Fui uma vítima de phishing! O que eu faço agora?

Avanços tecnológicos e o grande uso da Intenet criaram muitos efeitos positivos, incluindo o maior acesso à informação e maior interconectividade.

No entanto, eles também expõem usuários a diversos riscos de segurança cibernética.

Um desses são os ciberataques, que têm por objetivo roubar dados, dinheiro ou tomar controle ilegal das contas e perfis das pessoas.

O Panorama de Ameaças da Kaspersky estudou o volume de ataques realizados entre 2021 e 2023, e obteve informações preocupantes. Houve um aumento de 617% em 2023, comparando com os 12 meses anteriores e uma média de 544 ataques por minuto. No Brasil, o aumento foi de mais de cinco vezes.

Por causa da frequência e danos crescentes desses ataques a pessoas físicas e jurídicas, é crucial que todos tomem ciência do que eles são, como funcionam, o que fazer após um golpe e, é claro, como evitá-lo.

O que é phishing?

Simplificando, o phishing é um tipo de fraude, geralmente executada por e-mail, mensagens de texto ou chamadas telefônicas, em que um agente mal-intencionado manipula uma pessoa para obter suas informações de login, credenciais ou dados pessoais.

Após entregar suas informações no golpe, o criminoso cibernético geralmente usará os dados da vítima para obter ganho financeiro ou perpetuar outros crimes.

Isso geralmente é feito usando as credenciais de acesso roubadas para acessar contas bancárias ou cartões de crédito, ou caixas de entrada de e-mail, perfis de redes sociais e até dados do Imposto de Renda.

Se as credenciais roubadas incluírem senhas que são usadas em múltiplas contas, o phisher pode ser capaz de acessar mais informações ainda da vítima e causar mais danos.

Geralmente, phishers tentam criar um senso de legitimidade para seus golpes passando-se por empresas e pessoas de boa reputação.

Por exemplo: podem enviar um e-mail como se fossem uma grande empresa na qual a vítima pode ter conta. Yahoo, DHL, Microsoft, Google, Facebook, Adobe e Netflix estão entre as marcas mais personificadas.

O golpista ainda pode tentar se passar por um amigo ou conhecido na mensagem de phishing. 

A mensagem geralmente incluirá um link direcionando o usuário a um site falso que pede à vítima que forneça informações privilegiadas, como dados de login, dados do cartão de crédito ou até dados pessoais, como aniversário e número de identidade.

Tipos de ataques de phishing

Há muitas maneiras pelas quais criminosos cibernéticos podem roubar seus dados pessoais, acessar suas finanças ou assumir sua identidade.

A maioria envolve invasores se passando por representantes oficiais ou empresas legítimas para e enganar a vítima de phishing, fazendo com que ela forneça dados pessoais que podem ser usados para ganho financeiro ou fraude de identidade.

Entender a estrutura desses ciberataques podem ajudar a evitar ataques. Aqui estão algumas maneiras comuns por onde o phishing acontece: 

E-mail

Muitas pessoas se tornam vítimas de phishing por meio de e-mails mal-intencionados.

Esses geralmente parecem legítimos, fingindo ter origem em sites nos quais o usuário tem conta, mas são na verdade enviados pelo invasor para captar dados pessoais.

Geralmente, os e-mails terão links e pedirão que o usuário insira suas credenciais de login ou outros dados confidenciais.

O invasor então pode roubar essas informações — como senha ou números do cartão de crédito — e usá-las para seus próprios fins.

Texto ou SMS

Assim como no caso acima, o phishing de texto, ou smishing envolve links que parecem ser de fontes legítimas e pedem que os usuários acessem uma conta ou insiram seus dados pessoais.

No entanto, aqui o link é enviado por SMS ou outras mensagens de texto que não e-mail.

Celular

Nesse cenário, o golpista ligará para a vítima dizendo que é representante de uma empresa legítima na qual ela pode ter uma conta.

Geralmente chamado de vishing, nesse golpe o invasor pedirá informações pessoais para confirmar dados da conta e resolver um suposto problema.

Caso a vítima forneça tais dados, o golpista pode usar isso para roubar o dinheiro da conta corrente, por exemplo.

Redes sociais

Alguns invasores criam perfis falsos em redes sociais e fazem golpes para tentar coletar dados pessoais dos usuários.

