O que é um esquema de phishing? É um tipo de ataque cibernético em que o invasor envia um e-mail alegando ser de um provedor financeiro ou de e-commerce válido. O e-mail geralmente usa táticas de medo em um esforço para induzir a vítima a visitar um site fraudulento.
Uma vez no site, que geralmente parece e se parece muito com o site eCommerce / bancário válido, a vítima é instruída a acessar sua conta e inserir informações financeiras confidenciais, como o PIN do banco, o CPF, o nome de solteira da mãe, etc. Esta informação é capturada e enviada ao atacante que a utiliza para se envolver em fraude de cartão de crédito e banco - ou roubo de identidade.
Muitos desses e-mails de phishing parecem ser bastante legítimos. Não seja uma vítima. Examine os seguintes exemplos de tentativas de phishing para se familiarizar com as técnicas inteligentes usadas.
E-mail de phishing do Washington Mutual Bank
Abaixo está um exemplo de uma tentativa de phishing que visa clientes do Washington Mutual Bank. Este phish afirma que o Washington Mutual Bank está adotando novas medidas de segurança que exigem a confirmação dos detalhes do cartão. Tal como acontece com outros golpes de phishing, a vítima é direcionada para visitar um site fraudulento e qualquer informação inserida nesse site é enviada ao atacante.
O e-mail de phishing do SunTrust
O exemplo a seguir é de um esquema de phishing destinado a clientes do banco SunTrust. O email avisa que o não cumprimento das instruções pode resultar na suspensão da conta. Observe o uso do logotipo da SunTrust. Essa é uma tática comum entre os "phishers" que costumam usar logotipos válidos que eles simplesmente copiaram do site real do banco na tentativa de levar credibilidade ao e-mail de phishing.
O esquema de phishing do eBay
Assim como no exemplo da SunTrust, este e-mail de phishing do eBay inclui o logotipo do eBay na tentativa de ganhar credibilidade. O e-mail avisa que um erro de faturamento pode ter sido feito na conta e solicita que o membro do eBay faça o login e verifique as cobranças.
O esquema de phishing do Citibank
Não há escassez de ironia no exemplo de phishing do Citibank abaixo. O atacante alega estar agindo no interesse da segurança e integridade da comunidade bancária online. É claro que, para fazer isso, você é instruído a visitar um site falso e inserir detalhes financeiros críticos que o invasor usará para interromper a própria segurança e integridade que eles afirmam estar protegendo.
O email de phishing da Charter One
Como visto no esquema anterior de phishing do Citibank, o e-mail de phishing da Charter One também finge estar trabalhando para preservar a segurança e a integridade do banco on-line. O e-mail também inclui o logotipo da Charter One, em uma tentativa de ganhar credibilidade.
Um email de phishing do PayPal
O PayPal e o eBay foram dois dos primeiros alvos de golpes de phishing. No exemplo abaixo, esse golpe de phishing do PayPal tenta enganar os destinatários fingindo ser algum tipo de alerta de segurança. Ao alegar que alguém "de um endereço IP estrangeiro" tentou fazer login em sua conta do PayPal, o e-mail solicita que os destinatários confirmem os detalhes da conta por meio do link fornecido. Tal como acontece com outros golpes de phishing, o link exibido é falso - clicar no link realmente leva o destinatário ao site do invasor.
O esquema de phishing de restituição de imposto do IRS
Uma falha de segurança em um site do governo dos EUA foi explorada por um esquema de phishing que alegava ser uma notificação de reembolso do IRS. O e-mail de phishing afirma que o destinatário está qualificado para um reembolso de impostos de US $ 571,94. O email tenta ganhar credibilidade instruindo os destinatários a copiar / colar o URL em vez de clicar nele. Isso porque o link realmente aponta para uma página em um site legítimo do governo, http://www.govbenefits.gov. O problema é que a página que está sendo segmentada naquele site permite que os phishers "devolvam" o usuário para outro site.
O e-mail usado no esquema original de phishing de reembolso de imposto do IRS tem as seguintes características:
Como denunciar golpes de phishing
Se você acredita ter sido vítima de fraude, entre em contato com sua instituição financeira imediatamente por telefone ou pessoalmente. Se você recebeu um e-mail de phishing, geralmente pode enviar uma cópia para abuse@DOMAIN.com, onde DOMAIN.com significa a empresa para a qual você está direcionando o e-mail. Por exemplo, abuse@suntrust.com é o endereço de e-mail para enviar e-mails de phishing que supostamente são do SunTrust Bank.
Se nos Estados Unidos, você também pode encaminhar uma cópia para a Federal Trade Commission (FTC) usando o endereço spam@uce.gov. Certifique-se de encaminhar o email como um anexo para que todas as informações importantes sobre formatação e cabeçalho sejam preservadas; caso contrário, o email será de pouca utilidade para fins de investigação.
