O phishing (contracção das palavras inglesas “fishing”, em português pesca, e “phreaking”, designando a pirataria de linhas telefónicas), é uma técnica fraudulenta utilizada pelos piratas informáticos para recuperar informações (geralmente bancárias) junto de usuários da Internet.
A técnica do phishing é uma técnica de “engenharia social”, o que quer dizer que consiste em explorar, não uma falha informática, mas “a falha humana”, enganando usuários da Internet por meio de um correio electrónico que parece vir de uma empresa de confiança, habitualmente um banco ou um site de comércio.
O mail enviado por estes piratas usurpa a identidade de uma empresa (banco, site de comércio electrónico, etc.) e convida-o a conectar-se em linha por meio de uma ligação hipertexto e actualizar as informações pessoais num formulário de uma página web falsa, cópia exacta do site original, com o pretexto, por exemplo, duma actualização do serviço, uma intervenção do apoio técnico, etc.
Na medida em que os endereços electrónicos são recolhidos aleatoriamente na Internet, a mensagem tem geralmente pouco sentido, dado que o usuário da Internet não é cliente do banco do qual o correio parece provir. Mas, no meio da quantidade das mensagens enviadas, pode acontecer que o destinatário seja realmente cliente do banco.
Assim, por meio do formulário, os piratas conseguem obter os identificadores e senhas dos usuários da Internet ou ainda dados pessoais ou bancários (número de cliente, número de conta bancária, etc.).
Graças a estes dados, os piratas são capazes de transferir directamente dinheiro para uma outra conta ou de obter ulteriormente os dados necessários, utilizando de forma inteligente os dados pessoais assim recolhidos.
Quando recebe uma mensagem que provem de um estabelecimento bancário ou de um site de comércio electrónico, é necessário pensar nas perguntas seguintes:
Além disso é aconselhável seguir os seguintes conselhos: