Phishing é um tipo de fraude electrónica para roubar informações particulares que sejam valiosas para cometer um roubo ou fraude posterior. O golpe de phishing (também conhecido como phishing scam, ou apenas scam) é realizado através da criação de um website falso e/ou do envio de uma mensagem electrónica falsa, geralmente um e-mail ou recado através de scrapbooks, entre outros exemplos. Utilizando de pretextos falsos, tenta enganar o receptor da mensagem e induzi-lo a fornecer informações sensíveis (números de cartões de crédito, senhas, dados de contas bancárias, entre outras).
Tipos de Mensagens Electrónica utilizadas
Um estelionatário envia e-mails falsos forjando a identidade de entidades populares consideradas confiáveis, tais como sítios de entretenimento, bancos, empresas de cartão de crédito, lojas, órgãos governamentais, etc.
Geralmente, as mensagens são enviadas para milhões de endereços de e-mail que foram previamente colectados na Internet. A entrega dos e-mails, normalmente, é feita por computadores que estão sob o controle de pessoas mal intencionadas e incluem principalmente servidores web mal configurados e computadores com conexão banda larga infectados com cavalos de Tróia (trojans) propositadamente desenvolvidos para permitir o envio de e-mail em massa (spam).
Uma técnica popular é o roubo de identidade via e-mail. Estelionatários enviam e-mails tentando persuadir os receptores a fornecer dados pessoais sensíveis, tais como nome completo, endereço, nome da mãe, número da segurança social, cartões de crédito, números de conta bancária, entre outros. Se captados, esses dados podem ser usados para obter vantagens financeiras.
A identidade usada nessas mensagens, geralmente, é de órgãos governamentais, bancos e empresas de cartão de crédito. No corpo da mensagem, normalmente, existem ligações que apontam para sítios falsos, normalmente muito parecidos com os sítios verdadeiros, onde existem formulários que a vítima deve preencher com as informações solicitadas. O conteúdo preenchido no formulário é enviado ao estelionatário.
A forma de persuasão é semelhante à do roubo de identidade, porém a mensagem recebida contém ligações que apontam para sítios que contém programas de computador que, se instalados, podem permitir a captura de informações, principalmente números de conta e senhas bancárias. A instalação desses programas é, na maioria absoluta dos casos, feita manualmente pelo usuário. Tecnicamente, pode existir a possibilidade da instalação automática desses programas apenas pela leitura da mensagem, mas isso depende de uma combinação de muitos factores, que raramente acontece (e que não vale a pena ser explicada aqui).
O phishing via e-mail não vem apenas com o nome de entidades famosas. São usados diversos tipos de assuntos com o intuito de atrair a curiosidade e fazer com que o receptor da mensagem clique na ligação contida junto ao corpo do e-mail. Na figura ao lado uma suposta admiradora secreta envia supostas fotos suas. Na verdade, a ligação não contém fotos, mas sim um arquivo executável, que ao ser baixado e executado instala um cavalo de Tróia (trojan) bancário no computador do usuário.
Outro tema muito comum são os cartões virtuais. Eles são um bom chamariz, visto que é comum as pessoas trocarem cartões virtuais via e-mail. Os supostos cartões virtuais, normalmente, têm a sua identidade associada a de algum sítio popular de cartões virtuais. Isso ajuda a tentativa de legitimar o golpe e tenta dar mais credibilidade à farsa. A mensagem tem o mesmo formato e, geralmente, utiliza as imagens originais dos sítios de cartões virtuais. Um detalhe em que o usuário deve prestar a atenção são os erros de gramática que essas mensagens geralmente apresentam.
Outro detalhe fundamental é que ao clicar em ligações contidas nessas mensagens quase sempre é aberta uma janela para download de arquivo. Nenhum site sério de cartões requer que o usuário baixe qualquer arquivo!
Formas de protecção
Alguns cuidados ao ler e-mail
Desconfie de e-mails que não tenham um remetente conhecido. Ao receber e-mail de pessoas desconhecidas duplique o cuidado em relação às mensagens. Principalmente, pense duas vezes antes de clicar em qualquer ligação no conteúdo da mensagem. Não acredite em ofertas milagrosas (do estilo "almoço grátis").
Cavalos de Tróia e outros programas que capturam senhas são "não solicitados", certo? Se alguém conhecido enviar um arquivo que você não pediu, verifique com a pessoa se ela realmente enviou o arquivo, e pergunte qual o conteúdo deste. Evite, ao máximo, executar programas. Programas que têm o nome do arquivo (a extensão) terminado em alguma dessas: .exe, .scr, .pif, .cmd, .com, .bat, entre outros, podem ser, em alguns casos, maliciosos.