o-que-e-phishing-guia-completo o-que-e-phishing-guia-completo

O que é Phishing e como funciona?

min de leitura


Publicado em 09-Jul-2024

Segundo os dados do Banco de Portugal, a fraude mais comum em Portugal é o Phishing, mas saberá o que é e como funciona esta prática criminosa que o pode levar a perder o controlo sobre os seus dados pessoais e financeiros?

O que é Phishing?

O termo phishing é uma homofonia de “fishing” (pesca em inglês) e designa o ato de enganar as pessoas de modo a levá-las a partilharem informações sensíveis, tais como palavras-passe ou número de cartão de crédito, com os criminosos.

Como funciona o Phishing?

Tudo começa com um email ou SMS em que o burlão se faz passar por uma pessoa ou uma organização conhecida da vítima, tal como um familiar, um banco/Instituição Financeira ou uma companhia de eletricidade.

No momento em que a vítima abre o email ou a mensagem, irá deparar-se com um texto em que lhe é feito um pedido de dinheiro (caso da conhecida burla “olá mãe, olá pai”) ou lhe é dada a conhecer uma dívida que deve ser paga o quanto antes através do clique num link que acompanha a mensagem.

No momento em que a vítima clica no link, será reencaminhada para um site em tudo parecido com um site legítimo (de um banco, companhia de eletricidade ou loja online) onde deverá deixar os seus dados pessoais e financeiros.

É assim, desta forma aparentemente simples, que acontece o phishing e o criminoso fica com informações sensíveis na sua posse que, posteriormente, utiliza para roubar identidades, desviar fundos e até vender contactos a empresas.

Assim, se recebeu um telefonema a venderem-lhe um contrato de energia ou um qualquer outro bem e serviço sem que tenha fornecido os seus dados a essa empresa, é possível que tenha sido alvo de phishing.

Tipos de Phishing mais comuns

O que faz do phishing uma fraude tão bem-sucedida é a sua enorme variedade de técnicas e canais utilizados para os ataques serem levados a cabo.

Entre os tipos de phishing mais utilizados, contam-se:

Email phishing

Envio de emails maliciosos em massa para uma série de alvos com mensagens mais ou menos refinadas em que o objetivo é levar as pessoas a abrirem o e-mail e clicar num link.

Após a abertura desta hiperligação, as vítimas são levadas a preencher um formulário em que deixam os seus dados pessoais e que, em muitos casos, instala um spyware que acaba por roubar os seus dados.

Spear phishing

Ao contrário do phishing por email em massa, o spear phishing escolhe um alvo específico (pessoa ou organização) e envia uma mensagem à medida da vítima.

O objetivo é sempre o mesmo: roubar informações sensíveis. 

Clone phishing

Neste tipo de phishing, os criminosos clonam um email fidedigno que contenha um anexo ou link substituindo-os por links e anexos maliciosos.

No momento em que a vítima clica no link ou abre o anexo, é ativado um ransomware que sequestra os seus dados. 

Phone phishing

Neste caso, o burlão tenta, por telefone, roubar os dados da vítima fazendo-se passar por um representante do seu banco, da companhia de eletricidade/gás ou até da Autoridade Tributária.

Nesta abordagem, a vítima é informada de que tem um qualquer problema e que, para resolvê-lo, terá de pagar uma determinada quantia utilizando um link que será enviado por mensagem.

SMS phishing e Facebook phishing

Quer no caso do SMS phishing, quer no caso do Facebook phishing, o criminoso vai enviar-lhe uma mensagem ou ligação suspeita a pedir o acesso aos seus dados pessoais com o intuito de os roubar.

Como evitar o Phishing?

Apesar de, por exemplo, podermos encontrar um extraordinário aporte de segurança no cartão de crédito UNIBANCO da marca UNICRE – Instituição Financeira de Crédito, S.A. – com a adoção do protocolo europeu de segurança EMV 3-D Secure (ou EMV 3DS) e da proteção em caso de roubo, perda ou extravio, o phishing encontra sempre forma de continuar a subtrair informação e dinheiro às suas vítimas, especialmente no mundo online.

Para diminuir a probabilidade de sofrer um ataque de phishing online, deve:

  • Fazer compras em lojas online credíveis, isto é, páginas que apresentem uma chave ou um cadeado no canto inferior direito do ecrã e cujo endereço começa por “https”;
  • Não fornecer dados do cartão de crédito por SMS ou telefone;
  • Não aceder ao homebanking através de links enviados por SMS ou e-mail;
  • Não abrir emails assinalados como spam (nas definições do seu email poderá saber como marcar phishing);
  • Manter o antivírus e a firewall sempre atualizados;
  • Não clicar em links desconhecidos nem carregar anexos não verificados
  • Não reutilizar passwords e fazer a sua substituição com frequência.

Fui vítima de Phishing: o que fazer?

Se foi alvo de phishing, o primeiro passo é apresentar queixa nas autoridades locais. Caso o roubo de dados tenha acontecido com o cartão de crédito, deve avisar imediatamente o seu banco e pedir o cancelamento do cartão.

De sublinhar que, a partir do momento em que exista um débito indevido, tem 13 meses para o comunicar ao seu banco.

Por exemplo, caso verifique um débito fraudulento com o seu cartão de crédito UNIBANCO, a sua responsabilidade cessa a partir do momento em que comunica à UNICRE a situação.

Cessação de responsabilidades

Se detectar um débito fraudulento no seu cartão de crédito UNIBANCO, a sua responsabilidade termina assim que comunicar a situação à UNICRE – Instituição Financeira de Crédito, S.A.

A UNICRE possui uma equipa especializada para lidar com estas situações e, após a comunicação, a sua responsabilidade é imediatamente cessada.

Nos 48 horas anteriores à comunicação, a sua responsabilidade nunca excederá os 50€.