Ataques de phishing, no qual usuários desatentos clicam em links maliciosos ou entregam suas informações de login, estão crescendo bastante. De acordo com dados do consórcio Anti-Phishing Working Group (APWG), o primeiro trimestre de 2018 registrou 46% mais golpes desse gênero em relação ao mesmo período do ano anterior. Esses ataques são tão populares no Brasil que o relatório do consórcio costuma reservar uma seção para destacar as tendências do País – somos os campeões do mundo quando se trata de phishing.

Apesar de ataques de phishing parecerem manjados e fáceis de detectar para uma parcela dos usuários, os cibercriminosos vêm sofisticando suas técnicas para enganar as pessoas. Eles têm utilizado HTTPS para fazer com que as pessoas acreditem que as páginas são legítimas, por exemplo – 35% de todos os casos de phishings usaram domínios com HTTPS segundo a APWG.

O phishing pode ser uma porta de entrada para outros tipos de ataques – e justamente por isso é interessante para cibercriminosos. A partir de um ataque do gênero, o usuário pode ser enganado e fornecer informações de login, dados de cartões de crédito, ativar notificações e passar a receber novos golpes ou até mesmo baixar um arquivo malicioso em seu celular ou computador.

Os principais vetores de ataque de phishing são os e-mails, mas mensagens por WhatsApp têm sido mais frequentes para dar golpes. Aplicativos de mensagem permitem enviar um link camuflado, seja por meio de uma URL encurtada ou até mesmo via ataque homográfico – em que utiliza-se caracteres de outro alfabeto. Em um exemplo demonstrado no 5º Foro ESET de Seguridad Informática, realizado nesta semana, em São Paulo, golpistas enviaram um link para uma promoção da rede de cafeterias Starbucks em que a letra “b” estava modificada.

Já mostramos por aqui golpes em que eram ofertadas vagas de emprego ou isenção de IPVA. Em algumas das campanhas é exigido que o usuário encaminhe a mensagem para outros contatos para que consiga obter a oferta – o que aparentemente não faz sentido, já que nenhuma empresa ou organização teria como monitorar para quantas pessoas você indicou um link via WhatsApp; as mensagens são criptografadas de ponta-a-ponta, ou seja, só você e o destinatário podem ler o conteúdo. Mas a questão aqui é: quantas pessoas sabem que o WhatsApp funciona assim?

Em tempos de fake news se espalhando em aplicativos de mensagens é muito provável que ataques de phishing via WhatsApp consigam algum sucesso. Um link compartilhado em um grupo pode atingir até 256 pessoas de uma vez só – com a mensagem sendo encaminhada, o alcance é exponencial. O próprio app chegou a fazer um infográfico sobre golpes na plataforma.

Conversamos com Camilo Gutiérrez, pesquisador de segurança da ESET, sobre os ataques de phishing e, segundo ele, a taxa de conversão do golpe pode não parecer grande, mas é o suficiente para render frutos aos cibercriminosos. “Há algum tempo, monitoramos uma campanha de phishing e descobrimos que cerca de 50% das pessoas acessam o conteúdo, por curiosidade. Do total, aproximadamente 10% das pessoas realmente enviam informações pessoais a partir do ataque de phishing,” conta. “Mas esse é um bom número, principalmente porque os sites que hospedam a campanha ficam online por pouco tempo”.

No final das contas, o golpe de phishing costuma ser bem sucedido por causa do comportamento das pessoas – estamos em uma época em que muitos não checam informações e não vão atrás de uma fonte confiável de informação e, às vezes, encaminham mensagens sem se dar muita conta do possível impacto. Principalmente porque confiamos em nossos amigos e família.

Aquele primo provavelmente tinha boas intenções quando encaminhou uma mensagem para a vovó sobre a última oferta da Starbucks, mas vale lembrar daquele velho ditado: “quando a esmola é demais, o santo desconfia”.

Por isso, lembre de quando seus pais que te diziam para não acreditar em estranhos. Mas vá além: diga para as pessoas tomarem cuidado com mensagens e correntes no WhatsApp.