Phishing: a pescaria criminosa que furta dados na Internet

O mundo tecnológico propicia que muitas atividades sejam realizadas pela internet, desde transações bancárias, compras e prestação de serviços diversos. Por conta disso, vem crescendo a ação de criminosos que visam obter vantagens ilícitas furtando dados sigilosos dos usuários da web, principalmente pela técnica de Phishing.

Phishing, deriva de fishing, traduzindo a grosso modo, é mesmo que “pescaria”. É uma técnica de furto de dados relativamente antiga, mas que tem tomado maiores proporções em razão da acessibilidade que hoje a internet possui, somado ao momento de Pandemia devido ao Covid-19.

A pescaria consiste, basicamente, em enganar o usuário guiando-o até páginas falsas criadas pelos próprios criminosos, que podem ser sites de instituições bancárias, e-mails, redes sociais ou órgãos governamentais.

Dentro do ambiente falso, a pessoa é induzida a acreditar que está, de fato, em um site legítimo e seguro, pois a semelhança é enorme, mas os campos para inserção de dados ali existentes possuem o único intuito de furtar as informações que serão inseridas pela vítima e não de efetivamente logar ela ao site ou portal.

Podemos citar, a título de exemplo, e-mails que chegam na caixa de entrada da vítima solicitando o recadastramento da senha bancária. A pessoa, sem muita experiência em identificar que se trata de um golpe, clica no link e é redirecionada a uma página idêntica à da instituição, e lá insere as informações acreditando estar em um ambiente seguro, fazendo com que os criminosos tenham acesso aos seus dados, obtendo, assim, a vantagem ilícita.

Nos casos de sites que furtam os dados do cartão de crédito da vítima, normalmente, a vítima se depara com um site que apresenta uma promoção atípica de um determinado produto. Ansiosa pela compra, decide utilizar o cartão de crédito na transação e passa a preencher os dados solicitados pelo site falso. Após a compra, os dados são enviados para os criminosos, para que estes utilizem do cartão de crédito da vítima, seja para comprar outros produtos para uso pessoal, seja para comprar produtos para fim de outras práticas ilícitas.

Há até um termo para quem se dedica à prática de furto de dados de cartão de crédito: “Carders”.

Os Carders, que são pessoas ou grupos especializados em furto de dados de cartão de crédito, utilizam-se da prática para, em boa parte dos casos, vender as informações dos cartões para outros usuários, ou comprar algo de seu interesse, utilizando-se de laranjas para recebido dos produtos, caso estes sejam físicos.

Os perfis em redes sociais também são alvos de criminosos que praticam o Phishing. Receber mensagens ou e-mails solicitando a confirmação de senha de um perfil de rede social, sem que o usuário assim tenha definido, pode indicar a potencial pescaria de furto de dados. Nesses casos, os perfis, muitas vezes, são utilizados para destruir a reputação do próprio proprietário da conta, ou serem utilizados para a prática de outro crime, assim como são praticados os crimes a partir de dados de documentos pessoais físicos.

O crime de phishing pode ser enquadrado na lei penal como furto qualificado, previsto no artigo 155, parágrafo 4º, inciso II, já que há o emprego de fraude para a obtenção de dados da vítima. Há, também, o entendimento de que pode se tratar de estelionato, que possui redação no artigo 171, do Código Penal: “obter, para si ou para outrem, vantagem ilícita, em prejuízo alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil, ou qualquer outro meio fraudulento”.

Nesse caso, o delito informático encontra tipificação em “qualquer outro meio fraudulento”, pois, a fraude cria na vítima a necessidade de fornecer as informações acreditando que a exigência é legítima, mas, na verdade, trata-se de meio empregado para a obtenção de dados de forma ilícita.

As investigações sobre esses crimes ainda carecem de recursos e conhecimento para a localização dos criminosos, pois quem aplica o golpe se oculta, utilizando-se de recursos para codificar os dados de comunicação, tornando a interceptação mais difícil.

Caso a armadilha venha através de SMS, o termo será  Smishing, pois não será praticado pela Web, mas sim pela via telefônica.

Certifique-se da legitimidade dos remetentes de e-mails que são recebidos.

Verifique sempre a segurança do site pelo seu certificado, normalmente localizado na barra de endereço à esquerda e na cor verde. Principalmente se houver a necessidade de realizar uma transação bancária.

Vale perder alguns minutos para verificar a autenticidade do site que está navegando, da mensagem que recebeu ou do e-mail lido.

Se você foi vítima desse modelo de fraude acessando algum site, o que pode ser feito?

1. Acesse o site who.is.registro.br, digite o domínio e veja a quem pertence;
2. Com isso, realize um boletim de ocorrência informando os dados obtidos, pois facilita e agiliza a atuação policial;
3. Caso você tenha efetuado o pagamento e, ainda, em boleto bancário, se dirija rapidamente na instituição financeira responsável para obter informações e possivelmente o reembolso;