Phishing: o que é e quais os meios de defesa
Rigor e Profissionalismo, na procura das melhores soluções.
Artigo fevereiro 2023
Privacidade, Proteção de Dados e Cibersegurança
O Phishing, ao invés de outros tipos de ameaças online, não requer conhecimentos técnicos particularmente sofisticados, é uma técnica de crime cibernético que usa fraude, truque ou engano para manipular as pessoas e obter informações confidenciais.
Um ataque de phishing é constituído por três fatores. Será realizado por meio de comunicações eletrónicas; o hacker irá tomar a identidade de um indivíduo ou organização de confiança; e tem como objetivo obter informações pessoais confidenciais ou números de cartão de crédito. As formas mais comuns de phishing são: o Phishing por email; Phishing nos sites; Vishing; Smishing ; e Phishing nas redes sociais. O Phishing por email é, de longe, o método mais comum, utilizando emails que geralmente contêm links que levam a sites maliciosos ou anexos que contêm malware. O Phishing nos sites, ou sites falsificados, são cópias falsas de sites reais conhecidos e confiáveis. Os hackers criam esses sites falsificados para fazer os indivíduos inserir as suas credenciais, que poderão ser usadas para fazer login nas contas reais. O Vishing é uma abreviação de “phishing de voz” consistindo numa versão em áudio do phishing na internet. O hacker tenta convencer as vítimas por telefone a divulgar informações pessoais. O Smishing é phishing via SMS. As vítimas recebem uma mensagem de texto a solicitar que clique num link ou descarregue aplicação, descarregando, consequentemente malware. Phishing nas redes sociais consiste no hackeamento de contas de redes utilizando as contas das vítimas, para enviar links maliciosos para outras pessoas. Os hackers podem realizar vários tipos de ataques: phishing enganoso, spear phishing, whaling, fraude de CEO, pharming, Clone phishing, Manipulação de links ou Scripting entre sites. O termo phishing enganoso refere-se especificamente à situação quando os hackers se disfarçam de empresas ou indivíduos legítimos para ganhar a confiança das vítimas. O spear phishing ocorre quando os phishers personalizam os seus ataques para atingir indivíduos específicos. O Whaling é um ataque de phishing que visa um determinado indivíduo de alto valor. É o mesmo que spear phishing, mas com metas muito mais ambiciosas. O Fraude de CEO ocorre quando os Phishers fingem ser o CEO de uma empresa ou outro executivo de alto escalão para extrair informações privilegiadas dos funcionários. No clone phishing os hackers utilizam um email legítimo e depois fazem clonagem enviando exatamente o mesmo email para todos os destinatários anteriores com uma alteração crucial: os links foram substituídos pelos links maliciosos. No Scripting entre sites os Phishers exploram pontos fracos nos scripts de um site para ganhar acesso ao site para fins próprios. No "Relatório Riscos & Conflitos 2021", do Centro Nacional de Cibersegurança, refere-se que o volume de incidentes de cibersegurança e os indicadores de cibercrime cresceram de forma significativa em 2020, mostrando com frequência uma coincidência temporal entre esse crescimento e os períodos de confinamento social em consequência da pandemia de Covid-19. O teletrabalho e o aumento das comunicações online devido à pandemia em 2020 geraram um aumento de spam e phishing em todo o mundo Segundo dados do Centro Nacional de Cibersegurança, os ciberataques aumentaram 26% em 2021, em relação a 2020. As vítimas dos ciberataques pertencem, principalmente, ao setor do comércio e serviços e a instituições bancárias e financeiras, bem como a administrações públicas. No último ano, registou-se ainda um aumento de ataques a infraestruturas críticas. O aumento confirma uma tendência vivida durante a pandemia da Covid-19, que já se tinha registado no ano passado: em junho de 2020 também já tinham sido recebidas mais denúncias do que em todo o ano de 2019. Além de o fenómeno da criminalidade informática ter registado um crescimento assinalável durante a pandemia (e o subsequente confinamento), o aumento do número de crimes informáticos tem vindo a verificar-se de modo consistente pelo menos desde 2016, de acordo com as autoridades portuguesas. Dentro do universo da criminalidade informática, destaca-se o fenómeno do phishing, que representa 40% dos crimes detetados. Destarte, a questão que se coloca é que técnicas e cuidados se deve adotar para evitar ser vítima de um ataque de phishing. Caso receba uma mensagem e desconfie que pode ser uma tentativa de ataque deve atentar às características da mensagem (visual, erros ortográficos, links suspeitos, argumentos persuasivos, entre outros). Deve ter presente que avisos de dívidas, convocações judiciais, avisos importantes ou outras comunicações não costumam ser feitas por email ou redes sociais, mas por carta registada. Se tiver dúvidas sobre a legitimidade de uma mensagem, deve entrar em contato com a empresa ou instituição mencionada por telefone ou site oficial para pedir esclarecimentos, e se tiver certeza de que uma mensagem é phishing, apague-a imediatamente. Deve ainda manter os softwares atualizados, especialmente navegadores e sistema operacional. Contudo, caso seja, efetivamente, vítima de phishing, apesar de não existir um organismo oficial que trate deste tipo de atividade criminosa em específico, dependendo do ato em questão, há várias instituições a que a vítima pode recorrer. Nomeadamente o Departamento Central de Investigação e Ação Penal (DCIAP) e o Departamento de Investigação e Ação Penal (DIAP). A este propósito, em dezembro de 2011 foi criado o Gabinete do Cibercrime, coordenado por via de um Procurador da República e que tem como objetivo ministrar a atividade da cibercriminalidade. Ainda nesta óptica, a Polícia Judiciária (PJ) também exerce competência sobre as ações de investigação e prevenção dos crimes informáticos tal como definido na Lei de Organização da Investigação Criminal (LOIC), no art. 7º, nº2, alínea l. Dentro da PJ assinala-se a Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica, que surgiu em 2017. Esta Unidade tem como propósito a: prevenção, deteção, investigação criminal e auxílio das autoridades judiciárias relativamente aos crimes informáticos (Lei de Cibercrime). Posto isto, caso seja vítima de phishing, deve contactar com a autoridade policial mais próxima de forma a poderem analisar o caso em concreto e encaminhar para a instituição competente para analisar o tipo de cibercrime em causa e proceder à sua investigação. Alternativamente, poderá efetuar uma denúncia através do seguinte link https://cibercrime.ministeriopublico.pt/pagina/denuncia, de forma a contactar diretamente com o Gabinete de Cibercrime do Ministério Público. As comunicações recebidas por esta via serão remetidas aos competentes serviços do Ministério Público, se descreverem factos de natureza criminal, devendo a denúncia cumprir os requisitos do artigo 246º do Código de Processo Penal. + Artigos
> Para obtenção de Newseltters e Publicações disponíveis, por favor contacte [email protected]. > Para visitar a página Comunicação do NFS Advogados. |
Tel. (+351) 222 440 820
E-mail. [email protected] Membro Associado da
Associação Europeia de Advogados. Áreas de atuação.
Legalização de Estrangeiros Seguros Proteção de Dados e Cibersegurança Imobiliário e Construção Heranças e Partilhas Recuperação de Créditos Insolvências + Áreas Contactos.
Telf.: (+351) 222 440 820 Fax: (+351) 220 161 680 E-mail: [email protected] Porto | Lisboa | São Paulo |