Desde que o cibercrime começou a ser praticado, o phishing é utilizado. Veja bem: não estamos falando de um software que tem esse nome, mas sim uma técnica, um método para "pescar" usuários e roubar informações sensíveis, como senhas de email, redes sociais, dados residenciais, números telefônicos e até senhas de banco.

Um usuário pode ser "pescado" de várias maneiras: email, SMS, mensagem via WhatsApp ou Facebook etc. Normalmente, um cibercriminoso se utiliza da ingenuidade de um usuário para ter sucesso. Por exemplo, o phishing é realizado com mensagens que prometem desde prêmios em dinheiro ou descontos absurdos para produtos que estão na mídia até mensagens que assustam o usuário, como débitos na Receita.

Essas mensagens, por serem enviadas via aplicativos ou e-mail, possuem links ou arquivos para download. Assim que um usuário desavisado clica no link, normalmente, ele é redirecionado para uma página falsa — e por lá costumam aparecer campos de entrada simulando alguma página oficial para o usuário preencher com dados pessoais. Ainda, quando o usuário realiza o download de um arquivo falso, normalmente, o arquivo possui algum scrip malicioso — ou malware — e pode ser instalado no computador/smartphone para roubar informações.

Os danos podem ser gigantescos. Entre os mais brandos, os dados obtidos via phishing vão para catálogos de endereços e dados. Entre os mais perigosos, cibercriminosos podem instalar malwares que inscrevem o usuário em serviços pagos ou instalar malwares mais poderosos, como o ransomware, que criptografa (tranca) a máquina e exige um pagamento para liberação dos arquivos.

Como exemplo, um caso recente é bem interessante: cibercriminosos conseguiram emplacar um phishing na página de busca da Google — um dos lugares presumidamente mais seguros da internet. O link malicioso foi colocado via Google Ads, anúncio pago, e redirecionava o usuário para uma página falsa do WinRAR. A equipe da Google retirou rapidamente o phishing, então não houve tempo necessário para checar quais danos esse método em específico buscava causar.

Como se proteger?

Para se proteger do phishing, antes de tudo, é necessário cuidado e até certa desconfiança. Exatamente: desconfie de tudo, links ou arquivos, que você recebe em seus aplicativos e email. Depois, desconfie de todas as promoções, prêmios e cobranças que você também recebe em apps e navegador.

Em caso de mensagens de promoção e prêmio que você queira participar, vá até o site oficial (ou página oficial na rede social) e busque informações que comprovem. Sobre cobranças e mensagens de banco, a mesma coisa: vá atrás de canais oficiais (vale até realizar ligações) antes de preencher qualquer dado pessoal ou realizar downloads.

O que fazer se já cai no golpe?

Caso você tenha preenchido páginas falsas com senhas de banco, o primeiro passo é entrar em contato com a instituição que você tem conta para alterar a senha e alertar sobre a possibilidade de movimentação estranha. Por outro lado, caso você tenha colocado números telefônicos e outros dados, vale entrar em contato com a operadora para checar se você não foi inscrito em serviços pagos (principalmente os serviços SMS).

Mais perigoso, se você acabou fazendo o download de algum arquivo malicioso, é necessário deletar o mais rápido possível o arquivo do computador ou smartphone. Se você tiver um antivírus atualizado, o software terá a capacidade de bloquear a ação do arquivo malicioso.

Em último caso, duas recomendações: utilize sempre verificação de dois passos em plataformas (email, redes sociais e internet banking) para manter os seus dados seguros. Mantenha também um backup de suas fotos, vídeos e contatos, caso uma restauração forçada do smartphone ou computador seja necessária — essa é a última tentativa de salvação de seus dados pessoais.

Felipe Payão

Payão atua como repórter do Tecmundo, plataforma da NZN especializada no universo tecnológico.