É Legal
A era dos laranjas virtuais - o que é o phishing afinal?
Publicado em 11/08/2008 às 20:21Vivemos um período curioso da humanidade onde as regras de comportamento estão em transformação. Como podemos nos proteger do que não conhecemos, ou não entendemos? As equipes de segurança possuem linguagem demasiadamente técnica e o usuário não enxerga a importância de ter uma conduta segura no uso de tecnologia, pois não percebe claramente quais são os riscos e conseqüências. Por isso, estamos nos tornando uma grande comunidade de laranjas virtuais com terceiro grau completo.
Será que é excesso de inocência? Ou seria excesso de negligência? Como fazer entrar na cabeça das pessoas que senha é identidade? Que não se deve abrir e-mail de estranhos, ou pior, que mesmo se vierem por e-mails de conhecidos, o antivírus deve ser acionado antes de serem baixados anexos? Falar de criptografia ou certificação, então, é um grande desafio. Mas os golpes virtuais ocorrem cada vez mais e precisamos educar o usuário a se defender. Que usuário? Nós mesmos, nossos filhos, nossas equipes, nossos pais, todos ao redor, pois estamos em rede, de nada adianta um ter comportamento seguro e outro não.
Agora, o que significa este tal de phishing, afinal? O phishing (de pescaria, literalmente) é um tipo de fraude concebida para furtar dados, sejam dados de identidade, senha de banco, número de cartão de crédito, informações confidenciais de empresas, fotos íntimas, qualquer dado em um equipamento ou acessado através do mesmo. Como ela ocorre? De forma muito simples, que explora a imagem de uma marca com credibilidade para ludibriar o destinatário a abrir um e-mail ou clicar em um endereçamento – e assim instalar no equipamento um arquivo malicioso que passa a agir buscando os dados e enviando-os para o infrator de forma remota.
Este tipo de ataque é conhecido como engenharia social, pois manipula, normalmente, a inocência da vítima, ou sua negligência ao não se dar conta dos riscos que corre na internet. De certo modo, é a versão moderna do golpe pelo telefone, em que alguém liga e pede dados e informações, seja para a pessoa da residência (âmbito familiar) ou da empresa (âmbito profissional). O maior risco do phishing é o poder da interface gráfica, quando a pessoa acredita que o que está ali é verdade (mesmo quando há erros de português, promessas impossíveis ou vantagens absurdas, que em outras situações nos deixaria desconfiados mas nas quais, via e-mail, acreditamos como laranjas digitais).
O praticante do phishing incorre na prática de diversos ilícitos, principalmente criminais, como falsa identidade, falsidade ideológica, fraude, estelionato, furto de dados, uso não autorizado de marca, uso não autorizado de imagem, propaganda enganosa, entre outros. Ou seja, há leis para poder punir quem pratica o phishing; a dificuldade é descobrir quem foi, a prova de autoria, uma vez que normalmente o envio é feito de modo a gerar o maior anonimato possível. Mas, como hoje as testemunhas são as máquinas, há casos de se pegar o infrator por meio dos dados de cabeçalho, de IP, de logs.
Tudo começa na denúncia, continua na investigação e quando possível, converte em punição. É preciso conscientizar, para prevenir, e se ocorrer o problema, denunciar. Lembrando que não podemos acreditar em tudo que vemos na internet e recebemos por e-mail: o bandido também espreita atrás do mouse.
Dra. Patricia Peck – advogada especialista em Direito Digital, sócia fundadora da PPP Advogados, autora do livro “Direito Digital” pela editora Saraiva (www.pppadvogados.com.br)