Conheça e proteja-se: os principais tipos de fraude no ambiente digital
Escrito por
Juliana Roman (Ver todos os posts desta autoria)
23 de junho de 2021
Para que estejamos protegidos no ambiente digital, precisamos saber a quais riscos estamos expostos. No entanto, vamos ser sinceros, a internet tem uns termos complicados, né? Afinal, o que são golpes de phishing e whaling? Por que devo me preocupar com ataques de ransomware e credential stuffing? Além da maioria de nós não saber os seus significados e impactos, os termos em inglês não auxiliam os nativos de língua portuguesa. Então segue a leitura e vem descobrir os significados comigo!
As fraudes no ambiente digital
Segundo a pesquisa “Panorama de ciberameaças na América Latina”, realizada pela Kaspersky, o Brasil é o país com mais tentativas de ataques cibernéticos na região e em segundo lugar está o México. No contexto global, o Brasil é o 7ª país que mais recebe ataques de dados relacionados à segurança pessoal ou financeira do usuário.
Um estudo da TransUnion buscou entender os impactos da pandemia de coronavírus sobre os consumidores na internet. Para tanto, entrevistou, no período entre 11 de junho e 6 de julho de 2020, mais de 7.800 pessoas no Brasil, Canadá, Colômbia, Hong Kong, Reino Unido, Estados Unidos da América (EUA). Entre os questionamentos feitos aos 450 consumidores brasileiros entrevistados estavam questões como: “você já foi alvo de alguma fraude digital durante o período de isolamento social?” e, em caso de resposta afirmativa, “qual o golpe que foi utilizado?”.
No caso específico do Brasil, entre os tipos de fraudes digitais, aquela que acometeu a maior parte dos entrevistados foi o roubo de cartão de crédito e cobranças fraudulentas (26%). No Canadá (30%), EUA (31%), no Reino Unido (30%) e em Hong Kong (37%), o golpe mais comum foi o phishing. Na Colômbia, a maior parte das vítimas sofreram golpes de vendedores terceirizados hospedados em sites de varejo online.
Num balanço geral, a partir desse levantamento de informações, verificou-se que o phishing, ou seja, tentativa de adquirir ilicitamente dados pessoais de outrem mediante fraude de identidade do atacante, era o principal esquema de fraude digital em todo o mundo, no período relacionado à covid-19. Entre os entrevistados que relataram terem sido alvos de golpes digitais em todo o mundo, 27% disseram que sofreram este tipo de fraude durante o período de pandemia.
Conforme dados apresentados pela plataforma “Posso confiar nesse site”, a qual verifica a credibilidade de sites e marketplaces, aproximadamente 46% dos sites consultados não eram confiáveis. Além disso, em 2020, foram registradas mais de 3,4 milhões de tentativas de ataques cibernéticos no Brasil. Em relação ao tema, importa destacar que a Lei dos Crimes Cibernéticos, sancionada em 2012, trata de infrações relacionadas aos meios eletrônicos, o que inclui golpes na internet.
Bêabá das fraudes no ciberespaço: Malware, Ransomware e Credit Stuffing
O termo “malware” é a abreviação de “software malicioso“ (em inglês, malicious software). Se refere a um tipo de programa desenvolvido para infectar o computador de um usuário legítimo, como, por exemplo, danificando o dispositivo ou roubando dados pessoais. Como um malware funciona, ou o que ele faz, se difere de arquivo para arquivo. As classes mais comuns de malwares, são: vírus, cavalo de tróia, spyware, worms, ransomware, adware e botnets.
É um tipo de malware que criptografa os dados de determinado sistema. Dessa forma, impede que o titular acesse seus dados, a menos que pague um resgate por eles. O termo também deriva de um jogo semântica: “ransom” seria resgate e “ware” se refere à malware. De acordo com relatório da Getapp, 28% das empresas entrevistadas sofreram um ataque de ransomware em 2020. Destas, 75% optaram por pagar o resgate.
Credential se refere às credenciais, isto é, ao nome de usuário e senhas utilizadas para acessar sites, softwares e diferentes tipos de serviços. Stuffing, neste caso, se refere a testes em massa. Credential stuffing é a prática de testar determinada mesma credencial em múltiplos sites e plataformas para verificar se o usuário a repetiu. Um exemplo do caso é o Spotify, a empresa foi alvo de fraude e as credenciais de 350 mil usuários foram vazadas em 2020.
