Phishing: entenda como funciona esse golpe cibernético e saiba como se proteger
O phishing é um ataque cibernético fundamentado em engenharia social que utiliza comunicações falsas para se passar por instituições confiáveis e roubar dados sensíveis das vítimas. Criado nos anos 1990, o termo é um trocadilho com a palavra inglesa fishing (pescar), uma vez que os criminosos lançam iscas digitais esperando que os usuários sejam fisgados. A grafia com "ph" homenageia o phreaking, uma cultura pioneira de invasão de sistemas de telefonia. A prática se popularizou ainda naquela década em ataques contra usuários da plataforma AOL, utilizando scripts e ferramentas automatizadas para roubar credenciais de acesso, marcando o início da engenharia social em larga escala.
Na prática, o golpe funciona por meio de mensagens enviadas por e-mail, SMS ou redes sociais que imitam canais oficiais de organizações legítimas. Os criminosos utilizam gatilhos de urgência, como supostas contas bloqueadas ou faturas atrasadas, para pressionar a vítima a agir rapidamente sem verificar a procedência da comunicação. Quando a pessoa clica em links maliciosos, é direcionada a páginas clonadas onde digita senhas e dados de cartões. Essas informações são capturadas em tempo real pelos golpistas, que passam a invadir contas bancárias e perfis de redes sociais para cometer novos crimes.
Existem diferentes variantes do ataque, classificadas conforme o meio utilizado e o perfil do alvo. O phishing de e-mail é o mais tradicional e utiliza mensagens falsas em nome de fontes confiáveis, com alertas urgentes de contas suspensas ou cobranças pendentes. O vishing é a versão por voz do golpe, em que criminosos fazem chamadas telefônicas simulando urgências em nome de bancos ou autoridades para convencer a vítima a informar senhas e códigos de verificação. Já o whaling é direcionado a figuras de alto escalão corporativo, como diretores financeiros, com mensagens personalizadas que imitam parceiros de negócios para exigir transferências urgentes de dinheiro.
O spear phishing difere das demais variantes por focar em uma pessoa ou grupo específico, utilizando dados customizados para dar aparência de legitimidade à mensagem. Os criminosos podem se passar por chefes ou colegas de trabalho para roubar credenciais corporativas e informações confidenciais. O smishing é a modalidade realizada via SMS, na qual mensagens de texto falsas simulam alertas de bancos ou notificações de entregas pendentes, forçando o usuário a clicar em links que levam a sites clonados ou provocam a instalação de programas maliciosos. O quishing, por sua vez, utiliza códigos QR falsos distribuídos por e-mails ou em cartazes físicos em locais públicos, conseguindo burlar filtros de segurança tradicionais para roubar senhas e dados financeiros.
Para criar barreiras de defesa contra esses ataques, especialistas recomendam algumas práticas essenciais. Analisar os links antes de abri-los é uma delas: basta posicionar o cursor sobre o endereço ou copiá-lo para um bloco de notas em busca de erros de ortografia e domínios estranhos. Aautenticação de dois fatores, conhecida pela sigla 2FA, é uma camada extra de proteção que impede acessos indevidos mesmo quando a senha é comprometida. Validar qualquer alerta diretamente nos canais oficiais de atendimento das empresas e manter sistemas operacionais e antivírus sempre atualizados também são medidas fundamentais para reduzir os riscos.
Caso uma pessoa caia no golpe, a recomendação é agir com rapidez para conter os danos. As senhas das contas expostas devem ser trocadas imediatamente por combinações mais fortes, ativando-se a autenticação de dois fatores em seguida. As instituições financeiras precisam ser avisadas para bloquear movimentações e monitorar transações suspeitas. O registro de um boletim de ocorrência em uma delegacia virtual é essencial para resguardar direitos em caso de uso indevido dos dados. Por fim, uma varredura completa com antivírus atualizado deve ser executada no dispositivo para eliminar programas espiões e demais rastros deixados pelo ataque.
É importante diferenciar phishing de outras ameaças cibernéticas. O phishing não é um malware nem um vírus, pois se trata de uma tática de manipulação psicológica que atua como uma isca para convencer a própria vítima a entregar informações voluntariamente. Os malwares são programas projetados para infectar e danificar dispositivos, enquanto os vírus são um tipo específico que se replica ativamente dentro dos sistemas. Existe ainda o pharming, que se diferencia do phishing por ser um ataque automatizado que corrompe as rotas de navegação da internet por meio da alteração do sistema DNS, o serviço responsável por traduzir nomes de sites em endereços numéricos. Nesse caso, o usuário é redirecionado a uma página falsa mesmo digitando a URL correta, tornando o golpe ainda mais difícil de detectar.
