontecer
também através de SMS.

10 dicas para evitar o phishing

1) Se você receber um e-mail de qualquer site e, não for cliente do mesmo, apague-o imediatamente, sem ao menos abrir o e-mail para uma rápida leitura (pois isso é a resposta que os scammers necessitam para saber que você e sua conta de e-mail são reais). Não clique em qualquer link contido no e-mail ou responda-o.

2) Se você é cliente do site composto no e-mail e não tem a certeza de que ele é legítimo, faça o seguinte:
-> Entre em contato com a entidade responsável por telefone ou através do site oficial (não use o link do e-mail, é claro), e pergunte se o e-mail recebido é verdadeiro.

3) Ao invés de utilizar o link fornecido no e-mail, abra o site oficial digitando-o diretamente em sua barra de endereços do navegador. O site, possivelmente, deverá ter notícias sobre o e-mail enviado aos clientes em sua página inicial. Se não houver nenhum comunicado do site, use a dica anterior para entrar em contato.

4) A maioria dos navegadores hoje em dia já possuem proteção anti-phishing integrada. As listas que usam geralmente são atualizadas várias vezes por dia. Todavia, esteja ciente de que a lista só detecta os sites de phishings que já estão na lista. Se surgir um novo, que ainda não fora colocado na lista, tenha cuidado.

5) Procure utilizar um antivirus que possua proteção anti-phishing também. Na maioria das vezes são suites pagas (conhecidas por Internet Security). Mas para quem já tem um antivirus pago e que a empresa disponibilize uma suite com proteção anti-phishing integrada, vale a pena gastar um pouco mais e obtê-la.

6) Um gerenciador de senhas pode ser uma excelente ajuda. Se guardar seu login (ID e senha) de um site em um gerenciador de senhas você poderá fazer login automaticamente quando acessar ao site. Porém, o melhor vem agora: O gerenciador de senhas só funcionará no site real, ou seja, se o site for fraudado por phishing, o gerenciador não funcionará e lhe notificará de que o site acessado não é o mesmo.
Atualmente existem diversos gerenciadores de senhas. Os que mais gosto são o Ginz e o KeePass Password Safe, ambos gratuitos.

7) Verifique sempre a URL do site na barra de endereços do navegador, antes de digitar qualquer informação. Está correta?

Não? Certifique-se de olhar com bastante atenção para todos os detalhes, principalmente de caracteres semelhantes, como 0 (zero) e o (letra). Ainda não tem certeza? Envie a URL para o serviço de análise online disponibilizado pela Trend Micro, o Online URL Query. Se a análise apontar para falso, ou, mesmo a análise apontando para legítimo, você ainda assim suspeitar do site, simples, não acesse-o.

8) Se for um site de banco, pagamento, compras ou algo do tipo, que envolva dados financeiros e pessoais, verifique se o endereço começa com https. O "s" no final do http significa que os dados serão transmitidos através de uma conexão criptografada e que verifica a autenticidade do servidor e do cliente através de certificados digitais. Assim sendo, o site será muito mais seguro e confiável. Observe que, na barra de endereços ou na barra de status (localizada na parte inferior do navegador), também haverá um cadeado.

9) O endereço do site aparenta ser diferente do comum? Não acesse-o, por enquanto. Abra outra aba ou outra instância do navegador (se preferir), e insira a URL manualmente na barra de endereços. Veja se são a mesma, analise cada caractere do endereço. Se forem diferentes, jamais acesse o site que foi alterado, somente o que você digitou manualmente. Posteriormente, comunique o site oficial ou algum site que utilize de report (como o nosso blog, por exemplo) sobre o problema para que o falso site seja derrubado.

10) Ao surgir novidades no mundo das celebridades ou, notícias interessantes de compras e algo do tipo, que faça com que usuários corram atrás de notícias em sites ou pesquisem, não clique em qualquer link ou aceda qualquer página. Uma técnica maliciosa que está sendo bastante usada hoje é o Envenenamento de SEO. Fazendo um rápido resumo, são páginas falsas de notícias atuais criadas com a intenção de atrair os usuários à uma armadilha, tendo como consequência a instalação de malwares.


Fontes:
TEcmundo e Security Search Blog

Nenhum comentário:

Postar um comentário