Phishing: O que é, como ocorre e o que fazer para não ser vítima dessa estratégia maliciosa?

A palavra phishing é um neologismo homofóno da palavra inglesa fishing, que significa pesca, referindo-se ao ato de lançar uma vara de pescar em um rio e esperar que o peixe morda a isca, a substituição da letra f pelo dígrafo ph se deu por conta da junção das palavras phony, que significa falso e fishing, nesse sentido, o termo phishing significa pesca falsa, fazendo alusão a um cibercrime no qual o praticante engana suas vítimas para que elas compartilhem informações confidenciais, como senhas e números de cartão de crédito e ele as utilize para fins maliciosos, como a venda das mesmas no mercado negro.

Como essa tática ocorre?

As vítimas recebem um e-mail, SMS ou mensagem em um aplicativo de mensagem instantânea, como o Whatsapp, que imita uma pessoa ou organização confiáveis, como um colega de trabalho, familiar, banco ou órgão governamental. Quando o usuário abre o e-mail ou o texto, ele encontra uma mensagem assustadora que o induz a deixar o bom senso e deixá-lo com medo, exigindo que ele acesse um site e execute uma ação imediata ou assuma um risco por algum tipo de consequência, se ele morder a isca e clicar no link, ele será redirecionado à imitação de um website legítimo e será solicitado o login com o nome de usuário e a senha, se a vítima for ingênua o bastante para fazer isso, ela fará o login e o cibercriminoso gravará as informações para utilizá-las para objetivos maliciosos. O phishing é uma das estratégias maliciosas mais simples e perigosas que existem, pois utiliza engenharia social para intimidar potenciais vítimas e induzí-las a inserir informações pessoais e/ou bancárias, é o mesmo que um assaltante render sua vítima e forçá-la a entregar o dinheiro ou o celular a intimidando com uma arma de fogo, seja de brinquedo ou não ou branca.

O que fazer para não ter as informações pessoais e/ou bancárias roubadas através dessa tática?

- Não abrir e-mails, SMS ou conversas em apps de mensagem instantânea de pessoas nas quais não se conhece, se o texto conter uma mensagem atraente demais ou assustadora, não se deixar levar por ela;

- Nunca clicar em um link contido em um texto, a menos que a origem dele seja bem conhecida, caso não seja, não clicar porque pode conter um malware, se o e-mail falso vier supostamente de uma empresa legítima, não abrir o mesmo e entrar em contato com ela, pois nenhuma empresa ou organização legítima envia uma mensagem assustadora para seus clientes para convencê-los ou induzí-los a fazer algo com urgência;

- Para melhorar a proteção, caso receba um e-mail, mas não tem certeza se é confiável ou não, acessar o link inserindo manualmente o endereço do website na barra de pesquisa do navegador;

- Manter o navegador, o sistema operacional do dispositivo e o antivírus atualizados;

- Caso a mensagem solicite a inserção de um dado confidencial, verificar se a URL da página inicia com https em vez de somente com http, o s significa seguro, não sendo garantia de que a página é segura, mas as originais usam o https porque é mais seguro do que o http, que no caso, ainda que o site possua o último, está mais vulnerável aos ataques dos hackers;

- Se houver a suspeita de que um e-mail é falso, anotar o nome ou algum texto da mensagem e inserir em um mecanismo de busca para verificar se há algum ataque de phishing conhecido que utilize a mesma estratégia;

- Passar o mouse sobre o link para ver se o mesmo é legítimo.