A expressão phishing é uma gíria hacker derivada da palavra inglesa fishing, que significa pescaria. É uma alusão ao ato de jogar uma isca ao mar e esperar que algum peixe a fisgue. No caso de golpes online, a isca geralmente é uma mensagem de e-mail fraudulenta, em nome de instituições confiáveis, jogada no grande "oceano" da Internet, com o intuito de "fisgar" usuários incautos.

A substituição de "f" por "ph" numa palavra é comum no vocabulário dito hacker, assim como a substituição de "s" por "z" (como em warez) ou de letras por números (como em h4ck3r, isto é, hacker). Segundo fontes especializadas, o termo phish já era usado desde 1996 para se referir a contas da Internet roubadas de seus usuários. A partir de 2003, ou um pouco antes, o termo passou a fazer parte da expressão phishing scam, que designa o esquema fraudulento usado para roubar senhas e outros dados privados de correntistas de instituições financeiras, serviços de pagamento online e sites de comércio eletrônico. Este tipo de golpe tem crescido na Internet, tanto em quantidade, como em sofisticação, e tem tem atingido clientes dos maiores bancos dos Estados Unidos, Europa, Austrália e também do Brasil.

Em nosso país, os golpistas têm usado todo tipo de isca para atrair internautas desavisados para sites clonados ou induzi-los a instalar programas espiões, projetados para roubar senhas e outras informações, principalmente bancárias. Veja, abaixo, os exemplos de alguns dos golpes que circularam no Brasil pela Internet nos últimos meses:

Sites bancários clonados

Os nomes de alguns bancos brasileiros já foram usados como chamariz em mensagens e sites fraudulentos. O usuário recebe um e-mail não solicitado (isto é, sem ter se cadastrado para tal) alegando que sua conta bancária será bloqueada caso não faça um recadastramento até determinada data, ou que foi o ganhador de um polpudo prêmio, ou que precisa preencher seus dados no suposto site do banco, por qualquer outro motivo. Neste tipo de golpe, a mensagem invariavelmente traz um link que simula ser legítimo, mas que esconde um falso endereço.

Ao clicar no link, o usuário é levado a um site clonado de um banco, contendo campos para serem preenchidos com os dados privados do correntista, incluindo senhas. Ao contrário do que possa parecer, "clonar" um site qualquer não é uma tarefa tecnologicamente sofisticada. Os criminosos apenas usam programas que copiam todo o conteúdo do site em minutos e depois hospedam as páginas em um provedor gratuito ou invadido. O resto se resume a conseguir enganar as pessoas e fazê-las visitar o site clonado.

Outras vezes, os golpistas registram domínios (endereços eletrônicos) especificamente para fins fraudulentos, cujo nome se parece com o do banco em questão, e hospedam o site criado a partir desse domínio em um provedor qualquer. Geralmente, o dinheiro usado para pagar o registro do domínio e a hospedagem do site já é fruto dos golpes, e o nome do titular da conta muitas vezes é o de algum internauta lesado.

Supostos débitos atrasados em financiadoras

Débitos em atraso contraídos em conhecidas empresas de crédito brasileiras também serviram de isca para golpes de phishing no segundo semestre de 2004. Novamente, a título de verificação dos supostos débitos, os destinatários das mensagens eram levados a clicar em links que escondiam programas espiões. Os falsos e-mails traziam ainda ameaças de que, se as "dívidas" não fossem sanadas, o nome do cliente seria incluído no Serviço de Proteção ao Crédito e seu CPF ou CNPJ seria bloqueado.

Falsos cartões virtuais

Um dos golpes mais comuns desde que os ataques de phishing começaram a se tornar mais populares é o envio de falsos cartões virtuais. O nome de todos os maiores sites brasileiros que possuem este tipo de serviço já foi usado para dar credibilidade às mensagens fraudulentas, algumas das quais até bastante convincentes.

A maioria dos falsos cartões é apenas um programa executável, geralmente com extensão ".exe", ".scr" ou ".zip", mas já foram detectadas mensagens que traziam links para páginas HTML, as quais, uma vez visitadas, tentavam explorar brechas do navegador Internet Explorer e instalar automaticamente um programa maléfico, sem que o usuário percebesse ou tivesse de praticar qualquer outra ação. Só estaria protegido quem estivesse com o navegador e o sistema rigidamente atualizados.

Nesta época do ano, em que as pessoas costumam enviar cartões de boas festas aos amigos e parentes, os golpistas se aproveitam da situação para tentar fazer novas vítimas, portanto é preciso ter atenção redobrada quando receber um cartão virtual.

Falsos antivírus

A ousadia dos fraudadores não tem limites, e uma prova disso foi um tipo de golpe que circulou por e-mail referente a antivírus. As mensagens, bem preparadas, chegavam a trazer um alerta sobre os próprios e-mails fraudulentos, como isca para que os usuários instalassem um suposto verificador de vírus, que serviria para avaliar se o sistema havia sido "contaminado por algum vírus ou backdoor", ou se existia alguma "facilidade de invasão ou roubo de informações" numa rede de computadores.

Quem acreditasse nas mensagens e instalasse o falso antivírus, estaria introduzindo em sua máquina um arquivo executável que trazia justamente um programa para comprometer a segurança do sistema.

Falso desbloqueador de TV por assinatura

A criatividade dos golpistas é tanta que qualquer pretexto pode servir para ludibriar internautas menos atentos. É o caso de um phishing scam que circulou em setembro deste ano, e que usava nada menos do que um suposto desbloqueador de sinal de TVs por assinatura. Batizado de DDT (Decoder Digital TV), o falso desbloqueador seria capaz de receber sinais de satélites e distribuir as imagens pela Internet, para recepção diretamente no computador da vítima, de "canais jornalísticos e eróticos".

O tal programa, obviamente, era mais um cavalo-de-tróia usado para roubar informações financeiras, e a própria Associação Brasileira de Televisão por Assinatura (ABTA) chegou a emitir um alerta sobre o golpe.

Como se proteger

Os exemplos relatados acima abrangem apenas alguns dos golpes que já circularam por e-mail no Brasil e servem para demonstrar que qualquer assunto pode servir de isca para ataques de phishing scam. Em comum, todos estes golpes possuem o fato de que chegaram às vítimas potenciais por intermédio de mensagens não solicitadas, que levavam a sites ou programas maléficos.

A maioria também trazia erros de português facilmente detectáveis. Para se proteger desse tipo de fraude, jamais clique nos links apresentados em e-mails que chegam sem que você tenha se cadastrado para recebê-los.

Ao acessar o site do seu banco ou de sua loja online preferida também nunca clique em links. Em vez disso, digite o endereço diretamente no espaço apropriado do seu navegador de Internet. E, não menos importante: mantenha o navegador, o sistema operacional e o seu programa de e-mail sempre atualizados com as últimas correções de segurança.