Há poucas semanas, o Superior Tribunal de Justiça foi alvo de um ataque hacker que paralisou serviços e informações de magistrados, servidores e jurisdicionados. Apesar de poucos detalhes comprovados e noticiados, acredita-se que este ataque tenha sido originado de um phishing.
O termo “phishing” faz alusão à palavra inglesa “fishing”, que significa “pescaria”, em tradução livre. A associação com esta atividade não é mero acaso: o phishing ou phishing-scam é uma tentativa de fraude pela internet que utiliza “iscas”, isto é, armadilhas por meio das quais um golpista tenta obter dados funcionais, pessoais e financeiros de um usuário, usando informações falsas e engenharia social.
Em 2018, o TRT8, por meio de sua área de Segurança da Informação, realizou uma série de campanhas educacionais sobre phishing, na qual, grande parte dos servidores e magistrados aprenderam como reconhecer e se proteger deste tipo de golpe. E reforça abaixo algumas destas orientações.
O phishing pode ocorrer por meio do envio de mensagens eletrônicas que:
-
Tentam se passar pela comunicação oficial de uma instituição conhecida, como um banco, companhia aérea, loja virtual ou site popular;
-
Procuram atrair a atenção do usuário, seja por curiosidade, por caridade ou pela possibilidade de obter alguma vantagem financeira;
-
Informam que a não execução dos procedimentos descritos pode acarretar sérias consequências, como a inscrição em serviços de proteção de crédito e o cancelamento de um cadastro, de uma conta bancária ou de um cartão de crédito;
-
Tentam induzir o usuário a fornecer dados pessoais e financeiros, por meio do acesso a páginas falsas ou da instalação de códigos maliciosos, projetados para coletar informações sensíveis.
Como o phishing funciona?
-
Páginas falsas de comércio eletrônico ou Internet Banking: você recebe um e-mail, em nome de um site de comércio eletrônico ou de uma instituição financeira, que tenta induzi-lo a clicar em um link. Ao fazer isto, você é direcionado para uma página Web falsa, semelhante ao site que você realmente deseja acessar, onde são solicitados os seus dados pessoais, financeiros e senhas.
-
Páginas falsas de redes sociais ou de companhias aéreas: você recebe uma mensagem contendo um link para o site da rede social ou da companhia aérea que você utiliza. Ao clicar, você é direcionado para uma página Web falsa onde é solicitado o seu nome de usuário e a sua senha que, ao serem fornecidos, serão enviados aos golpistas que passarão a ter acesso ao site e poderão efetuar ações em seu nome, como enviar mensagens ou emitir passagens aéreas.
-
Mensagens contendo formulários: você recebe uma mensagem eletrônica contendo um formulário com campos para a digitação de dados pessoais e financeiros. A mensagem solicita que você preencha o formulário e apresenta um botão para confirmar o envio das informações. Ao preencher os campos e confirmar o envio, seus dados são transmitidos para os golpistas.
-
Mensagens contendo links para códigos maliciosos: você recebe um e-mail que tenta induzi-lo a clicar em um link, para baixar e abrir/executar um arquivo. Ao clicar, é apresentada uma mensagem de erro ou uma janela pedindo que você salve o arquivo. Após salvo, quando você executá-lo, será instalado um código malicioso em seu computador.
Fonte: https://www.gazetadopovo.com.br/republica/hacker-stj-tribunal-ataque-pf-... e https://cartilha.cert.br/golpes/