Há alguns dias, Jaromir Horejsi, pesquisador do Laboratório de Vírus do avast! falou-nos sobre o Trojan bancário chamado Tinba. Os cibercriminosos por trás do Tinba utilizam uma técnica de engenharia social chamada spearfishing (caça submarina) para atingir suas vítimas.
Você provavelmente já ouviu sobre as fraudes por email que utilizam phishing. Este técnica clássica utiliza emails que parecem autênticos para atrair as vítimas para falsos sites e então conseguir que revelem informações pessoais. Também na semana passada, falamos sobre um email que Bob G., Evangelista da AVAST, recebeu e que dizia que ele havia ganhado o prêmio da loteria da Copa do Mundo. Os cibercriminosos por traz deste golpe lançaram uma rede pensando em capturar poucas pessoas e depois pedir-lhes que fornecessem dados bancários para que o prêmio pudesse ser entregue.
Outro grande perfil de tentativas de phishing, como o a fraude do email da DHL do último Natal, aproveitando-se da ansiedade do feriado. Um email que parece como algo legítimo, oferecendo todos os tipos de explicações urgentes e oportunidades únicas para explicar porque eles precisam dos seus dados pessoais. Não é difícil de entender porque pessoas caem neste golpe.
O spearphishing é semelhante em tudo exceto que a pesca é muito mais dirigida. O FBI diz que os cibercriminosos selecionam como alvos a grupos de pessoas com algo em comum: trabalharem na mesma empresa, terem conta no mesmo banco, terem ido ao mesmo colégio ou universidade, fazem compras no mesmo site, etc. Os emails parecem ter sido enviados pelas empresas ou pessoas das quais as vítimas normalmente recebem emails, tornando tudo mais enganoso. Isto é o que acontece com o Trojan Tinba que ataca neste momento a República Checa. Em ambas as táticas de engenharia social, o phishing e o spearphishing, uma vez que a vítima clica no link é levada a um site falso mas que parece verdadeiro onde lhe são pedidas senhas, números de contas bancárias, credenciais de usuário e logins, códigos de acesso, PINs, etc.
Como evitar ser uma vítima do spearphishing
- A (grande) maioria das empresas, bancos, etc., não solicita informações pessoais por email.
- Se estiver em dúvida, telefone (mas NÃO utilize o número de telefone que consta do email, pois também será falso).
- Utilize um filtro de phishing. Tanto o avast! Internet Security quanto o avast! Premier incluem filtros antispam para detectar emails de fraudes e phishing.
- Nunca clique em um link para um site seguro (dica: http:\\...) que venha por email: sempre digite o endereço (URL) manualmente.
Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram. Dono do próprio negócio? Descubra mais sobre os nossos produtos corporativos.