O “Phishing” é uma vigarice que utiliza SPAM ou mensagens de pop-up para ludibriar pessoas no sentido de revelarem números de cartões de crédito, informação de contas bancárias, números de segurança social, passwords e outro tipo de informação confidencial ou sensível.
Basicamente o utilizador recebe um e-mail supostamente de uma entidade credível, mas que na verdade o reencaminha (através de um URL/link) para um site com um design igual mas que na verdade é apenas uma cópia do original, levando o utilizador a colocar dados pessoais e a ser enganado. O utilizador recebe normalmente uma informação a dizer que os dados estão errados, mas na verdade o dados já estão do lado do atacante.
Então e técnica de Tabnabbing , em que consiste?
As tabs (separadores) foram uma grande implementação nos browsers. No entanto, se forem como eu, há certos momentos que ja nem sei bem quantos e quais os sites abertos no meu browser. Tal situação pode “ajudar” num ataque designado de Tabnabbing.
O Tabnabbing pode ser considerado uma variante da técnica de phishing, em que o “ataque” é feito com recurso às tabs (separadores) do browser.
Imagine por exemplo que dos muitos separadores abertos no seu browser, um deles mudava e ficava com o aspecto do gmail. Será que o utilizador se lembraria que inicialmente não era aquele site (neste caso, uma cópia do gmail), que estava aberto naquele separador?
Para ver como este ataque é realizado, aconselhamos a verem o seguinte vídeo.
A segurança informática é algo que o utilizador deve ter sempre em consideração. Nesse sentido, existem várias recomendações publicadas na Internet que alertam os utilizadores para as mais várias situações de “ataques informáticos”.
Assim, segundo o CERT.PT, que tem como missão contribuir para o esforço de cibersegurança nacional nomeadamente no tratamento e coordenação da resposta a incidentes, na produção de alertas e recomendações de segurança e na promoção de uma cultura de segurança em Portugal o utilizador deve seguir as seguintes dicas:
- Se receber um email ou pop-up que lhe peça informação pessoal ou financeira, não responda ou clique no link da mensagem. Empresas legítimas não pedem este tipo de informação por email. Se está preocupado com a sua conta, contacte a organização (alegada autora da mensagem) utilizando um número de telefone que sabe ser genuíno ou abra uma nova sessão num Internet browser e aceda ao endereço correcto da empresa. Em qualquer caso, não copie o link da mensagem.
- Não envie informações pessoais ou financeiras por email. O email não é um método seguro para transmissão de informações pessoais. Se iniciou uma transacção através de um website e deseja fornecer dados pessoais ou financeiros através desse site, procure indicadores de que esse site é seguro, tal como um ícone de um cadeado na barra de status do browser ou um URL que comece com “https:” (o “s” significa “secure“). Infelizmente, nenhum indicador é à prova de falhas; alguns “phishers” já falsificaram ícones de segurança.
- Reveja regularmente os extractos do seu cartão de crédito e contas bancárias para determinar se há débitos indevidos. De preferência, verifique-os assim que os recebe. Se estes extractos se atrasarem mais do que um par de dias, telefone para o seu banco e solicite essa informação.
- Use software anti-vírus e mantenha-o actualizado. Alguns emails de “phishing” contêm software que pode causar danos no seu computador ou monitorizar as suas actividades na Internet sem o seu conhecimento. Software anti-vírus e uma firewallsoftware anti-vírus verifica comunicações recebidas, procurando detectar ficheiros problemáticos. Uma firewall ajuda a torná-lo invisível na Internet e bloqueia todas as comunicações de fontes não autorizadas. É particularmente importante ter uma firewall se tem uma ligação de banda larga. Além de tudo isto, o seu sistema operativo (tal como Windows ou Linux) pode disponibilizar “patches” gratuitos de softwarehackers ou phishers poderiam explorar.
- Seja cuidadoso no que respeita a abrir qualquer anexo ou descarregar quaisquer ficheiros a partir de emails que receba, independentemente do remetente.
No caso de ser vítima de Phishing, Tabnabbing ou outro tipo de ataque, não hesite em participar o incidente no site do Cert.PT
