O phishing constitui uma ameaça para a segurança da informação dos utilizadores e das empresas que estabelecem a sua actividade via comércio electrónico.
O phishing é ''uma forma de roubo de identidade em linha que utiliza mensagens de correio electrónico, enganosas, concebidas por forma a conduzir os seus destinatários a sítios fraudulentos, os quais tentam enganá-los e, assim, obter informação financeira privada como, por exemplo, números de cartões de crédito, nomes e palavras passe de acesso a contas bancárias''.
Embora seja mais frequente o ataque a instituições financeiras estrangeiras, não se pode dizer que não acontece ao nível nacional, tal é relatado por uma instituição financeira nacional, que dá nota do acontecimento do seguinte modo: ''(...) Foi o que aconteceu no início do mês de Outubro, em que vários Clientes receberam mensagens de correio electrónico contendo um texto convidando a clicar num link (atalho) de forma a confirmarem os códigos de acesso. Esse link dava acesso a uma página idêntica à do portal (...), mas falsa, onde existiam campos para inscrever os códigos de acesso ao sistema. ”.
Trata-se, sem dúvida, de uma das maiores ameaças actuais ao desenvolvimento do comércio electrónico e, tal como para outros aspectos relativos à segurança das redes e dos sistemas de informação, é de toda a conveniência que os utilizadores desenvolvam uma “cultura de segurança”, designadamente estando a par das suas características e informando-se de como devem proceder, preferencialmente, na sua detecção e, eventualmente, na limitação de possíveis danos.
O Anti-Phishing Working Group (APWG), cujo sítio, acessível em http://www.antiphishing.org, é uma fonte de informação de referência nesta matéria, consiste numa associação de indústria cujo objectivo é eliminar o roubo de identidade e a fraude resultantes do crescente desenvolvimento do phishing e do email spoofing1. Esta organização dedica-se à discussão de assuntos relativos ao phishing e à avaliação e teste de possíveis soluções tecnológicas, para além de que mantém um arquivo centralizado de ataques de phishing.
Entre outras actividades, o grupo publica, periodicamente, um relatório em que analisa as tendências da actividade de phishing com uma síntese da informação relevante, nomeadamente http ports mais utilizados, número de sítios activos, número de marcas e sectores de indústria mais afectados, localização geográfica dos sítios e exemplos.
O último relatório foi publicado em Dezembro de 2004 e dele se destacam os seguintes dados:
1. Número de sítios de phishing activos
(Clique na imagem para ver o gráfico numa nova janela)
2. Sectores de indústria mais afectados
(Clique na imagem para ver o gráfico numa nova janela)
Para além desta informação, o sítio do Anti-Phishing Working Group também fornece outros elementos de interesse para o consumidor sobre, por exemplo:
- como evitar esquemas de phishing; e
- o que fazer caso tenha fornecido informação financeira privada.
Outras possíveis fontes de informação são as instituições de crédito, dado que muitas já fornecem informação e recomendações sobre segurança, assim como o sítio do Serviço de Resposta a Incidentes de Segurança Informática, acessível em http://www.cert.pt, onde será possível encontrar informação diversa sobre este e outros assuntos.
1 Spoofing. Do termo spoof, algo que imita o remetente de uma mensagem ou simula uma página web de forma a ter acesso a informação. O spoofing aplica-se também à utilização de endereços de email de outras pessoas para simular um remetente conhecido e aumentar a confiança na abertura das mensagens. (Fonte: ABC da tecnologiahttp://www.abc-tecnologia.com.pt/)
Mais informação:
- Anti-Phishing Working Group http://www.antiphishing.org/
- CERT http://www.cert.pt
Informação relacionada no sítio da ANACOM:
- Sociedade da informação https://www.anacom.pt/render.jsp?categoryId=90900
