Phishing - como identificá-lo?

Para quem não sabe, o phishing (“pescando”, em inglês) é uma modalidade de fraude na Web em que os crackers criam páginas falsas com o intuito de induzir o internauta a fornecer dados confidenciais - principalmente senhas bancárias e números de cartões de crédito - por meio de e-mails com supostos avisos de bancos, sites de compras ou de instituições como o SERASA e a Receita Federal.

Em 2006, segundo estatísticas do Cert.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil), das 197 mil tentativas de ataques registradas pela entidade, 21% tinham como alvo dados pessoais, que inclui o phishing.

Além disso, de acordo com um levantamento da empresa de segurança digital Fortinet, este tipo de fraude foi a mais ativa em fevereiro deste ano, respondendo por quase 19% do total das ofensivas. E, para completar, mais uma notícia desanimadora: um relatório da ISS (Internet Security Systems) avisa que os crackers brasileiros estão desenvolvendo phishings cada vez mais sofisticados, com páginas muito próximas das originais, temas pontuais como campeonatos de futebol e promoções, além de usar o nosso idioma com cada vez mais freqüência.

Portanto, sendo o phishing um dos golpes mais utilizados na Web para quem quer ganhar dinheiro em cima da boa fé alheia, cabe a pergunta: como se precaver contra este tipo de prática? A resposta não está em softwares revolucionários que consigam detectar as páginas fraudulentas, mesmo porque a maioria dos filtros do gênero deixa muito a desejar. As melhores dicas para não ser “fisgado” estão em informação e olho vivo.

Informação
Como já foi dito no começo desta reportagem, crackers que usam o phishing para “arrecadar” dinheiro, utilizam, na maioria das vezes, o nome de bancos, sites de compras (como o Mercado Livre), entidades como o SERASA, a Receita Federal ou o TSE (Tribunal Superior Eleitoral), além de empresas de serviços públicos como operadoras de telefonia celular e fixa, de fornecimento de energia elétrica, entre outras.

No entanto, a dica-chave para quem não quer cair no golpe do phishing é saber que a maioria dessas companhias não envia e-mails para seus clientes, a não ser que eles solicitem previamente. Em outras palavras, se você receber mensagens do banco X, da operadora Y ou de órgãos públicos, simplesmente apague-as. Para induzir os internautas, cria falsos avisos informando que a vítima tem débitos ou que documentos como CPF e o título de eleitor apresentam irregularidades e podem ser cancelados.

Como você já sabe, o phishing se baseia em páginas falsas para induzir o usuário a fornecer seus dados. Para isso, o criminoso coloca na mensagem links que levarão a vítima a páginas manipuladas, que roubarão as informações confidenciais.

Caso ocorra dúvidas em relação a pendências ou problemas de qualquer natureza envolvendo essas empresas, a dica é: simplesmente abra o navegador, digite o endereço eletrônico da instituição e procure informações diretamente no site da companhia. Não use qualquer link que esteja anexo à mensagem eletrônica.

Olho vivo
Para identificar se a página é falsa ou não, o usuário precisa apenas ter uma boa dose de olho vivo. Isso porque os links que estão embutidos nos e-mails destinados ao golpe não apresentam a URL (caminho que o internauta digita no navegador para acessar um site – o famoso http://www.) das instituições que eles dizem representar.

Por exemplo, se você recebe um e-mail do suposto banco X com um aviso, basta passar o mouse em cima de um dos links em anexo e verá que, em vez da URL mostrar o endereço da página Web do banco, trará um endereço, com um nome totalmente diferente – normalmente do servidor onde o site falso está hospedado. Na melhor das hipóteses, o cracker coloca o nome da empresa no final do endereço ou coloca alguns links verdadeiros pela mensagem, para passar alguma credibilidade à vítima.

De olho na língua
Outro fator que vale observar é que os e-mails que carregam phishings trazem mensagens cheias de erros de português, muitos absolutamente primários.

Tal detalhe deve ser observado com bastante atenção, porque já existem sites falsos que, ao invés de pedirem dados confidenciais do usuário, instalam códigos maliciosos como spywares (programas espiões) no PC da vítima sem que ela perceba.

Tais programas foram desenvolvidos também para roubar senhas bancárias e números de cartões de crédito. Por isso, evite até mesmo clicar em links suspeitos.

 

 

Fonte: http://www.malima.com.br/article_read.asp?id=519

.