Phishing

A Arte da Enganação Digital

Phishing é uma técnica de ataque cibernético baseada na engenharia social, cujo objetivo é enganar a vítima para que ela entregue voluntariamente informações confidenciais, como senhas, dados bancários, número do cartão de crédito ou até mesmo acesso a sistemas internos de empresas.

O termo vem da palavra "fishing" (pescar), pois o atacante "lança iscas" esperando que a vítima "morda".

 

Como funciona um ataque de Phishing

Um ataque de phishing geralmente começa com o envio de uma mensagem falsa, que pode chegar por e-mail, SMS, WhatsApp ou redes sociais. Essa mensagem costuma conter:

Um texto alarmante (como "sua conta será bloqueada em 24h")

Um link para um site aparentemente legítimo

Um pedido de ação urgente, como clicar no link ou baixar um arquivo

Ao acessar o link, a vítima é direcionada a um site falso (geralmente idêntico ao original), onde ela insere suas credenciais achando que está em um ambiente seguro.

 

Exemplo prático de site falso

Um atacante pode criar um site semelhante ao login do Gmail. Ele registra um domínio como www.seu-gmail-login.com e usa ferramentas como HTTrack ou Wget para copiar o HTML do site real. Ele então altera o formulário de login para que envie os dados para um script de coleta, como login.php.

Esse script pode conter algo como:

O formulário HTML falso captura os dados digitados e os envia por método POST para um script PHP que salva o e-mail e a senha da vítima em um arquivo dados.txt, ou até envia as informações para o e-mail do invasor.

 

Ferramentas utilizadas por atacantes

Diversas ferramentas automatizam ataques de phishing. Por exemplo:

SET (Social Engineering Toolkit): permite criar páginas falsas de login de diversos serviços (como Facebook, Outlook, LinkedIn) em poucos cliques.

Evilginx2: um proxy reverso que captura cookies de sessão de login legítimos, permitindo ao atacante sequestrar sessões sem precisar saber a senha da vítima.

GoPhish: uma plataforma completa para simular campanhas de phishing, muito usada em testes de segurança em empresas.

Essas ferramentas costumam ser executadas a partir de terminais, onde o invasor define o serviço que deseja clonar, insere o endereço IP do seu servidor, e envia os e-mails com os links falsos para as vítimas.

Comandos e técnicas comuns

Embora não mostremos códigos diretamente, aqui estão técnicas descritas em texto:

O atacante configura um servidor web local, por exemplo usando Apache, e coloca os arquivos HTML clonados no diretório público.

Ele edita o arquivo de formulários para enviar os dados para seu script.

Ele registra um domínio ou utiliza um endereço IP público, muitas vezes mascarado por encurtadores de links, como bit.ly ou tinyurl, para esconder o destino real.

Por fim, ele envia e-mails falsos utilizando serviços SMTP, ou ferramentas como sendmail, simulando remetentes confiáveis.

 

Exemplos de iscas utilizadas

"Sua conta da Netflix foi suspensa. Clique aqui para regularizar seu pagamento."

"Alerta: atividade suspeita detectada no seu banco. Acesse imediatamente para revisar suas transações."

"Você recebeu um novo pacote. Atualize seu endereço de entrega agora."

Essas mensagens são acompanhadas de links que levam a páginas falsas. Em alguns casos, o endereço é quase idêntico ao original, como netfl1x.com ou app-itau.com.seguro.br.

 

Phishing por SMS e WhatsApp (Smishing)

Esse tipo de phishing usa mensagens de texto em vez de e-mails. Um exemplo comum:

“Banco XP: identificamos uma compra suspeita no valor de R$ 1.234,00. Para cancelar, acesse banco-xp-verificacao.com.”

Por trás do link está um site falso com aparência do banco, coletando dados da vítima.

 

Phishing por telefone (Vishing)

Neste caso, o ataque ocorre via ligação telefônica. O criminoso se passa por atendente de banco, operadora ou suporte técnico. Ele convence a vítima a fornecer dados pessoais, instalar um aplicativo ou realizar uma transferência.

Um exemplo típico:

"Olá, aqui é da equipe antifraude do Banco X. Detectamos uma tentativa de golpe. Precisamos que a senhora instale um aplicativo para proteger sua conta. Pode acessar o link que enviaremos por SMS?"

