MUNDO CONECTADO

Aula 3:
Phishing
© Copyright 2016, Tribunal de Contas de União
<www.tcu.gov.br>

RESPONSABILIDADE PELO CONTEÚDO

Tribunal de Contas da União
Secretaria Geral da Presidência
Instituto Serzedello Corrêa
Secretaria de Planejamento, Governança e Gestão/Diretoria de Segurança da Informação e Continuidade de Negócio
Serviço de Educação Corporativa de Controle

SUPERVISÃO
Carolina Beserra Pfeilsticker
Walter Fabrício de Castro Telli

CONTEUDISTA
Gustavo Rodrigues Lima Almeida
José Luiz Torres Ferreira Costa
Juliana Belmok Bordin
Maria Camila de Avila Dourado
Pedro Henrique Braz de Souza
Rafael Cancellier

TRATAMENTO PEDAGÓGICO
Marta Eliane Silveira da Costa Bissacot

PROJETO GRÁFICO
Vanessa Vieira

DIAGRAMAÇÃO
Vanessa Vieira e Guilherme Resende

Este material tem função didática. A última atualização ocorreu em Dezembro de

2016. As afirmações e opiniões são de responsabilidade exclusiva do autor e podem

não expressar a posição oficial do Tribunal de Contas da União.

 Sumário

Sumário�������������������������������������������������������������������������������������������������������������������������������������������������������������������� 3

Introdução������������������������������������������������������������������������������������������������������������������������������������������������������������ 5

1. PHISHING�������������������������������������������������������������������������������������������������������������������������������������������������������������������������� 5

2. O QUE É PHISHING ?���������������������������������������������������������������������������������������������������������������������������������������������������� 6

2.1. Principais tipos�������������������������������������������������������������������������������������������������������������������������������������������������� 6

2.2 Objetivos por trás dos ataques����������������������������������������������������������������������������������������������������������������� 7

2.3 Como identificar o phishing?����������������������������������������������������������������������������������������������������������������������� 8

3. DICAS PARA NÃO CAIR EM GOLPES DE PHISHING ������������������������������������������������������������������������������������10

Síntese�������������������������������������������������������������������������������������������������������������������������������������������������������������������11

Bibliografia��������������������������������������������������������������������������������������������������������������������������������������������������������12

Anexo����������������������������������������������������������������������������������������������������������������������������������������������������������������������13

Tribunal de Contas da União

 Introdução 5

Phishing
Nesta aula, estudaremos o que é phishing, quais são as suas principais modalidades e
como podemos nos defender desse ataque cibernético.

1. PHISHING

A Intel Security promoveu um teste em 2015 que analisou o conhecimento das pessoas
sobre e-mails de phishing. Aproximadamente 20 mil pessoas em 144 países participaram do
teste e 97% dos participantes errou a avaliação de, pelo menos, um dos casos apresentados,
indicando vulnerabilidade a ataques de phishing.

É provável que você já tenha ouvido a seguinte recomendação de segurança: “não clique
em links recebidos por e-mail”. Será que isso é suficiente para mantê-lo protegido? E os e-mails
que são legítimos?

Antes de conhecer mais sobre o que é phishing e como evitá-lo, faça o teste disponível no apli-
cativo de ensino à distância para avaliar sua capacidade de identificar corretamente essas ameaças.

Ao conhecer mais sobre o assunto você poderá não só se proteger de diversas fraudes, mas
também acessar com segurança conteúdos que são do seu interesse.

Curiosidade
ÂÂ A pesquisa da Intel descobriu que o e-mail que mais causou dúvidas
na identificação era legítimo. O e-mail pedia que o destinatário reali-
zasse uma ação para obter anúncios gratuitamente. Com frequência, as
pessoas fazem associação entre a oferta de prêmio ou algo gratuito à
ocorrência de phishing ou spam. Essa é a provável razão pela qual um
grande número de pessoas não identificou corretamente a natureza
desse e-mail.

Tribunal de Contas da União

6
2. O QUE É PHISHING ?
Phishing

Phishing é um tipo de fraude na qual o atacante usa mecanismos tecnológicos, geralmente

baseados em mensagens, para persuadir as vítimas a prestarem informações pessoais de utilida-
de para futuros ataques.

Embora seja um golpe muito antigo, os ataques de phishing estão ficando cada vez mais
sofisticados. Por isso, é preciso sempre se manter informado sobre o tema e conhecer as novas
modalidades que estão sendo aplicadas.

Curiosidade
ÂÂ O termo “phishing” tem origem na palavra em inglês “fishing”,
que significa pescaria. O uso do ph no lugar do f é porque os primeiros
hackers de telefonia eram chamados de “phreaks”. Tem relação com o
fato de que o atacante consegue “pescar” dados da vítima, que é enga-
nada e “morde o anzol”.

