Nem todos os ataques tentam furar a tecnologia. Muitos, talvez a maioria dos que atingem pessoas comuns, escolhem um caminho mais fácil: enganar a vítima para que ela própria abra a porta. A isto chama-se phishing quando vem por mensagem, e engenharia social no sentido mais largo. Em vez de partir cifras ou explorar falhas de software, o atacante explora a confiança, a pressa e o medo de quem está do outro lado. Este artigo descreve como funcionam estes esquemas, que táticas usam, como reconhecer os sinais de uma mensagem fraudulenta e o que fazer no momento em que se percebe que se caiu no engano.
O que é o phishing e por que resulta
Phishing é a tentativa de o levar a revelar informação sensível, ou a executar uma ação, fazendo-se passar por alguém ou por algo em que você confia. O exemplo clássico é o email que parece vir do seu banco e lhe pede para confirmar os dados num site que, afinal, é falso. Mas o phishing vai muito além do email.
A forma mais comum continua a ser por correio eletrónico, com mensagens que imitam empresas, serviços ou pessoas conhecidas. Há também o phishing por mensagem de texto, por vezes chamado smishing, em que o engodo chega por SMS, e o phishing por telefone, ou vishing, em que alguém liga a fazer-se passar por um técnico, por um funcionário do banco ou por uma autoridade. Existe ainda o phishing dirigido, mais perigoso, em que o atacante estuda a vítima e personaliza a mensagem com dados reais sobre ela, tornando o engano muito mais convincente.
A razão pela qual estes esquemas funcionam tão bem tem pouco a ver com tecnologia e tudo a ver com psicologia. O atacante apoia-se em alavancas humanas bem conhecidas. Cria urgência, dizendo que a sua conta vai ser bloqueada se não agir já, para que você reaja antes de pensar. Invoca autoridade, fazendo-se passar por uma entidade respeitada, porque tendemos a obedecer a quem parece ter poder. Provoca medo, com avisos de fraude ou de problemas legais, ou então tenta o oposto, a ganância, com prémios e oportunidades. E explora a confiança, imitando ao pormenor o aspeto de uma marca conhecida. O elemento comum a tudo isto é empurrar a vítima para uma decisão rápida e emocional, porque é nesse estado que se baixam as defesas.
Táticas que deve conhecer
Os esquemas variam, mas assentam num repertório de truques que vale a pena reconhecer de antemão.
O endereço enganador é dos mais usados. O atacante regista um domínio muito parecido com o verdadeiro, trocando uma letra, acrescentando uma palavra ou usando uma terminação diferente, de modo que um olhar distraído não note a diferença. A página para onde a ligação aponta pode ser uma cópia perfeita do site legítimo, cadeado incluído, porque, como se explica no artigo sobre HTTPS e TLS, o cadeado garante que a ligação é privada, não que o site seja honesto.
A ligação ou o anexo perigoso são o passo seguinte. A mensagem convida-o a clicar num botão ou a abrir um ficheiro, que ou o leva a um formulário falso para roubar as credenciais, ou instala software malicioso no dispositivo. O pedido direto de informação é outra variante: o atacante pede-lhe, em texto, que confirme a palavra-passe, o código de segurança do cartão ou um código de autenticação, coisas que um serviço legítimo nunca solicita desta forma.
Há ainda esquemas mais elaborados. A fraude do falso suporte técnico, em que alguém o contacta a dizer que detetou um problema no seu computador e se oferece para o resolver, desde que lhe dê acesso. E a fraude dirigida a empresas, em que o atacante se faz passar por um superior ou por um fornecedor e pede, com ar de urgência, uma transferência ou o envio de dados. O fio condutor é sempre o mesmo: uma história plausível, uma razão para agir depressa e um pedido que, visto a frio, não faz sentido.
Como reconhecer uma mensagem fraudulenta
A boa notícia é que a maioria das tentativas de phishing deixa pistas, e treinar o olhar para elas trava quase tudo. Convém habituar-se a desconfiar perante este conjunto de sinais.
Desconfie sempre da urgência. Mensagens que insistem em que tem de agir já, sob ameaça de bloqueio ou penalização, foram desenhadas para o impedir de pensar. Um serviço sério dá-lhe tempo. Desconfie de qualquer pedido de informação sensível: bancos, plataformas e serviços legítimos não lhe pedem a palavra-passe nem códigos por email, mensagem ou telefone. Se alguém pede, é quase certamente fraude.
