Não há como negar que, dentre as facilidades trazidas pela internet, a comunicação veloz, o comércio eletrônico e os meios de pagamento eletrônicos auxiliam e muito o relacionamento de empresas com seus consumidores ou fornecedores. Entretanto, também abriram portas para os golpistas de plantão criarem uma nova prática ilegal de obtenção de dados sigilosos, denominada phishing.
O termo phishing tem origem na palavra em inglês fishing (pesca), devido à semelhança entre as táticas utilizadas pelos criminosos e a prática de pescar. Ele se combina com phreaks, termo usado para se referir aos primeiros hackers da internet. A grafia “ph” foi usada para vincular golpes de phishing a essas comunidades clandestinas.
Através do ataque phishing, os criminosos buscam adquirir informações confidenciais, tais como senhas, números de cartão de crédito, dados bancários e outras informações pessoais, ao se fazerem passar por entidades confiáveis. Essa técnica é frequentemente empregada por meio de mensagens de e-mail, mensagens instantâneas, SMS e outros canais eletrônicos, e é assim que os golpistas assumem falsamente identidades de organizações legítimas, como bancos, empresas de comércio eletrônico, serviços de pagamento ou provedores de serviços online amplamente reconhecidos.
O principal objetivo do phishing é ludibriar as vítimas, sejam elas pessoas físicas ou jurídicas, para obter informações confidenciais, levando-as a cair nas armadilhas criada pelos phishers (ou “pescadores”), como clicar em links maliciosos, abrir anexos infectados por vírus ou fornecer dados pessoais em sites falsos.
Por ser um crime cibernético sem uma lei específica no Brasil, o phishing pode se enquadrar em diversos tipos de crimes previstos no Código Penal, como furto de dados, estelionato, falsidade ideológica, entre outras formas de fraude, que vão depender das circunstâncias específicas de cada caso.
Além das possíveis consequências criminais, o phishing pode acarretar sérios impactos financeiros para as vítimas. Segundo uma pesquisa da empresa de segurança Proofpoint, em 2022, 78% das empresas brasileiras experienciaram, ao menos, um ataque phishing por e-mail bem sucedido, resultando em perdas financeiras para 23% delas.
Ocorre que, infelizmente, existe uma sensação de impunidade com relação a esse tipo de crime pois, tanto a legislação quanto os métodos de investigação brasileiros não são suficientes para identificar e punir de forma rápida e eficiente o autor do crime.
Por isso, atualmente, a melhor forma de combater o ataque phishing é a prevenção.
Primeiramente, é importante que a empresa e seus colaboradores saibam identificar um possível ataque phishing:[1]
- Desconfie de mensagens que parecem muito boas ou muito ruins para ser verdade, como prêmios milionários, ofertas imperdíveis ou ameaças de bloqueio de contas;
- Observe o remetente e o destinatário do e-mail ou da mensagem, e ver se eles correspondem à pessoa ou organização que dizem representar;
- Identifique se há erros de ortografia, gramática ou formatação na mensagem, pois isso pode indicar que ela não foi escrita por um profissional;
- Jamais clique em links ou anexos suspeitos, pois eles podem levar a sites falsos ou infectar seu dispositivo;
- Passe o mouse sobre os links e veja se estes apontam para o endereço correto do site oficial da instituição ou empresa.
Além disso, é recomendável que as empresas também realizem treinamentos para seus colaboradores e implementem ferramentas de segurança cibernética, reduzindo assim significativamente a chance de se tornarem vítimas do phishing e garantindo a segurança de informações pessoais e financeiras.
Por fim, o phishing é apenas uma das muitas ameaças do mundo digital. Por isso, é fundamental manter-se atualizado sobre as últimas técnicas e ferramentas utilizadas por criminosos e procurar formas de se proteger contra elas.
Para mais informações sobre crimes cibernéticos e formas de prevenção, conheça a nossa área Penal Empresarial.
[1] Disponível em: https://www.cnnbrasil.com.br/tecnologia/phishing/. Acesso em: 21.01.2024.