Já tem um tempo que a internet não é mais tão segura quanto antigamente. A pandemia trouxe maiores riscos para o cotidiano digital, e hoje é difícil dizer que riscos podem estar atrás de uma mensagem no WhatsApp ou num anúncio do Google. No entanto, uma das formas mais comuns e devastadoras de ataques virtuais é o phishing — e ele é muito mais devastador no celular.
O phishing é um tipo de cibercrime visa fisgar as credenciais e informações da vítima de alguma forma, normalmente através de uma mensagem aparentemente legítima. Metade engenharia social, metade tecnologia, tudo o que o criminoso precisa é convencer a vítima a morder a isca: clicar no link, abrir um arquivo, instalar um programa, inserir uma senha num site falso. Sem saber, essas informações vão parar nas mãos do golpista. E o estrago está feito.
Uma pesquisa da Trend Micro no começo do ano revelou que os golpes por email continuem como o cibercrime mais popular, com um aumento anual de 19% em emails de phishing, e 5,5 milhões de tentativas de roubo de credenciais. No entanto, não são apenas dados e senhas que são visadas por este cibercrime. Essa pescaria pode visar peixes graúdos, como os dígitos da sua senha de banco, ou ainda, a sua carteira de criptomoedas.
Nem toda pesca se faz igual
Conforme o guia de segurança virtual da Eletronic Frontier Foundation, existem duas formas primordiais de ataques de phishing, e elas podem ocorrer tanto pelo celular quanto no desktop. Para entender as diferenças entre eles, é importante enxergar suas relações com a pesca, que é de onde o nome do golpe vem.
Até hoje, a maneira mais comum do ataque se dá pelo “credential phishing”, que traduz para algo como “pesca de credenciais”. Segundo o ComputerWorld, o primeiro caso de golpe de phishing veio em 1996, com hackers roubando contas e senhas do America Online. Jogando uma tarrafa de emails ao mar da internet, os criminosos sabiam que não pegariam todos os peixes incautos. Mas também sabiam que alguns cairiam na rede.
Parte do sucesso do phishing de credenciais vem da escalabilidade do golpe. Assim que o criminoso monte a “isca” — uma página falsa ou um email padrão que leva a um malware — tudo o que ela precisa é enviar esse golpe em massa para uma lista. E considerando a frequência com que dados dos brasileiros tem vazado por aí, não é de se surpreender que os hackers montem listas baseadas nestas informações.
No entanto, outra possibilidade do golpe é o spearphishing — que é algo mais parecido com a pescaria de arpão. Ao invés de mirar em diversas vítimas, o ataque é mirado exclusivamente em uma única pessoa. As iscas são pensadas especificamente com base no cotidiano, ou no momento de vida do alvo. Normalmente, são mais voltados a figuras visíveis da internet, como supostas fotos enviadas por um parente, ou uma promoção de um produto que a pessoa recentemente postou em sua rede social.
Porque o phishing é mais perigoso no celular
Segundo um estudo da Universidade de Stanford, o Brasil é o quinto país no ranking de vítimas desta categoria de cibercrime. Embora a mesma pesquisa tenha apontado que usuários de celular caiam menos em ataques de phishing, isso não está ligado à inexistência do risco no mobile. Na verdade, o golpe pode vir de diversos vetores exclusivos do smartphone: mensagens suspeitas no WhatsApp, SMS, contatos no LinkedIn ou páginas falsas no Facebook.
O especialista em cibersegurança da Traced, Matt Boddy, afirma que o rompimento das barreiras entre vida pessoal e profissional aumentaram os ataques de phishing voltados para smartphones. E o que é pior, os dispositivos são menos equipados para se proteger disso. Navegadores mobile não exibem prévias das páginas a serem abertas, então links com malwares podem ser abertos no celular, onde se concentram as mesmas informações vitais presentes no computador.
Um guia básico para se proteger de ataques de phishing
Algumas etapas são importantes para proteger o seu celular de ataques de phishing. Mesmo com um antivírus no seu aparelho (o que nunca é uma má ideia), o golpe pode passar por cima de medidas automáticas de segurança, já que parte dele depende de interação humana.
O primeiro cuidado é: atenção aos emails com instruções de passo a passo. Se um criminoso se passa pelo suporte da Apple tentando te informar de uma atualização por um link ou mudança de senha que vem diretamente por email, não abra ou responda imediatamente. Procure mais informações institucionais através de contato com o site. Exiba as mensagens que recebeu ao chat de suporte e cheque a procedência. No caso de phishing se passando por bancos, tente ligar para a agência da sua conta. Se for alguém potencialmente se passando por um conhecido seu, tente ligar para ele.
Se você receber por email arquivos suspeitos, como PDF, documentos de texto, planilhas ou fotos, não abra imediatamente. Ao invés disso, envie para o Google Drive, e visualize lá. A visualização em nuvem impedirá scripts nocivos de rodarem automaticamente.
Para evitar a inserção de senhas em páginas suspeitas, utilize um app gerenciador de chaves, com auto-preenchimento. Estes programas verificam a integridade das páginas de login que você está acessando e, se ele se recusar a colocar a senha, é porque há grandes chances de ser uma página falsa.
Por fim, mantenha sempre o sistema operacional do seu celular atualizado. Alguns malwares que fazem parte dos ataques de phishing miram especificamente em vulnerabilidades no Android ou no iOS, então as atualizações ajudam a mitigar um pouco estes riscos.
Imagem: Xijian/iStock