Bêabá das fraudes no ciberespaço: phishing e os seus principais tipos
O phishing é uma técnica de crime cibernético que tenta induzir a erro o usuário e manipulá-lo com o objetivo de obter suas informações confidenciais. Um ataque de phishing tem três componentes (i) o ataque é realizado por meio de comunicações eletrônicas, como e-mail ou por telefone; (ii) quem aplica a fraude simula ser um indivíduo ou organização de confiança e (iii) objetivo é obter dados pessoais, como credenciais de login ou números de cartão de crédito.
O termo phishing tem este nome devido a um jogo semântico: phreaking + fishing = phishing. O cibercriminoso vai “pescar” (em inglês, “fishing”) sua vítima na internet. O ph em phishing vem de “phreaking” ou “phreaks”.
Vamos conhecer os principais tipos de phishing:
Blind phishing
Ocorre via disparo de e-mails em massa, sendo comum que o e-mail contenha link ou anexo malicioso. Quando o titular acessa o link, o vírus é instalado no computador.
Smishing
Realizado através de disparos de SMS para celulares. Em geral, são mensagens que induzem a vítima a tomar decisões imediatas, por exemplo, dizendo que ela ganhou um sorteio inesperado ou foi selecionada em determinado programa de benefícios.
Scam
Os golpes de phishing do tipo “scam” baseiam-se na tentativa de conseguir informações de vítimas por meio de links ou arquivos contaminados. O contato com a possível vítima pode dar-se por meio de telefone, e-mail, mensagem de texto ou pelas redes sociais.
Clone phishing e spear phishing
No clone phishing há uma espécie de clonagem de outro site para atrair os usuários e conduzi-los a se comportarem como se estivessem em um ambiente seguro e conhecido. O spear phishing acontece quando o ataque se direciona a uma pessoa ou determinado grupo de vítimas e tem como objetivo acessar um banco de dados específico para obter informações sigilosas, arquivos confidenciais ou financeiros.
Whaling
Em geral, o whaling se direciona a fraudes direcionadas a pessoas específicas as quais detém altos cargos profissionais. A técnica tem intenção de obter acesso a dados confidenciais ou dinheiro. O termo vem da palavra “whale” que, em inglês, significa “baleia”.
Vishing
Essa técnica utiliza-se de mecanismos de voz para aplicar golpes na internet. Em geral, as chamadas de voz abordam questões de urgência exigindo que a vítima tome medidas rapidamente e forneça informações.
Pharming
Através do pharming, o tráfego de um site é manipulado para direcionar usuários a sites falsos. No acesso a essa página não legítima, são instalados softwares maliciosos (malwares) que são capazes de coletar dados pessoais das vítimas.
Dicas de leitura
A primeira dica é o livro “Hunting Cyber Criminals: A Hacker’s Guide to Online Intelligence Gathering Tools and Techniques” o qual aborda as principais técnicas requeridas aos profissionais da área de cibersegurança. O livro aborda relatos e estudos de caso os quais permitem maior entendimento sobre a temática. É uma boa dica de livro caso você trabalhe ou deseje trabalhar na área.
A segunda dica é o livro “Cyber War: The Next Threat to National Security and What to Do about It”. Os autores norte-americanos mostram que ações envolvendo o uso de computadores e o ataque a sistemas computacionais já vêm sendo empregadas em iniciativas caracterizadas como “ações de Estado”, tanto em tempos de paz, quanto no campo de batalha. De acordo com o livro, o uso de armas computacionais pode comprometer o bom andamento de ações militares — ofensivas ou defensivas — e também causar impacto na população civil e no funcionamento da sociedade. Aliás, este livro possui tradução para o português: “Guerra Cibernética: a Próxima Ameaça à Segurança e o que Fazer a Respeito“!
O terceiro livro da lista é “Click Here to Kill Everybody: Security and Survival in a Hyper-connected World“, o qual aborda as ameaças da Internet das Coisas (IoT), explorando as implicações de segurança e os riscos da hiperconexão. Além disso, o autor apresenta ideias de políticas públicas que podem ser implementadas na prevenção de riscos.
