Logotipo MiudosSegurosNa.Net

Minimizar Riscos, 
Maximizar Benefícios. 

Bandeira de AngolaBandeira do BrasilBandeira de Cabo VerdeBandeira da Guiné-Bissau
Bandeira de MoçambiqueBandeira de PortugalBandeira de São Tomé e PrincípeBandeira de Timor Leste
Subscreva a Newsletter
[MiudosSegurosNa.Net]

> Definir Homepage
> Adicionar a Favoritos
> Imprimir Esta Página
> Recomendar Página
> Ligue-se a Nós!
> Artigos Para o Seu Site
> Donativos

ARTIGOS DE OPINIÃO - 2005 - ABRIL
Phishing: A Pesca Aos Seus Dados Pessoais
Por Tito de Morais

No artigo "Como Vamos de Segurança em Portugal", a propósito dos dados fornecidos pela Polícia Judiciária, referi o aumento exponencial dos ataques de phishing. Tenho acompanhado essa evolução a nível internacional, mas sempre passei um pouco ao lado deste tipo de ataques, até há uns dias atrás...

Eu também era dos que achava que era difícil cair num esquema de phishing. Achava que isso era coisa para incautos. Esta semana, tive uma experiência que mudou radicalmente a minha percepção relativamente a este tipo de ataques. Este artigo é a história dessa experiência, acrescida de alguns conselhos.

Como Tudo Começou...
Já há bastante tempo que disponho de uma conta na PayPal, um serviço online que permite efectuar e receber pagamentos e efectuar transferências de dinheiro. No entanto, o uso que lhe dei foi sempre pontual, sendo mesmo raro usá-lo. No entanto, há dias, tive necessidade de abrir uma outra conta nesse serviço, usando um endereço de email diferente. Dirigi-me ao site, preenchi os formulários e segui as instruções que me foram sendo dadas. A certa altura do processo, são-me solicitados os dados relativos ao cartão de crédito. Para o efeito forneço os dados do mesmo cartão de crédito que usara na outra conta que já dispunha. Quando a verificação é feita, os dados do cartão não são aceites, dado já existir uma outra conta, com o mesmo número de cartão de crédito. "Pois, a minha outra conta", pensei. No entanto, dado que este era um passo opcional, decidi continuar com o processo e lá conclui a abertura de uma nova conta.

Então, Chegou o Anzol!
No dia seguinte, recebia um email destinado ao endereço correspondente à primeira conta na PayPal. O remetente era, alegadamente, PayPal [aw-confirm@paypal.com]. O assunto da mensagem era: "Your Account Will Be Suspended; Checking" (A Sua Conta Será Suspendida; Verificando). A mensagem, era extraordinária! O que me chamou particularmente à atenção foi o primeiro parágrafo após uma pequena introdução, onde se referia que a PayPal haviam dado conta de uma ou mais tentativas de acesso à minha conta e que tinha razões para acreditar que esta tenha sido apoderada por terceiros sem a minha autorização. "Bem, tem lógica", pensei... "terá isto a ver com o facto de eu ontem ter dado o mesmo número de cartão de crédito?!" E foi então que miraculosamente se me acendeu uma luzinha. Fui verificar o cabeçalho da mensagem e BINGO! "Coincidência de um raio!" Era um mensagem de phishing! O return-path da mensagem era de um domínio que nada tem a ver com a PayPal. Tentei aceder ao domínio e apareceu-me uma página do Cpanel informando-me que não existia nenhum website configurado naquele endereço. Resolvi averiguar ainda mais e arrisquei clicar no link que vinha na mensagem. Fui parar a uma página em tudo idêntica à página da PayPal que visitara na véspera. Mas outra coisa me chamou à atenção: na barra de endereço, o que me era mostrado era um endereço IP e não um nome de domínio. Fui investigar a quem pertencia o endereço IP e estava registado em Itália!

Phishing em Português de Portugal
Resumindo, por uma coincidência no tempo, quase que caía num esquema de phishing. Alguns que me estão a ler neste momento pensarão concerteza "Ha, nestas eu não caio até porque não tenho esse tipo de contas!" ou "Como era em inglês, eu topava logo!". Pois, a verdade no entanto pode não ser tanto assim. Já há notícias deste tipo de esquemas em português e afectando entidades financeiras portuguesas. E acreditem... não é preciso ser muito incauto para se cair.

Evitar Ser Fisgado pelo Phishing
O processo que descrevo acima dá algumas ideias sobre como evitar ser fisgado pelo "anzol" de um esquema de phishing. No entanto, o Anti-Phishing Working Group dá alguns conselhos específicos cuja tradução que aqui vos deixo de forma sumarizada:

  • Desconfie de mensagens de email com pedidos urgentes de informação financeira pessoal
  • Caso suspeite que a mensagem possa não ser autêntica, não use os links numa mensagem de email para aceder a um site
  • Evite preencher formulários em mensagens de email que peçam dados pessoais de carácter financeiro
  • Certifique-se sempre que está a usar um site seguro quando estiver a submeter informação relativa ao seu cartão de crédito ou outra informação sensível através do seu web browser
  • Considere a instalação de software que o ajude a reconhecer sites de phishing
  • Aceda regularmente às suas contas online
  • Verifique regularmente os seus extractos bancários e de cartões de crédito para se certificar que todas as transacções são legítimas
  • Certifique-se que o seu browser está actualizado com os patches de segurança mais recentes
  • Denuncie as mensagens de phishing que receber

Logotipo do jornal A Capital
in Info&Net, A Capital, Lisboa, 01 de Abril de 2005



Artigos Anteriores:
> Segurança Internet: Tecnologias, Pessoas e Processos
> Como Vamos de Segurança em Portugal
> Internet Segura - Magia e Amizade
> A Internet dos Zero aos Seis Anos
> Segurança Online e Espaços Internet

Rotulado com ICRA - Internet Content Rationg Association
 | Início | Recursos | Sobre | Mapa do Site |
                                                 © 2003-2005, Tito de Morais. Todos os Direitos Reservados.