Uma pessoa com quem costumo falar sobre cibersegurança viveu recentemente uma situação curiosa: passou quase seis meses sem pagar uma consulta médica porque acreditava que todas as mensagens recebidas eram tentativas de phishing. Quando nos encontrámos por acaso, mostrou-me a situação quase com orgulho, como quem sobreviveu a um ataque altamente sofisticado. Confesso que senti que talvez lhe tivesse ensinado a desconfiar… sem lhe ensinar quando confiar.
É bom estarmos atentos. Devemos desconfiar. Mas também precisamos de perceber que nem todas as mensagens são ataques. O problema é que, atualmente, distinguir o legítimo do fraudulento tornou-se cada vez mais difícil. Os atacantes evoluíram. As ferramentas mudaram. As plataformas transformaram-se. Surgiram novas estratégias, novas formas de comunicação e até Inteligência Artificial. Mas existe algo que continua praticamente igual: o fator humano permanece o alvo mais fácil.
É precisamente por isso que o phishing continua a ser um dos ataques digitais mais eficazes da atualidade.
Quase todos nós já recebemos mensagens sobre prémios que nunca ganhámos, encomendas inesperadas, dívidas desconhecidas ou contas bancárias alegadamente bloqueadas. À primeira vista parecem mensagens banais. E, na verdade, o phishing nunca precisou de parecer sofisticado. Precisa apenas de encontrar alguém emocionalmente disponível para acreditar.
É por isso que o phishing de massa continua a funcionar tão bem.
No fundo, funciona como uma rede lançada ao mar. As mensagens são enviadas em massa, sem um alvo específico. Milhares de pessoas recebem exatamente o mesmo conteúdo. Para a maioria não fará qualquer sentido. Mas basta uma acreditar para o ataque compensar. E, como na pesca, basta um morder o anzol.
Estas mensagens exploram quase sempre emoções rápidas: urgência, medo, curiosidade ou ganância. “Tem uma encomenda pendente.” “A sua conta será suspensa.” “Foi selecionado para um prémio.” O texto muda. A mecânica mantém-se. O objetivo é sempre o mesmo: levar a vítima a agir antes de pensar.
Mas nem todos os ataques funcionam desta forma. Muitos criminosos recorrem ao spear phishing, uma abordagem muito mais personalizada e perigosa. Aqui já não falamos de um ataque lançado ao acaso. Falamos de um ataque cirúrgico.
Antes de agir, o atacante investiga a vítima. Analisa redes sociais, hábitos, rotinas, contactos, interesses e pequenos detalhes publicados online. Informação que, para muitos, parece irrelevante. Para o atacante, é inteligência operacional. E, na prática, quanto mais publicamos, mais nos expomos. Muitas vezes entregamos informação valiosa sem sequer percebermos que o estamos a fazer.
Depois dessa recolha surge a fase mais perigosa: a criação de uma mensagem altamente personalizada. Quando a vítima a recebe, tudo parece legítimo. O contexto faz sentido. O tom parece familiar. A história encaixa. E é precisamente por isso que estes ataques são tão eficazes: porque não exploram falhas técnicas. Exploram confiança, distração e comportamento humano.
Mas importa ter presente que o phishing já não vive apenas no e-mail. Adaptou-se às plataformas onde as pessoas estão mais distraídas, mais rápidas e emocionalmente mais disponíveis.
É aqui que entram o smishing e o vishing, realizados através de SMS ou chamadas telefónicas. A vítima recebe mensagens relacionadas com entregas, pagamentos, acessos bloqueados ou confirmações urgentes. Noutras situações, o atacante utiliza a voz como ferramenta de manipulação. Pode fingir ser um banco, suporte técnico, uma entidade pública ou até um familiar. O contexto cria uma sensação de proximidade e imediatismo. A vítima sente necessidade de responder rapidamente. E é precisamente aí que o atacante ganha vantagem.
Mas os perigos não ficam pelas versões mais clássicas deste tipo de ataque. Atualmente, uma das técnicas que mais cresce é o quishing: phishing escondido em QR codes.
À primeira vista parece algo completamente inofensivo. Estamos habituados a utilizar QR codes em restaurantes, estacionamentos ou aplicações. O problema é simples: quando digitalizamos um QR code, não conseguimos ver imediatamente para onde ele aponta. E é precisamente essa limitação que o atacante explora.
O esquema pode surgir em panfletos, cartazes, e-mails ou até autocolantes colocados sobre QR codes legítimos. Ao digitalizar o código, a vítima é encaminhada para websites maliciosos ou páginas falsas de autenticação. O quishing é simples, moderno e perigosamente eficaz porque o QR code transmite automaticamente uma sensação de legitimidade. E os atacantes sabem disso.
E estes são apenas alguns exemplos. O phishing continua a adaptar-se porque explora algo que nunca muda verdadeiramente: o comportamento humano.
Mas há uma ideia essencial que importa reter: o atacante nunca falsifica apenas um e-mail ou uma mensagem.
Falsifica confiança.
A tecnologia mudou profundamente os ataques digitais. Mas a lógica continua praticamente a mesma. O atacante não precisa necessariamente de atacar sistemas. Precisa apenas de convencer alguém a abrir a porta.
É por isso que os ataques mais eficazes continuam a depender menos da tecnologia e mais da nossa reação, pressa, distração ou confiança excessiva. Para cinco segundos contínua a ser uma medida proativa que se pode revelar eficaz.
Porque, no fundo, falar de phishing nunca foi apenas abordar um problema técnico.
É falar sobre comportamento humano.
Porque a primeira vulnerabilidade raramente é tecnológica. É humana.
Os textos nesta secção refletem a opinião pessoal dos autores. Não representam a VISÃO nem espelham o seu posicionamento editorial.