2.1. Principais tipos:

•• Phishing Tradicional, que seria o equivalente a

“pescar com rede”.

Nesse caso, um atacante cria uma mensagem ele-

trônica com phishing e envia para várias pessoas
(ex: 10.000 usuários). Mesmo que só 10% caia na
armadilha, a campanha será um sucesso.

Foto: freepik

•• Spear Phishing

São ataques específicos e direcionados. São gol-

pes mais elaborados em que os fraudadores pes-
quisam o funcionamento de uma organização
para conseguir informações específicas, como por
exemplo os responsáveis por pagamentos.

Foto: freepik

Curso: Mundo Conectado

 7
2.2 Objetivos por trás dos ataques

Phishing
Os objetivos por trás dos ataques podem ser roubo de dados bancários ou de cartões de
crédito, sabotagem (manipulação das máquinas infectadas), extorsão (ex: ransomware), espio-
nagem etc. Veja abaixo algumas histórias reais de pessoas que caíram em golpes de phishing e
suas consequências.

Relato de caso real ocorrido com servidor do TCU

“Eu sempre usei o meu computador doméstico para realizar transações financeiras pelo
site do Banco do Brasil. É muito cômodo operar com o banco sem sair de casa, a qualquer
hora do dia. Considerava muito segura essa funcionalidade de internet banking.
No início desse ano, o meu computador passou a enviar mensagens frequentes solicitando
a atualização para Windows 10. Como havia escutado diversos relatos de colegas reclaman-
do dessa nova versão do sistema operacional, eu sempre negava permissão para atualização.
Porém, um belo dia a minha filha entrou no computador para fazer um trabalho da escola.
Com o alerta sobre a necessidade de atualização automática para o Windows 10, ela não
teve dúvidas: aceitou o pedido e a versão do sistema operacional foi atualizada.
No sábado, precisei usar o computador para fazer uma transferência financeira para a
faxineira que havia trabalhado durante todo o dia. Ela estava precisando do dinheiro com
urgência, e eu estava também apressado, pois tinha um compromisso com hora marcada
em alguns minutos.
Qual não foi a minha surpresa ao ver a disposição dos ícones e botões totalmente dife-
rente do que eu estava acostumado. A impressora não estava funcionando. O novo browser
instalado pela atualização do Windows 10 demorava muito para abrir. O acesso à internet
estava extremamente lento.
Como tudo era novo, o link para o Banco do Brasil não estava nos meus favoritos, nem
aparecia no histórico recente do navegador. Ao procurar por Banco do Brasil no Google,
apareceram diversos links como resultado da pesquisa. Ao clicar no primeiro, que parecia
ser o oficial, abriu-se uma página que aparentemente era correta. Mas estava extremamente
lenta. E percebi que ela chegou a piscar pelo menos duas vezes, indicando que estava sendo
recarregada.
Ao digitar meus dados, a página informou que não reconhecia o computador e que seria
necessário realizar alguns procedimentos de segurança para habilitar o acesso. Como isso
ocorre frequentemente no site do Banco do Brasil, achei normal, apesar de extremamente
inconveniente para o momento de urgência que estava passando. A página de redirecio-
namento solicitou o número da agência, o número da conta, a senha do home banking, a
senha do cartão e também o número do celular. Nem percebi que estava sendo “fisgado”.
Após informar esses dados, o site do Banco do Brasil carregou normalmente e eu pude fazer
a transferência.
O domingo passou sem novidades. Segunda-feira também. A minha conta estava com
saldo baixo, pois o pagamento estava previsto para ser depositado na terça-feira. Nesse
dia, logo pela manhã percebi algo estranho. O meu celular estava completamente fora do
ar. Apesar de ligado, não conseguia se conectar à rede da operadora. Tive que ir até a loja
(continua na próxima página)