Por exemplo: eles podem dizer à vítima que ela ganhou um prêmio e que precisam do número de telefone, endereço de e-mail e número de identidade.

Podem dizer ainda que tiveram um problema de segurança com a conta e, caso o usuário não confirme suas informações de login, a conta será bloqueada.

É essencial que as pessoas se lembrem que empresas legítimas, como bancos, sites de e-commerce e plataformas de redes sociais nunca pedirão aos donos das contas que forneçam informações confidenciais por qualquer um dos métodos aqui descritos.

Se estiver na dúvida, é melhor sempre ignorar uma potencial fraude e falar com a empresa por meio de canais oficiais.

Como reconhecer um ataque de phishing

Como você viu até aqui, há muitas formas diferentes utilizadas pelos fraudadores para roubar os dados pessoais de suas vítimas.

Por isso, o primeiro passo para evitar um ataque de phishing é estar ciente das táticas mais comuns dos phishers. Por exemplo, um e-mail, texto ou ligação de golpe pode alegar que:

• Houve tentativas de login suspeitas em sua conta;
• Há um problema com as informações de pagamento ou de cobrança da conta;
• A conta precisa ter confirmação de dados pessoais ou financeiros;
• Um pagamento deve ser realizado por meio de um link;
• O dono da conta é elegível a um reembolso ou pagamento se inserir suas informações por meio de um link.

Além disso, a mensagem ou chamada de telefone mostra outros sinais de phishing, como:

• Alegar ser de uma empresa legítima que na qual a possível vítima tem uma conta, como Amazon ou Apple;
• Usar o logotipo da empresa no e-mail;
• Ter o nome da empresa no endereço de e-mail, mas em um formato não oficial;
• Ser incapaz ou estar indisposto a fornecer confirmações de sua legitimidade.

O que fazer depois de um ataque de phishing

As vítimas de phishing podem se perguntar o que fazer depois que seus dados forem comprometidos.

Há várias medidas que podem ser tomadas para mitigar o dano do ataque, evitar que aconteça novamente e ainda impedir outras pessoas de se tornarem vítimas do mesmo golpe. Aqui estão algumas coisas a se considerar.

Entenda o que aconteceu

Depois de um ataque de phishing, as vítimas precisam entender como tudo aconteceu.

Isso pode envolver um pouco de investigação, como examinar minuciosamente o e-mail ou texto do phishing e entender o propósito do ataque, conferindo registros do firewall em busca de URLs ou endereços IP suspeitos e entendendo que tipo de informações e dados podem ter sido comprometidos.

Também é uma boa ideia verificar quaisquer contas que possam estar associadas às informações roubadas para ver se há atividade suspeita.

Denuncie o ataque

Para vítimas de phishing se perguntando o que fazer depois de um ataque, uma possibilidade é denunciá-lo às autoridades.

Embora nem sempre seja simples ou direto, fazer uma denúncia é importante por vários motivos.

Por exemplo, caso uma organização legítima tenha sido envolvida no ataque, isso garantiria que ela está ciente de que um golpista está se fazendo passar por um representante oficial.

Talvez até mais importante, pode ajudar a vítima a recuperar o controle de quaisquer contas comprometidas, protegendo-as caso o fraudador tente roubar identidades, e bloquear quaisquer transações financeiras suspeitas.

No Brasil é possível denunciar um caso de ataque no site Safernet, no qual você encontra a delegacia de crimes virtuais mais próxima da sua residência. Em Portugal, o site Cibercrime possui um canal com o Ministério Público que poderá lhe ajudar.

Entre em contato com a empresa envolvida

Empresas legítimas geralmente se envolvem contra sua vontade em ataques de phishing, pois o phisher finge ser um representante ou envia uma mensagem fingindo ser da empresa.

Se este for o caso, a ação a ser tomada depois do ataque envolverá contatar a empresa em questão para avisar do incidente.

Dessa maneira, ela pode tomar medidas para evitar futuros golpes e avisará outros clientes para ficarem atentos.

Desconecte o dispositivo

Em alguns casos, ataques de phishing podem ser executados com a ajuda de malware.

Por esse motivo, é essencial que as vítimas desconectem seu dispositivo comprometido da Internet.

Isso envolverá desabilitar a conexão Wi-Fi do dispositivo, e é importante porque garante que o malware deixará de ser transmitido pela rede.

Atualize quaisquer senhas potencialmente comprometidas

Depois de clicar em um link de phishing, o ideal é mudar quaisquer senhas que possam ter sido comprometidas no ataque.