Olhe com atenção para o remetente e para as ligações. Verifique o endereço de email completo, e não apenas o nome que aparece, porque é fácil falsificar o nome mas o endereço real costuma denunciar o esquema. Antes de clicar numa ligação, passe o rato por cima dela, sem clicar, para ver o destino verdadeiro, e confirme que aponta para o domínio que diz apontar. Repare também na qualidade da mensagem: erros de português, saudações genéricas como “Caro cliente” em vez do seu nome, e logótipos ligeiramente errados são sinais frequentes, ainda que os esquemas mais cuidados estejam cada vez mais bem feitos.
Acima de tudo, desconfie do inesperado. Uma fatura que não esperava, um prémio que não disputou, um problema numa conta que nem sabia que tinha. O contexto fora do normal é, só por si, motivo para parar. E há uma regra de ouro que resolve a esmagadora maioria dos casos: nunca use a ligação ou o número que vêm na mensagem suspeita. Se receia que haja mesmo um problema com a sua conta, feche a mensagem e contacte o serviço pelos canais que você já conhece, escrevendo o endereço do site à mão ou ligando para o número oficial. Assim, mesmo que a mensagem fosse falsa, chega ao sítio verdadeiro.
O que fazer se cair no engano
Acontece, e pode acontecer a qualquer um, sobretudo num dia de cansaço ou de pressa. O que importa, nesse momento, é agir depressa para limitar os danos, e não perder tempo com a vergonha. Quanto mais cedo reagir, menor é o estrago.
Se introduziu uma palavra-passe num site falso, vá imediatamente ao serviço verdadeiro e troque essa palavra-passe. Se a reutilizou noutros sítios, troque-a também em todos eles, porque o atacante vai com certeza experimentá-la noutro lado. Se a conta afetada permite, ative ali mesmo a autenticação de dois fatores, para que conhecer a palavra-passe deixe de ser suficiente para entrar nela.
Se foram os dados do cartão ou da conta bancária que revelou, contacte o banco sem demora. Os bancos têm canais próprios para estas situações e podem bloquear o cartão, vigiar movimentos e reverter operações fraudulentas se forem avisados a tempo. Vigie de perto os extratos nos dias seguintes e ative alertas de movimentos, se ainda não os tiver. Se abriu um anexo ou instalou algo que não devia, desligue o dispositivo da Internet e passe-o por uma verificação de segurança, e se for um equipamento de trabalho avise quem trata da informática.
Por fim, comunique o sucedido. Avisar a empresa que foi imitada, ou a entidade competente, ajuda a travar a campanha e a proteger outras pessoas. E não leve o caso como um sinal de ingenuidade pessoal: estes esquemas são desenhados por gente que vive disto e melhora com a prática. Cair uma vez não o torna descuidado, e a melhor resposta é transformar o susto num hábito de desconfiança saudável perante a próxima mensagem inesperada.
Perguntas frequentes
Um email com o cadeado e o nome certo do meu banco pode mesmo ser falso?
Pode. O nome que aparece como remetente é fácil de falsificar, e a página para onde a ligação leva pode ter o seu próprio cadeado válido sem deixar de ser fraudulenta. Em caso de dúvida, não use a ligação da mensagem: vá ao site do banco escrevendo o endereço à mão, ou ligue para o número oficial que já conhece.
Como distingo um pedido legítimo de um phishing?
A regra mais útil é esta: serviços sérios nunca lhe pedem a palavra-passe nem códigos de segurança por email, mensagem ou telefone, e raramente exigem que aja em segundos. Sempre que uma mensagem combina pressa, ameaça e um pedido de dados sensíveis, trate-a como fraude até prova em contrário, e confirme pelos canais oficiais.
Já cliquei numa ligação suspeita. Estou perdido?
Não necessariamente, sobretudo se agir depressa. Se não chegou a introduzir dados, o risco principal é ter sido descarregado algo malicioso, por isso passe o dispositivo por uma verificação de segurança. Se introduziu uma palavra-passe, troque-a já no serviço verdadeiro e em qualquer outro onde a reutilize. Se revelou dados bancários, contacte o banco sem demora.
