Vishing, smishing, phishing: quais são as principais fraudes on-line e como as detectar
Entre as fraudes mais frequentes figura a suplantación de identidade a bancos ou a empresas elétricas para obter informação pessoal
Nos últimos anos, as fraudes on-line dispararam-se e sofisticado, e tanto empresas como instituições dedicam a cada vez mais recursos a se proteger. Para combater eficazmente o problema, é necessário aumentar a consciência da cidadania sobre os riscos em linha, bem como melhorar a segurança cibernética para enfrentar ameaças como o vishing, o smishing ou o phishing.
Este tipo de fraudes resultam muito baratas de executar e, por desgraça, há muitos utentes susceptíveis de converter-se em vítimas. Dentre todas as que se realizam através de internet, a tríade composta por vishing, smishing e phishing é a mais sobresaliente.
Estas são as fraudes ao alça em Espanha
Segundo o portal especializado Selo Legal, até um 90% das empresas encontra-se em perigo de sofrer um ataque de phishing. As cifras não fazem mais que subir, num contexto no que os consumidores utilizam a cada vez mais seus dispositivos eletrónicos para realizar gestões e trâmites nos que os dados pessoais são protagonistas.
Por se fosse pouco, com a inteligência artificial, os atacantes podem automatizar a criação e o envio de milhares de correios ou mensagens de phishing de forma rápida e eficiente. Isto significa que agora podem lançar campanhas bem mais amplas e chegar a um maior número de vítimas com menos esforço. Nesta linha, a clonagem de voz através de deepfakes aumentará a credibilidade dos ataques e as possibilidades de que resultem exitosos.
1. Vishing, a fraude por telefone: que é e como funciona
Em primeiro lugar, o vishing é um tipo de fraude de engenharia social por telefone na que, através de um telefonema, se suplanta a identidade de uma empresa, organização ou pessoa de confiança, com o fim de obter informação pessoal e sensível da vítima (por exemplo, suas senhas). O objectivo final é sustraer dinheiro, mas também resulta muito valioso sonsacar o RG ou a direcção. Às vezes, o vishing combina-se com outras modalidades de fraude.
Tipos de vishing
O mais comum é que os delinquentes que realizam vishing se façam passar por representantes do banco da vítima. Por exemplo, uma pessoa chama a um consumidor assegurando-lhe ser um empregado de BBVA, Santander ou qualquer outra entidade que tem detectado que há um problema de segurança. Assim, consegue que a vítima tema por seu dinheiro.
O estafador informa-lhe de que requer sua informação pessoal para resolver o incidente, que em realidade não existe. À medida que a conversa avança, o estafador consegue convencer à vítima para que lhe proporcione seu nome completo, número de cartão de crédito, data de vencimento e código CVV. Com esta informação, o estafador já pode roubar seu dinheiro à vítima. Em outras ocasiões, os delinquentes fazem referências a investimentos com as que se pode ganhar muito dinheiro, a um problema com a Agência Tributária ou a um empréstimo não solicitado.
Como o detectar
Nos casos mais extremos, os estafadores recreiam todos os detalhes para dar maior sensação de veracidad. Como em outros tipos de fraude, sua prioridade é causar na vítima uma sensação de urgência, para que actue rápido e não tenha nem um par de minutos para calibrar que está a fazer realmente. Para não cair nesta fraude, o mais recomendável é utilizar um aplicativo de identificação de telefonema, já que, hoje em dia, é relativamente singelo criar um número falso e que simule ser o de um banco. Para isso, só há que se descarregar um aplicativo como Truecall.
Na mesma linha, o sistema antivírus e as ferramentas antispyware actuam como grandes escudos, de modo que é importante os manter actualizados. Existem tanto para móvel como pára PC, e algumas são gratuitas. Assim mesmo, convém não responder às indicações estranhas das pessoas que chamam e tentar verificar sua identidade. Em qualquer caso, nunca se deve facilitar informação pessoal ou confidencial por telefone, e, se há suspeitas, o melhor é pendurar o bloquear o número.
