Pense em como amigos e parentes com menor intimidade com a internet estão sujeitos a cair em golpes 171 como phishing. Ajude: mostre a todos eles este texto, que explica direitinho como funciona o esquema.
Texto escrito por Renato Fridschtein.
Parece que toda semana você acompanha pelas manchetes que mais uma gangue de hackers é desbaratada, depois de desviar milhões de contas bancárias. Mas o que é que está acontecendo? Como funciona este golpe, afinal?
Será que as próprias vítimas colaboram com os meliantes? Como se proteger? Estas são algumas das questões respondidas nesta matéria.
Pesca predatória
O golpe - com algumas variações - funciona assim:
A pessoa recebe um e–mail do banco, dizendo que precisa de algumas informações e é solicitada a clicar num link para entrar com estes dados. A pessoa clica, abre a página do banco e se põe a digitar, insuspeita, seus dados pessoas, número da conta, senha, etc. e conclui o processo. Dias depois, ao verificar seu extrato bancário, nota que a conta está vazia…
Este ardil foi batizado de phishing, uma corruptela da palavra inglesa fishing (pescaria). Uma lenda diz que é porque o meliante “pesca” os dados das vitimas, enquanto outra diz que é porque os primeiros golpes eram tão mal feitos, com tantos erros gramaticais, que o nome do engodo acabou contaminado.
Seja como for, é o golpe que mais cresceu este ano de 2005, especialmente no Brasil.
Os bastidores do crime
Pelo que pude apurar, a coisa é assim: o hacker…
Deixe–me abrir um parêntese. Hacker é uma gíria que significa uma pessoa que manja muito de computador. Não precisa ser mal intencionado, apenas ter profundo conhecimento técnico. É aquele cara que chega, olha o computador, clica aqui, clica ali e em dois minutos, resolve o problema que você estava tentando consertar a manhã todinha.
Os hackers do mal são chamados crackers (quebradores) porque eles “quebram” a segurança e invadem sistemas de empresas e entidades governamentais. Nem todo hacker é cracker, mas esta pecha acabou pegando em todos.
De qualquer forma, não é preciso ter grandes conhecimentos técnicos para aplicar este golpe. Nem hacker precisa ser, então vamos chamá–los pelo que são, estelionatários, 171.
Muito bem. O estelionatário cria uma página com a cara da página do banco e prepara tudo para parecer exatamente com o processo real e não revelar suspeitas. Então, munido de um CD com milhões de e–mails - desses que se compra pela internet -, envia as mensagens. Mesmo que uma pequena parcela caia no truque, ainda são milhares de nomes e senhas coletados.
Com estes dados em mãos, o golpista parte para a segunda parte do plano que é o desvio do dinheiro. Munido das senhas, ele pode entrar nas contas e usá–las de duas maneiras:
1) se ela tem dinheiro, o caixa é raspado, e
2) se ela não tem dinheiro, servirá de ponte.
Isto é, o crédito entra e sai da conta para despistar. Deste jeito, o dinheiro dá uma volta pelo sistema bancário, indo terminar nas contas dos laranjas que as emprestam na promessa de ficarem com uma parte do produto do roubo.
Anti–phishing
Phishing é uma modalidade de ataque de engenharia social, difícil de resolver pela automação, mas fácil de resolver pelo bom senso e se você prestar atenção nestas dicas:
- Nenhuma empresa que se preze vai pedir pra você digitar dados confidenciais em um e–mail. Isso nunca vai acontecer. Se você receber uma mensagem pedindo pra entrar com qualquer tipo de identificação como senha, não entre nessa.
- Tome cuidado com os arquivos anexos. Tanto os que você envia como os que você recebe (principalmente). Nunca abra nada se tiver a mínima suspeita. Especialmente, se você não esperava receber nenhum anexo.
- Cuidado com os programas e arquivos que você baixa da internet. Especialmente os gratuitos. Uma das variações do golpe é através da instalação de trojan horses (cavalos de tróia): softwares que registram tudo o que você digita e enviam esta informação para o falsário.
- Mantenha seus antivírus, antispyware e antispam atualizados. Existem agora também alguns programas antiphishing, mas não pudemos analisar nenhuma opção satisfatória antes da publicação deste artigo.
- Nunca digite informações confidenciais em uma janela aberta por um click em um e–mail. Sempre abra uma janela do navegador e digite o endereço do banco manualmente.
- Fique atento para erros gramaticais, de concordância e de escrita. Estes são forte indicativos da fraude.
- Aprenda a identificar o esquema seguindo as instruções da próxima seção.
Identificar esquemas fraudulentos
Veja esta captura de tela (o link abre em janela nova no seu browser). Trata–se de um e–mail que aparenta ter sido enviado pela Symantec. Note como o visual parece do site verdadeiro, ou pelo menos bastante profissional.
Este é apenas um exemplo, mas se você colocar o mouse sobre o link (sem clicar), verá na linha de status o endereço de destino. Note que o endereço tem a palavra Symantec (que ele tenta emular), mas não é o endereço do site, como em www.symantec.com
Ou seja, o endereço é uma importante dica para descobrir um esquema de phishing.
Tem outra coisa ainda mais óbvia. Eu não tenho nenhum programa desta software house instalado no meu sistema. Então como poderia estar recebendo informações deles? Da mesma forma, já recebi e–mails de bancos nos quais não tenho conta. Operadoras de telefonia que não uso e por aí, vai.
Mais um exemplo de phishing. Nesta captura de tela (vai abrir em outra janela do seu browser), repare que, ao passar o mouse sobre o link, vemos um endereço que não tem relação com a empresa mencionada na mensagem.
As empresas imitadas são tão vítimas quanto as pessoas que são enganadas por este golpe. Mas nenhuma empresa que se preza vai pedir pra você enviar sua senha num e-mail.
Para não se tornar vítima deste esquema é muito simples. Basta ficar atento e não colaborar com os meliantes.