Tribunal de Contas da União

8
Phishing

Continuação Relato Caso Real

da operadora para reativar o serviço. O atendente não soube explicar o porquê da falha. Se
limitou a resolver o incidente.
Na quarta-feira tentei acessar o home banking, mas não consegui. A mensagem afirmava
que a senha estava expirada. Fui até a agência. O gerente alterou a senha. Ao chegar em
casa, consultei o saldo do banco e verifiquei o registro de uma TED no valor de R$ 9.200,00,
realizada na terça-feira, para uma conta da agência do Bradesco de Feira de Santana na
Bahia. Havia o CPF e o nome do destinatário. Não sei dizer se era um nome falso.
Na quinta-feira retornei à minha agência e apresentei o comprovante do TED. Contei toda
a história até aquele momento. O gerente percebeu a gravidade da situação. Registrei for-
malmente o ocorrido, troquei as minhas senhas do cartão e do home banking. Fui informado
que o banco realizaria um procedimento investigatório e, se comprovada a fraude, restituiria
o valor transferido indevidamente. O banco devolveu a quantia transferida 20 dias depois.
Três meses depois, recebi pelo aviso SMS do Banco que havia o registro de uma compra de
passagem aérea pelo cartão de crédito, em empresa da Europa, no valor de aproximadamen-
te R$ 5.000,00. Entrei rapidamente em contato com a operadora e informei desconhecer
essa transação. A operadora cancelou imediatamente o meu cartão e estornou o lançamen-
to. Não tive prejuízos financeiros, mas fiquei alguns dias sem poder usar o cartão de crédito.
Não sei se há relação entre os dois casos relatados.”

Hackers atacam sistema de e-mails do Itamaraty

Ainda não se tem informação sobre os responsáveis nem o objetivo dos ataques
27/05/2014 - 15h20min
“O Itamaraty — sede do Ministério das Relações Exteriores do Brasil, localizada em
Brasília — está sofrendo uma onda de ataques de hackers desde o último dia 19. O sis-
tema de e-mails e de leitura de documentos do ministério e dos postos diplomáticos no
exterior ficou fora do ar nesta segunda-feira e segue assim até o momento, mas uma
manutenção geral para evitar novos acessos indevidos está sendo feita e o problema
deve ser solucionado ainda nesta terça-feira.

De acordo com o Itamaraty, hackers usaram o esquema chamado phishing, em que

e-mails aparentemente de pessoas conhecidas são enviadas para colegas e incluem um
link malicioso. Ao clicar na página, servidores instalam no sistema, sem querer, os cha-
mados cavalos de troia, que recolhem informações sigilosas dos usuários, como senhas
e números de documentos.” (continua.)

Fonte:
http://zh.clicrbs.com.br/rs/noticias/noticia/2014/05/hackers-atacam-sistema-de-e-mails-do-itamaraty-4510963.html

Curso: Mundo Conectado

 9
2.3 Como identificar o phishing?

Phishing
Nos itens do teste apresentado nessa aula, foi possível identificar algumas caracterís-
ticas que devem ser observadas ao receber mensagens. Segue um resumo dos principais
pontos discutidos:

• Analise o endereço do remetente para ver se parece válido. Ex: um endereço eletrônico
de um banco não será @gmail.com.

• Analise se o conteúdo da mensagem tem alguma relação com eventos recentes. Ex:
um amigo te manda um link para fotos de uma festa à qual você não esteve presente.
Talvez a mensagem seja mesmo de um amigo, mas ele pode estar com sua conta com-
prometida. As mensagens podem ter sido enviadas sem o consentimento dele.

• Passe o mouse em cima do link no corpo da mensagem para o qual é solicitado seu
clique. Verifique se aponta para um local conhecido (ex: um domínio.gov.br) ou se é
um link com nomes estranhos ou sequências aleatórias de caracteres.

Fonte: http://www.ufrgs.br/tri/files/exemplo-de-phishing-analise/image_view_fullscreen

Tribunal de Contas da União

10
Phishing

• Observe se a mensagem contém erros de português. É comum que essas mensagens

tenham erros bem fáceis de identificar.

Veja abaixo a análise de um e-mail real de phishing e passe a observar as mensagens

que recebe:

3. Dicas para não cair em golpes de phishing

• Antes de acessar uma mensagem eletrônica com promoções, facilidades, brindes, ofer-
tas gratuitas ou com desconto exagerado, faça uma pesquisa pela internet, no site ofi-
cial da empresa ofertante, para se certificar da sua validade. No anexo I são apresenta-
dos alguns temas de mensagem que costumam aparecer nas mensagens de phishing.

• Não responda mensagens eletrônicas que solicitam informações financeiras, mesmo

que o endereço de origem pareça confiável;

• Não abra links em mensagens eletrônicas, mensagens SMS ou interações em salas de

bate-papo que pareçam suspeitas;

• Não é recomendado que você clique em informações que aparecem em janelas pop-
-up. As janelas pop-up são abertas pelo navegador quando o usuário visita uma página
web ou acessa um link.  O pop-up é utilizada pelos criadores do site para abrir alguma
informação extra ou como meio de propaganda. As empresas mais confiáveis não so-
licitam informações por meio dessas janelas.

• Lembre-se que os golpes de phishing não se restringem a mensagens eletrônicas.

Podem ocorrer também por meio de redes sociais ou SMS.