Outra dica de leitura interessante e super didática é a “Cartilha de Segurança para a Internet” publicada pelo Núcleo de Informação e Coordenação do Ponto BR (NIC.br). No fascículo “Códigos Maliciosos“, você encontra informações sobre os principais tipos de malwares e os cuidados a serem tomados para evitar ser vítima de golpes online. No fascículo “Comércio Eletrônico“, você pode conhecer os principais riscos que envolvem o e-commerce e saber quais cuidados devem ser tomados para evitá-los. O melhor de tudo: a cartilha é de acesso online e gratuito!
Para finalizar, um guia rápido e simples intitulado “Como manter segura sua rede em casa: PC/computador portátil e seu celular” publicado pela Editora Senac. De acordo com o autor, a leitura do material ensina como navegar com segurança na internet, não ter o seu dispositivo infectado por malwares e como proteger sua rede wifi.
Conclusão
Os avanços das tecnologias da informação e comunicação (TICs) alargaram o alcance dos meios de comunicação. Diante do uso exponencial da internet, podemos perceber como o mundo físico se expande também para o virtual.
Nós devemos estar atentos às fraudes no ambiente digital, porque diversas relações se estabelecem através da rede, entre elas, a compra e venda. Nesse sentido, as mesmas precauções que temos ao comprar determinado produto em loja física, devem ser aplicadas quando a compra é realizada via e-commerce. Por exemplo, você frequenta lojas em localizações inseguras ou que não forneçam informações suficientes sobre a qualidade de determinado produto? Eu espero que não. Sendo assim, você deve estar atento a estes sinais também quando realiza operações pela internet.
Finalizo o texto com aquela célebre frase que todo mundo diz, mas ninguém sabe a autoria: “viver é um risco”. Seja no espaço físico ou virtual, sempre devemos (re)conhecer os perigos para evitar que eles se concretizem.
As opiniões e perspectivas retratadas neste artigo pertencem a seu autor e não necessariamente refletem as políticas e posicionamentos oficiais do Instituto de Referência em Internet e Sociedade.
Escrito por
Juliana Roman (Ver todos os posts desta autoria)
Líder de pesquisa em proteção de dados pessoais e pesquisadora no Instituto de Referência em Internet e Sociedade (IRIS). Mestre em Direito pelo Programa de Pós-Graduação da Universidade Federal do Rio Grande do Sul (UFRGS 2022), vinculado ao Centro de Estudos Europeus e Alemães (CDEA). Realizou pesquisa de campo em Amsterdam, Holanda, durante o Mestrado para fundamentar estudo comparado realizado na dissertação. Especialização em Direito do Consumidor pelo Centro de Direito do Consumo (CDC) da Faculdade de Direito da Universidade de Coimbra (UC 2021). Pós-graduação (lato sensu) em Direito Digital na Fundação Escola Superior do Ministério Público (FMP 2021). Graduada em Direito pela Pontifícia Universidade Católica do Rio Grande do Sul (PUCRS 2019). Colaboradora no projeto de pesquisa “Proteção de Dados Pessoais nas Américas”, idealizado em parceria pelo Grupo de Pesquisa CNPq “Observatórios da Lei Geral de Proteção de Dados e do Marco Civil da Internet”, vinculado a Universidade de São Paulo (USP), e pelo Grupo de Pesquisa CNPq “Mercosul, Direito do Consumidor e Globalização”, vinculado a UFRGS. Realizou período de mobilidade internacional na Universidad Internacional de Cataluña, Barcelona, Espanha (UIC 2017). Durante a graduação, realizou período de estudo de língua estrangeira em Vancouver, Canadá. Foi bolsista de iniciação científica do Programa de Bolsa Pesquisa – BPA (PUCRS 2016-2018). Prestou serviços de assessoria jurídica voluntária no Serviço de Assessoria Jurídica Universitária (SAJU UFRGS) – Direito do Consumidor (G7) – durante os anos de 2019 e 2022. Atua e pesquisa nas áreas de proteção de dados pessoais e privacidade, Direito da Informática, criptografia, Tecnologias da Informação e Comunicação (TICs) e Direito do Consumidor.