Certifique-se de que isso é feito por meio do site real e não por um link falso. Se a senha foi reutilizada em outras contas, mude-as também. 

Faça uma varredura de malware

Um software antivírus como o Kaspersky Premium é crucial para garantir a segurança e privacidade de qualquer dispositivo, mas também é importante para evitar ataques como esse.

Uma vez que o software foi instalado, ele deve fazer uma varredura automática no dispositivo para detectar qualquer possível problema.

No entanto, é de responsabilidade do usuário garantir que o software esteja sempre atualizado — basta definir atualizações automáticas — e realizar verificações manuais periódicas para verificar todos os dispositivos, arquivos, aplicativos e servidores na rede em busca de malware.

Atente-se ao roubo de identidade

Ao roubar o número de um documento de identidade, número de telefone e data de nascimento, o fraudador pode instigar um ataque de troca de conta, fazer novos cartões de crédito ou perpetuar outros tipos de golpe.

Portanto, as vítimas devem ficar atentas a quaisquer sinais de roubo de identidade, como transações financeiras inesperadas, novos cartões de crédito não assinados e tentativas de login suspeitas em contas virtuais.

Caso haja impacto financeiro, o ataque deve ser denunciado às principais agências de crédito, como o Serasa, para garantir que a pontuação de crédito da vítima não seja impactada por conta de uma fraude de identidade.

8 dicas para evitar ataques de phishing

Apesar da grande presença de tais ataques, há muitas medidas que podem ser tomadas para evitá-los.

Incorporar essas oito dicas nas medidas de segurança de um dispositivo eletrônico pode ajudar a afastar phishers:

Aprenda quais são os sinais dos ataques de phishing

Ter familiaridade com o funcionamento de golpes de phishing permite que os usuários fiquem atentos e não se tornem vítimas.

Exclua ou ignore e-mails e textos suspeitos

Quem conhece os sinais de phishing consegue identificar mensagens potencialmente maliciosas e removê-las ativamente, evitando um golpe.

Verifique o remetente

Tome as medidas necessárias para tentar verificar o remetente de uma mensagem suspeita.

Um exemplo disso é ver se o domínio do e-mail de origem está de acordo com o que a empresa deve ter ou verificar se o número de telefone enviando a mensagem é oficial de uma empresa.

Não clique em links ou arquivos baixados de e-mails suspeitos

Essa é uma medida importante para evitar ataques de phishing, pois garante que o destinatário não forneça dados confidenciais a um site falso ou instale malware sem querer.

Denuncie ataques de phishing

Isso pode proteger outras pessoas e impedir que se tornem vítimas de phishing, e também permite que quaisquer empresas envolvidas no golpe aprimorem suas medidas de segurança e alertem seus clientes.

Instale e utilize software antivírus e antiphishing

Esses programas podem ajudar a garantir a segurança e privacidade do usuário filtrando mensagens suspeitas, removendo e alertando usuário sobre softwares potencialmente maliciosos.

Certifique-se de que esses programas sejam atualizados regularmente e que sejam realizadas verificações manuais.

Use autenticação multifator

Certifique-se de que há uma camada adicional de segurança para contas.

Assim, mesmo que um ataque de phishing seja bem-sucedido, o phisher assim terá menos oportunidades de comprometer contas bancárias, perfis de redes sociais ou contas de e-mail.

Faça backup dos dados regularmente

Seja usando smartphone ou notebook, faça backup regular de seus dados — como a um disco rígido externo ou nuvem — para que estejam sempre protegidos e disponíveis.

Conclusão

Dado o aumento da sofisticação dos criminosos cibernéticos, infelizmente é comum que as pessoas se tornem vítimas de phishing.

É importante entender o que esses crimes cibernéticos são e quais medidas tomar para evitá-los.

No entanto, também é importante que as pessoas saibam o que fazer após ataques de phishing.

De proteger dispositivos e contas a denunciar um ataque de phishing e entender como ele aconteceu, essas são medidas essenciais que podem ajudar a mitigar qualquer dano resultante.

Artigos relacionados:

• Como impedir corretoras de dados de vender seus dados pessoais
• O que é hacking e como se prevenir

Produtos relacionados:

• Kaspersky Small Office Security
• Kaspersky Endpoint Security Cloud
• Kaspersky Premium