Atenção:

Se você receber um e-mail suspeito na caixa de mensagens do TCU, informe

à equipe de segurança da informação, por meio do seguinte procedimento:

- localize a mensagem suspeita na sua caixa de correio eletrônico;

- selecione a mensagem, com cuidado para não abri-la;

- pressione as teclas <CRTL> <ALT> <F>, simultaneamente - será gerada

nova mensagem, com a original anexada;

- envie essa nova mensagem para segurancadainformacao@tcu.gov.br.

Curso: Mundo Conectado

Síntese 11

Phishing
Nesta aula, aprendemos que Phishing é um tipo de fraude, na qual o ata-
cante utiliza-se de mecanismos tecnológicos, geralmente por meio de mensa-
gens, para persuadir suas vítimas a prestarem informações pessoais que podem
ser úteis em ataques futuros. Também foram apresentadas dicas para identi-
ficar um ataque desse tipo e formas de agir para evitar seus efeitos danosos.

Tribunal de Contas da União

12 Bibliografia
Phishing

http://www.proof.com.br/blog/seguranca-da-informacao/ataques-de-phishing-ficam-mais-
sofisticados-cada-dia/

https://cryptoid.com.br/banco-de-noticias/acabe-com-os-ataques-de-phishing/

http://blog.infomach.com.br/problemas-e-mails-de-phishing-intel-security/

http://diariodonordeste.verdesmares.com.br/suplementos/tecno/online/usuarios-brasileiros-de-
mobile-banking-sao-alvos-de-ataques-via-sms-1.1590855

http://www.phishing.org/history-of-phishing/

ícones: http://www.freepik.com/dooder

Curso: Mundo Conectado

 13
Anexo I – Exemplos de tópicos que são abordados em

Exemplos de tópicos que são abordados em mensagens de phishing.

Anexo I
mensagens de phishing.
Tópico Tema da Mensagem

Pessoa supostamente conhecida, celebridades, algum fato noticiado em jornais, revistas ou

Álbuns de fotos e vídeos
televisão, traição, nudez ou pornografia, serviços de acompanhantes

Antivírus Atualização de vacinas, eliminação de vírus, lançamento de nova versão ou de novas funcionalidades

Associações assistenciais AACD Teleton, Click Fome, Criança Esperança

Avisos judiciais Intimação para participação em audiência, comunicado de protesto, ordem de despejo

Cartões de crédito Programa de fidelidade, promoção

Cartões visuais UOL, Voxcards, Yahoo, Cartões, O carteiro, Emotioncard

Cobrança de débitos, confirmação de compra, atualização de cadastro, devolução de produtos,

Comércio eletrônico
oferta em site de compras coletivas

Companhias aéreas Promoção, programa de milhagem

AULA 3
Eleições Título eleitoral cancelado, convocação para mesário

Empregos Cadastro e atualização de currículos, processo seletivo em aberto

Impostos de renda Nova versão ou correção de programa, consulta de restituição, problema nos dados de declaração

Unificação de bancos e contas, suspensão de acesso, atualização de cadastro e de cartão de

Internet Banking senhas, lançamento ou atualização de módulo de segurança, comprovante de transferência e
depósito, cadastramento de computador

Multas e infrações de trânsito Aviso de recebimento, recurso, transferência de pontos

Músicas Canção dedicada por amigos

Notícias e boatos Fato amplamente noticiado, ataque terrorista, tragédia natural

Prêmios Loteria, instituição financeira

Programas em geral Lançamento de nova versão ou de novas funcionalidades

Vale-compra, assinatura de jornal, revista, desconto elevado, preço muito reduzido,

Promoções
distribuição gratuita

Propagandas Produto, curso, treinamento, concurso

Reality Shows Big Brother Brasil, A Fazenda, Ídolos

Notificação pendente, convite para participação, aviso sobre foto marcada, permissão para
Redes sociais
divulgação de foto

Serviços de Correios Recebimento de telegrama online

Serviços de e-mail Recadastramento, caixa posta lotada, atualização de bancos de dados

Serviços de proteção de crédito Regularização de débitos, restrição ou pendência financeira

Serviços de proteção Recebimento de mensagem, pendência de débitos, bloqueio de serviços, detalhamento de

de telefonia fatura, créditos gratuitos

Aviso de conta de e-mail sendo usada para envio de spam (Antispam.br), cartilha de
Sites com dicas de segurança
segurança (CERT.br, FEBRABAN, Abranet, etc.)

Solicitações Orçamento, documento, relatório, cotação de preços, lista de produtos

Fonte : Cert.BR, modificada

Curso: Mundo Conectado Tribunal de Contas da União