O desafio para erradicar o phishing

Luís Alberto Folador, 63 anos, não gosta nada de lembrar da situação que enfrentou recentemente. "Só passando por isso para entender o dano, não só financeiro, mas também emocional", diz. Ele não está se referindo a um assalto propriamente dito, mas ao phishing, o golpe via internet que usa e-mails falsos para roubar dados pessoais de suas vítimas. Folador, que trabalha como corretor de imóveis, confessa que tinha pouca experiência com a internet e conta que começou a usar um computador em 2004. Há poucos meses, ele recebeu uma mensagem eletrônica alertando-o sobre uma suposta pendência perante a Receita Federal. Assustado, o vendedor clicou no link que o levou a uma página falsificada, que imitava o website do Fisco.

A partir daí, o estrago já estava feito. Ao entrar nesses sites falsos, o usuário instala – sem perceber – códigos maliciosos que ficam varrendo o PC em busca de informações como senhas bancárias, CPFs, RGs, entre outros. O problema de Folador foi ainda maior porque o corretor preencheu campos com seus dados, pensando que estava apenas confirmando sua identidade para a Receita.

As falhas de segurança no campo da informática podem ser resolvidas (ou remendadas), mas o phishing se vale da credulidade dos internautas mais desavisados. As maneiras de arquitetar a armadilha variam bastante, indo desde os avisos sobre falsas dívidas e propagandas de promoções "imperdíveis" até o oferecimento de fotos que comprovariam uma suposta traição conjugal.

Marcas muito utilizadas em phishing como eBay, PayPal e as de grandes bancos investem em grandes campanhas educacionais sobre os perigos do golpe. O problema é que alguns usuários sempre vão ignorar tais avisos, diz David Jevans, diretor do Anti-Phishing Working Group, um consórcio de companhias que luta contra a prática.

O porcentual de vítimas que cai no phishing é hoje ínfimo, mas somados os golpes se mostram muito lucrativos para os fraudadores, como mostra um estudo realizado por Richard Clayton e Tyler Moore, da Universidade de Cambridge. A pesquisa (tinurl.com/2e6w9j) constatou que sites de phishing atraem 30 usuários por dia, em média, antes de serem desativados. A maioria desses sites é removida em 48 horas. "Eles só pegam de 10 a 20 pessoas", diz Michael Barret, do PayPal. "Mas se você pensar na base de US$ 200 por consumidor, o vilão conseguiu US$ 4 mil sem trabalho algum."

Técnicas anti-phishing incluem navegadores que alertam os usuários sobre páginas suspeitas, descobertas a partir de uma lista negra online de sites de phishing já conhecidos. No entanto, a eficiência desses alertas é limitada. "O phishing funciona tanto porque os usuários ignoram os indicadores de segurança, e quando prestam atenção neles, nem sempre entendem o que significam," adverte Rachna Dhamija, membro do pós-doutorado do centro para pesquisa em computação e sociedade da Universidade Harvard.

Um estudo feito em 2006 por Dhamija (tinyurl.com/k5jau) mostrou que praticamente um em cada quatro usuários ignora alertas de segurança em navegadores. E um estudo seguinte (tinyurl.com/2d42gd) verificou que as pessoas ignoram todos os tipos de pistas que indicam que determinado site não é exatamente o site do seu banco – até o cadeado no canto direito da tela e as imagens de segurança do próprio banco são ignoradas. Se, por outro lado, o internauta encontrar tais imagens (que podem ser facilmente copiadas ou transmitidas), ele continuará ignorando avisos diretos de segurança do navegador para não utilizar aquela página.