2. Phishing: a chave é o correio eletrónico
Por sua vez, tal e como recorda o Instituto Nacional de Ciberseguridad (INCIBE), o phishing é uma técnica que consiste no envio de um correio eletrónico por parte de um ciberdelincuente a um utente simulando ser uma entidade legítima (rede social, banco, instituição pública, etc.) com o objectivo de roubar-lhe informação privada, realizar-lhe um cargo económico ou infectar o dispositivo.
Isto é, que, no caso do phishing, a chave é o correio eletrónico. Para conseguir seus objectivos, os estafadores anexam arquivos infectados ou enlaces a páginas fraudulentas no mail. Ademais, costumam utilizar alguma desculpa (dizer à vítima que vai receber dinheiro, um desconto, uns bilhetes de avião ou de comboio…) para lhe convencer de que siga a conversa com eles e termine por ceder seus dados.
Recomendações para não cair em phising
Para evitar cair na armadilha, dantes de clicar num enlace que aparece num correio eletrónico convém passar o cursor por em cima para ver a URL. Se parece suspeita ou não coincide com o lugar ao que em teoria ia dirigir, o melhor é não clicar.
Outros indicadores de segurança aos que há que prestar atenção são a identificação de conexão segura (se o lugar site começa por https://) e o cadeado na barra de direcções.
3. Smishing: fraude por SMS
O smishing é uma modalidade de fraude muito similar ao phishing, mas, neste caso, orquestra-se através de um SMS. O ciberdelincuente, ao igual que nos casos anteriores, simula ser uma entidade legítima -rede social, banco, instituição pública, etc. -com o objectivo de roubar informação privada ou sisar dinheiro.
Frequentemente, a mensagem convida a chamar a um número de tarificación especial ou aceder a um enlace de um site falso baixo um pretexto. "Se cremos estar ante uma mensagem de texto fraudulento, o melhor que devemos fazer é o ignorar e o eliminar. Ademais, devemos ter muito cuidado de não clicar em nenhum enlace ou adjunto suspeito para descarga", assinala o Incibe, que recomenda também escanear o computador com um antivírus actualizado.
Exemplos reais de smishing
Um smisher (o nome técnico dos ciberdelincuentes que efectuam esta fraude) pode se fazer passar por empregado de um banco, por representante de uma entidade pública, como Fazenda, ou inclusive um polícia que exige o pagamento de uma multa que em realidade não existe. Também é possível que os SMS informem de um dinheiro que o utente pode cobrar.
Também não é estranho que se façam passar por trabalhadores de atenção ao cliente de empresas muito conhecidas, como Microsoft ou Apple, ou bem por técnicos de empresas de envios, como Seur, GLS ou FedEx.
Como detectar as fraudes de smishing
Ao igual que nos casos anteriores, o mais recomendável é não compartilhar informação pessoal e extremar a precaução. Convém desconfiar das mensagens não solicitadas, já sejam tanto SMS ou mensagens de WhatsApp de remitentes desconhecidos, especialmente se solicitam informação pessoal ou financeira. Neste sentido, muitas entidades bancárias estão a fazer pedagogia entre seus clientes para que não compartilhem os dados, remarcando que nunca solicitam informação sensível por telefone, SMS ou outros canais digitais.
Assim mesmo, é muito útil prestar atenção à redacção e gramática da mensagem, já que as mensagens de smishing costumam conter erros e ser algo abstratos ou confusos.
Como evitar as fraudes
Na mesma linha, se o utente recebe uma mensagem que alerta de uma mudança em sua facturação ou lhe pede realizar uma transferência, o mais aconselhável é que contacte directamente com a empresa implicada (já seja Endesa, Movistar, Vodafone ou BBVA) para perguntar por dita operação.
Quanto à forma de alertar destes casos, o Instituto Nacional de Ciberseguridad (Incibe), através do Centro de Resposta a Incidentes de Segurança de referência para os cidadãos e entidades de direito privado em Espanha (INCIBE-CERT) põe a disposição de todos um buzón de correio (incidencias@incibe-cert.es) e um formulário de contacto.
