Phishing: Saiba como se proteger da ‘pesca’ ilegal de dados

Você já deve ter visto, ou recebido e-mails e mensagens boas demais para serem verdadeiras: “saiba como ganhar dinheiro sem sair de casa”; ou  promoções de grandes marcas com tantas vantagens que é bom desconfiar. A tática é usada por hackers criminosos para roubar dados valiosos de pessoas ou empresas. Esta prática é conhecida como phishing.

O nome é derivado da palavra inglesa fishing, que significa pesca. O motivo é que criminosos lançam o ‘anzol’ junto a mensagens apelativas que incitam a curiosidade, e ‘pescam’ dados daqueles usuários que mordem a ‘isca’. As consequências podem variar desde sequestro de bancos de dados inteiros até práticas de roubo e estelionato virtual com dados de usuários.

O phishing, assim como a pesca, pode ser realizado com uma vara, rede ou mesmo arpão. O anzol normalmente é direcionado a um perfil específico de pessoas, a rede se propaga por meio dos compartilhamentos e o que cair é lucro; já o arpão normalmente é direcionado a um banco de dados específico, como o de uma empresa, por exemplo.

Embora os ataques, em sua maioria, sejam feitos via e-mail, o Whatsapp também tem sido utilizado por estes criminosos. A facilidade no compartilhamento em grupos e o fato de já ser um ambiente onde circulam muitas fake news, fazem do WhatsApp um ambiente fértil para este tipo de conteúdos. 

Tem que previnir

O golpe acontece de várias formas. Desde um link que redireciona para uma página de cadastro, até arquivos infectados com vírus que invadem a base de dados do usuário, ou de uma rede. O objetivo, alerta  a consultora em segurança da informação Elba Vieira, é   monitorar senhas do usuário e dados sensíveis e pessoais. 

Para Elba, a melhor maneira de lidar com esta ameaça, minimizando riscos e impactos,  é a prevenção. “Não existe fórmula mágica, o que existe é um conjunto de hábitos e normas que se seguidos tornam o trabalho do invasor mais difícil”, defende.

O conselho de Elba para as empresas  é que, além de usar ferramentas tecnológicas de prevenção, invistam na sensibilização dos colaboradores, parceiros, clientes e todos aqueles que acessam a rede de dados da organização. “Eu considero que sensibilizar o fator humano nas organizações é um dos pontos mais importantes para criar e manter a cultura da segurança nas organizações”, afirma.

A dica do advogado especialista em crimes digitais, Thiago Vieira, é o bom e velho backup em uma rede autônoma. Ele explica que, em caso de sequestro de dados, esta é a maneira mais eficiente e segura de recuperá-los. “Muitas vezes quando os dados são compactados e criptografados, algumas coisas acabam se perdendo. Com o backup é possível recuperar sem pagar o resgate e se livrar do golpe”, aconselha. 

Quem também recomenda a prevenção como melhor maneira de evitar o phishing é advogado Felippe Cardozo. “Como identificar o autor do crime é muito difícil e o poder de investigação para esses casos ainda é limitado, a prevenção  é o melhor jeito de lidar com a situação”, defende. 

No entanto, ele recomenda que o primeiro passo para uma vítima de phishing deve ser entrar em contato com um advogado especializado e só então comunicar o fato às autoridades. As penas para o phishing são variadas e aplicadas de acordo com a gravidade do crime, podendo ser de três meses a dois anos, seguido de multa, a depender da decisão do juiz. 

Dados sensíveis x Dados pessoais

Embora pareçam ser a mesma coisa, são diferentes. Os dados pessoais são aqueles que possuem informações relacionada a pessoa física identificada ou identificável, como por exemplo o nome, RG, CPF, CNH e etc. 

Já os dados sensíveis são aqueles que contêm algumas característica dos costumes, preferências, características físicas e de personalidade da pessoa, como por exemplo a origem racial, convicção religiosa ou política, sexualidade e até dados sobre a saúde do indivíduo. Geralmente são esses dados que as grandes companhias como Google e Facebook coletam e vendem, no entanto como é um acordo com o usuário, a prática não é criminosa. 

No entanto, vale ressaltar que ambos os dados coletados de forma ilegal e sem o consentimento do usuário, podem ser considerados atos criminosos. 

Dicas para não ser uma vítima

1- Troque suas senhas periodicamente. Preferencialmente a cada 30 dias 2- Escolha senhas fortes, isto é aquelas que têm números, letras e caracteres especiais. Mínimo de 6 ou 8 dígitos 3- Tenha uma senha para cada acesso, assim se descobrirem uma, as outras estarão seguras 4- Não seja um ‘clicador’, pense algumas vezes antes de clicar, principalmente em links e anexos de origem desconhecida 5- Desconfie de mensagens não solicitadas principalmente as de conteúdo suspeito, de remetentes desconhecidos e com informações sem fonte.  6- Evite acessar dados pessoais através de redes públicas.  7- Não informe dados pessoais em formulários de origem desconhecida 8- Mantenha um backup de seus dados mais importantes, caso seus dados sejam sequestrados há a possibilidade de recuperar sem pagar resgate e com a segurança de que dados não se perderam durante o processo de criptografia.  9- Verifique sempre a URL do site. Em muitos casos de phishing, o endereço de e-mail/site pode parecer legítimo, mas a URL pode estar com erro de grafia ou o domínio pode ser diferente ('.com' quando deveria ser '.gov').

*Sob orientação da editora Ana Pereira