A palavra Phishing é um termo inglês que significa 'Pescando', onde Phish é uma derivação de Fish que é peixe em inglês. E 'ing' é o conjugação do verbo no presente no inglês. Logo temos Phishing = Pescando.
Aqui você aprende conjugar verbo, inglês e sobre segurança viu??
Phishing acabou se tornando o nome de um tipo de ataque que tem muito a ver com o seu significado. No contexto da segurança da informação o Phishing se trata de um ataque que consiste em jogar uma isca pra conseguir pescar alguma informação.
Que tal uma aula de pesca antes de continuar, eu particularmente amo pescar, mas talvez você que está lendo pode nunca ter tido a oportunidade de pescar.
Bom pescar é assim: Você precisa de uma vara com uma linha e um anzol isso é a sua ferramenta de pesca tradicional. Mas se você jogar o anzol na água, você vai ficar o dia inteiro e não vai puxar nada, nenhum peixe. Porque para pescar algum peixe você precisa chamar atenção do peixe com alguma coisa que ele goste. E você precisa saber sobre qual peixe quer pescar isso é importante, guarde isso!
Bom se você for pescar Piranha por exemplo, qualquer tipo de carne você consegue atraí-las, mas se quer pescar um Pacu que é um peixe vegetariano, você precisa usar uma isca vegetal para atraí-los. Então, saber que tipo de peixe você quer pescar é importante.. também saber quais tipos de peixes são mais comuns no rio onde você está indo pescar.. Por exemplo em rios onde tem muita piranha, você perde anzol, porque piranha tem dentes afiadíssimos! Fica a dica, se alguém chamar pra pescar num rio pergunte se tem muita piranha, se tiver não perde seu tempo (hahah).
Agora que já temos a vara, o anzol e a isca, podemos lançar na água.. e aqui é onde vem a parte da criatividade e experiência.. existem muitas formas de consegui chamar atenção do peixe além de apenas jogar a isca pra eles. Pescadores iniciantes apenas jogam a isca na água e aguardam o peixe passar. Esses na maioria das vezes acaba voltando com pouquíssimos peixes e as vezes nenhum. Já pescadores veteranos aprenderam técnicas de fazer o peixe vir até a isca deles. Uma das técnicas conhecidas é a seva, que consiste em jogar ou deixar um alimento num determinado local, dai os peixes aprendem que ali a comida é abundante e passam a frequentar o local. Depois disso é só jogar a isca e sua pesca vai sim estar garantida!
Peço desculpas por essa aula de pescaria que dei. Mas espero que tenham gostado, isso é necessário para entender bem profundo sobre o Phishing.
O phishing é de longe um dos tipos de ataques mais utilizados em todo o mundo, e no Brasil ocupa o primeiro lugar acompanhando da Engenharia Social, que hoje nem precisa ser especialista pra obter alguma coisa.
Há algum tempo atrás a Engenharia Social era usada muito para obter informações confidenciais, hoje estão utilizando para conseguir arrancar dinheiro das pessoas. Nesse cenário passa a ser fraude ou golpe como é mais conhecido.
O que é Phishing
No Phishing os peixes são as pessoas, o pescador é o hacker, que busca obter informações. E vamos tratar aqui de um pescador (Hacker) veterano.
Phishing nada mais é do que uma cópia de um site ou um email se passando por alguém ou empresa solicitando informações.
O Phishing pode ter objetivos diferentes, como um link para download, fake news, captura de dados etc.
Algumas características comuns do Phishing são:
1 - É uma cópia de um site
www.ca1xa.com.br
www.facebook.net.br
2 - Uma promoção imperdível
Ex: Iphone50 por R$ 800,00 vai perde?!
3 - Email de segurança com pressão psicológica
Ex: Alguém fez login na sua conta, se não foi você clique aqui para alterar a sua senha
4 - Falso engano
Ex: Fulano, estou te mandando o link, assim que você preencher eu faço o Pix ok?
Como funciona um ataque de Phishing
Um pescador veterano analisa o clima, a vegetação, o peixe e o ambiente em que irá pescar, procura saber as espécies de peixes dominantes ali.
O Hacker experiente não é muito diferente, para obter sucesso ele estuda muito bem a pessoa ou a empresa a qual deseja atacar. Vamos partir do exemplo que o o Hacker quer obter a senha do facebook de uma pessoa.
Primeiro ele vai coletar informações dessa a respeito do alvo, nome, circulo parental, amigos mais próximos, hobbies, lazer e tudo mais a respeito.
Com a lista de informações ele vai criar uma página falsa do facebook, exatamente idêntica ao do facebook, e vai utilizar alguns meios para fazer com que o seu alvo acesse o seu link.
Vamos dar nome para o alvo do hacker, vamos chamá-lo de Pedro.
Vamos fazer de conta que você é o hacker pode ser? Ok então..
Então digamos que você descobriu que Pedro é louco por séries, o lazer dele é se aventurar em séries na Netflix que é uma das principais plataformas de streaming atualmente.
Dito isso, você descobriu que no Sábado vai ter um filme no cinema que o Pedro postou nas redes sociais que não vai perder por nada! Então você acabou de ter uma ideia. você vai criar uma promoção falsa, e nessa promoção vai o cinema em que o Pedro vai, está oferecendo 1 ano de Netflix de graça!! E para obter acesso, basta apenas fazer login com o facebook e curtir o perfil do cinema no facebook. E detalhe, nesse documento que você fez, você vai colocar um QRcode que direciona para a sua página falsa do facebook. Depois disso, você vai imprimir algumas copias desse documento e colar em alguns locais que são caminho para o Cinema, e se você tiver uma conta fake no facebook você pode até compartilhar no seu perfil.
É sério, Pedro não vai resistir a isso, quando essa informação chegar a ele, com certeza ele vai querer!
Imagina o Pedro chegando no cinema, e vendo uma impressão do seu documento numa parede, ele ficou maravilhado e sem pensar duas vezes ele pega o celular e escaneia o QRcode, fez login no facebook falso que você criou.. e pronto.. Ele acabou de entregar a conta do facebook de bandeja pra você..
Agora volte aqui comigo, você mesmo não o hacker rrsrsrs. Uma pessoa comum pode pensar:
Mas eu não devo nada, não tem nada de mais na minha conta, se me hackearem eu criou outra conta.. e você não está errado.. mas.. imagine se o Pedro fosse um grande influenciador digital com mais de 10 milhões de seguidores.. eu vou piorar o cenário.. imagine se o Pedro fosse o presidente da república?
Imagina quanto estrago e quanto poder detém um hacker quando obtém um acesso?
Um outro detalhe, é que eu restringi esse case apenas a conseguir uma acesso de uma conta de facebook, mas pode ser um site de compra onde as pessoas vão inserir dados de cartão de credito, podem fazer pix, e muitas outras possibilidade.
Então por isso e tantos outros motivos eu quero te levar a pensar sobre isso. Pense mais em sua segurança, não confie em tudo na internet. Se atente quanto a esses emails, e site que prometem coisas boas..
Há!! Antes de finalizar deixa eu esclarecer uma coisa importante!!
Aquele cadeado que aparece na url torna o site seguro no sentido que criptografa as informações enviadas no site, mas não torna o site confiável ok?! Sites falsos podem ter aqueles cadeados verdes de segurança ou aquele https:// no inicio do link ou da url.
Num próximo artigo estarei falando sobre como se proteger desses emails falsos.
Eu espero ter esclarecido pra você um pouco mais sobre o Phishing.