Vamos tratar de um tipo de golpe eletrônico no qual o internauta é enganado e levado a um site que, embora lhe pareça legítimo, é na verdade uma armadilha para roubar seus dados. São os ataques de phishing scam, fraudes sofisticadas que envolvem desde a criação de sites que imitam as páginas de instituições conhecidas (empresas, bancos, instituições públicas, lojas, etc) e que precisam que o internauta clique em algum link ou acesse algum site, até técnicas como o "cross-site scripting".

Os ataques de phishing scam mais comuns levam o usuário a sites que são totalmente falsos -- há casos de cópias malfeitas, contendo erros -- e têm como função capturar informações como nome de usuário, dados bancários e senhas das vítimas. Os links vêm em mensagens que alegam necessidade de atualização de algum registro ou envio de dados pessoais para receber um suposto prêmio ou participar de uma promoção, por exemplo.

Os pop-ups (janelas que se sobrepõem a outras páginas) também são usados para enganar. Como no caso do internauta que recebe um e-mail de uma loja, avisando sobre uma atualização de cadastro. Ao clicar no link indicado no e-mail para fazer a suposta atualização, sem querer ativa um comando que abre uma janela com o logotipo e as cores da empresa e um formulário que pede, entre outras coisas, diversos dados pessoais. Para os golpistas, a vantagem do pop-up é que, geralmente, esta estrutura não contém barras de navegação e status, impedindo que o usuário perceba que está visitando um endereço falso.

Continuando com o mesmo exemplo, também pode ocorrer de o internauta ser levado ao site real da loja, mas este estar comprometido. É o "cross-site scripting", ou XSS, técnica que consiste em aproveitar uma falha de programação em um site legítimo e inserir elementos falsos na página. Ou seja, o usuário acessa a página verdadeira, mas esta foi atacada e é sobreposta em seguida por outra que a simula, ou exibe áreas ilegítimas (frames) que capturam os dados para terceiros. A página comprometida pode também enviar dados falsos para os usuários normais do site.

Para minimizar os riscos, tome como regra -- e cumpra! -- jamais clicar em links que vêm em mensagens de e-mail ou em sites duvidosos. Digite você mesmo o endereço do site que deseja acessar, principalmente para serviços em que seja necessário fornecer algum tipo de informação pessoal. Se considerar que o conteúdo de algum e-mail que recebeu pode ser verdadeiro, procure a informação diretamente no site da instituição ou empresa remetente, em vez de seguir qualquer link apontado na mensagem. A regra mais básica é: desconfie sempre.

Um conselho que parece óbvio é: olhe o endereço que está na barra do seu navegador. Mas poucos prestam atenção a isso. E observe também a barra de status para ver arquivos, links e páginas. Uma falha no navegador Internet Explorer permite disfarçar um endereço falso em endereço confiável, e portanto é necessário ficar atento.

Se se deparar com uma página que lhe pareça falsa, ou uma mensagem que leve a um site ilegítimo, denuncie. Você pode enviar uma cópia do e-mail ou o endereço das páginas para:

crime.internet@dpf.gov.br - E-mail da Polícia Federal para denúncias de crimes na Internet.

cert@cert.br - E-mail do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil, que tem feito um trabalho de combate a golpes de phishing scam, coordenado com os sites que estão hospedando programas maléficos, com algumas instituições financeiras e empresas antivírus.

phishing@cais.rnp.br - Endereço do Centro de Atendimento a Incidentes de Segurança (CAIS) da Rede Nacional de Ensino e Pesquisa (RNP) para envio de mensagens relacionadas com páginas falsas, principalmente de instituições financeiras.

artefatos@cais.rnp.br - Endereço do CAIS para recebimento de denúncias sobre aplicativos suspeitos (cavalos-de-tróia e outros programas maléficos usados nos golpes online)