Em 31 de Maio de 1995 foi publicada a Portaria
Interministerial nº 147, criando o Comitê Gestor da Internet no Brasil –
CGI.br, com a finalidade de coordenar e integrar todas as iniciativas de
serviços de internet no país, promovendo a qualidade técnica, a inovação e a
disseminação dos serviços ofertados (CGI.BR).
O órgão responsável pela monitoria dos
incidentes é o Grupo de Resposta a Incidentes de Segurança para a Internet no
Brasil, CERT.BR. É responsável por tratar incidentes de segurança em
computadores que envolvam redes conectadas à internet brasileira. Este órgão é
mantido pelo Comitê Gestor da Internet no Brasil – CGI.BR, atuando como um
ponto central para notificações desta natureza e como apoio no processo de
resposta e, quando se fizer necessário, atuar para colocar as partes envolvidas
em contato. As principais atividades desenvolvidas gravitam entre o tratamento
de incidentes reportados, treinamento e conscientização e análise de tendências
de ataques noticiados.
O CERT.BR define a
fraude de Phishing, phishing-scam
ou hishing/scam como sendo o meio da qual um golpista, através da
internet, tenta obter dados pessoais e financeiros pela utilização combinada de
meios técnicos e engenharia social. Normalmente ocorrem através do envio de
e-mails fraudulentos, onde, tentando se passar pela comunicação oficial de
algum órgão ou instituição conhecida, procuram atrair a atenção dos usuários
provocando curiosidade, empatia ou caridade, objetivando auferir alguma vantagem
financeira. Em muitos casos tentam assustar as vítimas com mensagens de que
caso determinada ação não seja tomada haverá consequências do tipo inscrição no
serviço de proteção ao crédito, cancelamento de cadastro ou, até mesmo, o
bloqueio da conta corrente da potencial vítima. Esta técnica tenta induzir o
usuário a fornecer dados pessoais e dados bancários em páginas falsas, como
também a instalação de códigos maliciosos projetados para coletar informações
sensíveis.
Prevenção:
Para a correta prevenção, o CERT.BR orienta o
seguinte:
- Atenção
a mensagens recebidas em nome de alguma instituição tentando a induzi-lo a
fornecer informações e/ou instalar/executar programas ou, ainda, clicar em
links;
- Questione-se
por que instituições com as quais você não tem contato estão lhe enviando
mensagens, como se houvesse alguma relação prévia entre vocês (por
exemplo, se você não tem conta em um determinado banco, não há porque
recadastrar dados ou atualizar módulos de segurança);
- Ficar
atento a mensagens apelativas pela sua atenção e que, de alguma forma, o
ameacem caso você não execute os procedimentos descritos;
- Nunca
considerar que uma mensagem é confiável com base na confiança que você
deposita em seu remetente, pois ela pode ter sido enviada de contas
invadidas ou de perfis falsos criados para esta finalidade;
- Sempre
ser cuidadoso ao acessar links, procurando digitar o endereço
diretamente no navegador Web;
- Observe
o link apresentado na mensagem. Golpistas costumam usar técnicas
para ofuscar o link real para o phishing. Ao posicionar o mouse
sobre o link, muitas vezes é possível ver o endereço real da página
falsa ou código malicioso;
- Utilize
mecanismos de segurança, como programas antimalware, firewall
pessoal e filtros antiphishing;
- Observe
sempre se a página utiliza conexão segura. Sites de comércio
eletrônico ou Internet Banking confiáveis sempre utilizam conexões
seguras quando dados sensíveis são solicitados;
- Sempre
confira as informações mostradas no certificado de segurança da respectiva
página indicada. Caso a página falsa utilize conexão segura, um novo
certificado será apresentado e, possivelmente, o endereço mostrado no
navegador Web será diferente do endereço correspondente ao site
verdadeiro;
- Por
último, sempre acesse a página da instituição que supostamente enviou a
mensagem e procure por informações (você vai observar que não faz parte da
política da maioria das empresas o envio de mensagens, de forma
indiscriminada, para os seus usuários).
Comentários