 

Como se proteger do Phishing

Nunca clique em links suspeitos recebidos por e-mail, SMS ou redes sociais.

Verifique sempre o endereço do site antes de digitar sua senha. Prefira digitar manualmente o endereço no navegador.

Ative a autenticação em duas etapas (2FA) sempre que possível.

Não forneça informações pessoais por telefone ou mensagem, a menos que tenha absoluta certeza da identidade do contato.

Mantenha o navegador, antivírus e sistema operacional sempre atualizados.

Em empresas, invista em treinamento de conscientização para funcionários.

Todos os posts

Metadados

CVE

Keylogger

Fingerprint

Hash

Evil Twin

RCE

Buffer overflow

Criptografia

Esteganografia

DoS e DDoS

Brute force

Sniffers

Wireshark

Wifite

SQL Injection

XSS

VPN

Phishing

DNS Spoofing

Nmap

Pentest

Google Dorks

Hydra no Kali Linux

Inteligência Artificial

Quero ser programador

Engenharia social

Hackpedia Whitehats

Deep Web

Anonimato

WhiteHats tá falando

Bitcoin

Segurança digital

Novo site WhiteHats no ar!

Notícias recentes

Google Chrome corrige falhas exploradas por criminosos; atualize agora

Cuidado, há uma falha muito grave a afetar os smartphones da OnePlus

Sora da OpenAI atinge 1 milhão de downloads mais depressa que o ChatGPT

Investigação da OpenAI confirma que o ChatGPT mente deliberadamente

Inteligência Artificial prevê um futuro desigual para os carros elétricos na Europa, China e Estados Unidos

Spotify reforça regras para Inteligência Artificial na música

China proíbe empresas de tecnologia de comprar chips de Inteligência Artificial da NVIDInteligência Artificial

Wikipédia vai facilitar pesquisas de chatbots de Inteligência Artificial

Auditoria usa Inteligência Artificial, passa vergonha e devolve dinheiro de projeto

Ataque hacker faz Jaguar Land Rover parar produção no Reino Unido

Hackers manipulam Gemini a controlar casas via eventos de calendário

Google emite alerta sobre falhas sérias que afetam usuários de Android

Actualização do Windows causa prompts UAC excessivos

Microsoft sofre revés com falha grave em novo protocolo de Inteligência Artificial

Google confirma vazamento de dados, mas afirma ter contido o problema

Como o Google Gemini Pode Comprometer a Segurança da Sua Casa Inteligente

Atualização de segurança inesperada para o Galaxy S20 da Samsung

Google lança oficialmente Jules, seu assistente de programação com inteligência artificial

Lançamento do Linux Kernel Runtime Guard 1.0 Foca na Segurança

Google admite vazamento de dados no Salesforce ligado ao grupo hacker ShinyHunters

Google admite que hackers acessaram um de seus bancos de dados

Europa já tem um robô humanoide doméstico para competir com a Tesla

Hacker que ameaçou Felca e psicóloga é denunciado pelo MPSP

Banco Central anuncia novos limites para transferências via Pix após fraudes

Controle de acesso é principal fragilidade explorada em ataques hackers

Jogador recebe aviso que HD estava quase sem espaço e descobre que Steam criou arquivo de texto com quase 500 GB

Inteligência Artificial está a aumentar riscos de cibersegurança

Google faz chacota da Apple em novo comercial na web

Cloudflare acusa Perplexity de burlar regras da web

Quem encontrar falha grave no WhatsApp receberá US$ 1 milhão

Falso AnyDesk é usado para roubar dados pessoais e carteiras de criptomoedas

Google desmente falha de segurança no Gmail

Gigante brasileira tem R$ 710 milhões desviados em ataque ao sistema PIX

Hackers ameaçam alimentar Inteligência Artificial com conteúdo de artistas se site não pagar quantia que eles exigem

Hackers adolescentes paralisam produção da Jaguar Land Rover

Atualização da Apple corrige vulnerabilidade zero-day afetando Chrome

Novo ataque: hackers desviam quase R$ 5 milhões de fintech

Apple lança iOS 18.6.2 para corrigir risco de segurança

Golpe usa Office 365 para roubar credenciais de pessoas

Microsoft testa Inteligência Artificial que resume histórico do Edge, mas recurso pode custar US$ 20

HackPedia