PARA QUEM NÃO SABE AONDE VAI, QUALQUER CAMINHO SERVE.
Cibervigaristas recorrem à engenharia social para engabelar suas vítimas, e algumas mensagens de phishing scam são tão convincentes — ou tão detalhistas na reprodução das web pages legítimas — que é quase impossível identificar a maracutaia.
É
o caso, por exemplo, de emails que se fazem passar por comunicados de Bancos quando reproduzem fielmente a
logomarca e boa parte dos elementos presentes nas páginas verdadeiras.
Claro que se você não for correntista daquele banco em particular não terá por que
informar sua senha, atualizar seus dados ou fazer seja lá o que for. Mas o cibercriminoso
não tem como saber disso; ele apenas joga o anzol — apostando nos bancos mais
populares, como Bradesco, Santander, Banco do Brasil, Itaú e Caixa Econômica — e torce para acertar no
alvo, ou seja, para que as vítimas mordam a isca.
Não é difícil (para quem sabe) mascarar um email de maneira que o remetente pareça ser uma empresa / órgão público /
pessoa aparentemente confiável. Portanto, jamais clique em links recebidos
por email, a não
ser, naturalmente, que você
os tenha solicitado. Isso se aplica também a mensagens supostamente provenientes do seu Banco, de um colega de trabalho, do seu melhor amigo ou mesmo da senhora sua
mãe (uma quantidade absurda de PCs está infectada por programinhas que enviam
mensagens maliciosas sem que os usuários se deem conta).
Bancos e órgãos públicos não solicitam dados
pessoais/confidenciais por email. Se ainda assim você ficar em dúvida acerca da
veracidade de um comunicado, telefone para o seu gerente ou para o órgão
que supostamente enviou a mensagem, ligue para o número que você tem em sua
agenda ou que conste do respectivo website — ou por outra, jamais ligue para o número
fornecido na mensagem, caso haja um.
O phishing é
extremamente lucrativo, e as ferramentas usadas pelos fraudadores são
sofisticadas a ponto de executarem a maioria das ações de forma automática.
Cabe ao cibervigarista somente criar uma narrativa ou estratégia eficaz para
induzir a vítima a abrir o arquivo
anexo, clicar no link adicionado ao corpo de texto do email ou seguir sejam lá
quais forem as instruções.
Em tese, basta um pouco de bom senso para reduzir em
90% os riscos de cair nesses golpes — afinal, você dificilmente será premiado em
um concurso para o qual não se inscreveu, nem tampouco receberá de um completo
desconhecido “fotos supostamente comprometedoras” de seu parceiro ou parceira. Na
prática, porém, a teoria costuma ser outra. E se o amigo leitor (ou a amiga
leitora) está se perguntando como seu email pode ir parar nas mãos da
bandidagem, saiba que muita gente ganha dinheiro comercializando endereços
eletrônicos (além de números de
RG e CPF e dados pessoais, como data de nascimento, endereço, telefone,
etc.) garimpados em páginas da Web, fóruns, blogs, listas
de grupos de discussão, e por aí afora.
Por essas e outras, mantenha pelo menos duas
contas de email ativas, e reserve uma delas para assuntos importantes e a outra
— preferencialmente baseada num serviço de webmail gratuito e cujo endereço
eletrônico não dê qualquer pista do seu nome — para cadastros em sites de
relacionamento, lojas virtuais, fóruns de ajuda etc.
Evite acessar sites de Bancos, lojas virtuais, administradoras
de cartões de crédito e órgãos como Receita Federal, Justiça Eleitoral clicando
em links recebidos por email, redes sociais, programas mensageiros etc. Digitar
a URL dos sites na barra de
endereços do navegador pode não garantir 100% de segurança, mas reduz
significativamente os riscos.
Ao preencher formulários
e assemelhados, verifique se o site criptografa os dados (o que é indicado pelo
cadeado e pelo "S" depois
do http) e observe o nível
das informações solicitadas — se você não está fazendo uma compra online, apenas
se cadastrando para receber uma promoção qualquer, não há razão para informar seu
CPF nem muito menos o número de seu cartão de crédito.
Caso receba uma mensagem suspeita de amigos ou
conhecidos, não a responda diretamente. Crie uma nova mensagem de email, insira
o endereço da pessoa no campo "destinatário" e
faça um breve relato do ocorrido (vale também fazê-lo por telefone ou WhatsApp). Resista à curiosidade de acessar cartões virtuais, arquivos
anexados e, principalmente, as indefectíveis "fotos que a gente tirou".
Se você realmente tirou fotos com o suposto remetente da mensagem, contate por
telefone para confirmar se foi mesmo ele quem lhe enviou as tais fotos.
Observação: Essas
dicas se aplicam igualmente a redes sociais, mensageiros instantâneos e
qualquer outro meio de comunicação digital.
Se você não pediu pizza, não há razão para o entregador
bater à sua porta. E o mesmo raciocínio vale para o universo virtual, ou seja,
não “abrir as portas do computador” para mensagens não solicitadas.
Em suma, o phishing nada mais é do que o velho conto do vigário em versão digital, e suas chances de êxito dependem da habilidade do vigarista em ludibriar suas vítimas. Ainda que a maioria das mensagens seja mal escrita e visivelmente falsa, alguns fraudadores são caprichosos a ponto de reproduzir fielmente a aparência de comunicados e web pages de empresas, instituições financeiras e órgãos governamentais, além de mascararem links para dar a impressão de que eles apontam para sites acima de qualquer suspeita. Alguns usam técnicas de marketing profissional sofisticadíssimas, e todos se valem do apelo de grandes eventos, datas comemorativas e notícias em destaque nos meios de comunicação.
Continua...