Phishing é uma técnica de roubo de dados, muito utilizada por diversos crackers (também chamados como phishers), baseada na engenharia social , com o objetivo de manipular o usuário para que ele entre com seus dados pessoais em uma página ou aplicativos falsos. Este método consiste em manipular o usuário que desconhece sobre a segurança na internet, fazendo-o agir da forma desejada pelo phisher.

Ataques podem ocorrer através de E-mails, sites falsos, cavalos de tróia, etc. Assim, a invasão ocorre de maneira indireta, pois o usuário é induzido pelo cracker a acessar o meio de invasão. Diferente do método Brute Force, onde o cracker usa o método de tentativas para invadir um computador ou descobrir senhas.

Link sobre engenharia social
:

https://www.tecmundo.com.br/seguranca/8445-engenharia-social-o-malware-mais-antigo-do-mundo.htm

PDF sobre o enquadramento jurídico do phishing:

http://repositorio.ual.pt/handle/11144/301

Artigo sobre Brute Force:

https://www.profissionaisti.com.br/2011/11/o-que-e-brute-force-nada-alem-de-forca-bruta/

Por ser um meio de roubo de informação online, empresas procuram desenvolver sistemas que evitem ataques e que protejam os dados dos usuários.Atualmente, diversas empresas já elaboraram sistemas Anti-phishing para evitar que usuários se tornem vítimas de furto de dados sempre atualizando-os, como a cada dia surgem novos tipos de invasão.

O profissional de Sistemas de informação que trabalhar na área de segurança de uma empresa tem o objetivo de controlar o fluxo de dados entre as máquinas da mesma e o destino destas, evitando que se percam ou sejam roubadas.

Existem classificações em relação ao tipo de ataque do phisher:

Spear phishing:

Ocorre quando o ataque é direcionado a uma instituição ou a um indivíduo específico, com o objetivo de aumentar as chances de sucesso de sequestro de dados.

Clone phising:

Ocorre pela tentativa de direcionar a vítima para um site clonado de uma empresa ou rede social, ao qual a vítima precisa inserir dados de uma conta, cartão de crédito ou qualquer outra informação pessoal.

Whaling:

É o ataque direcionado a “peixes grandes”, ou seja, grandes empresas ou pessoas com grande visibilidade na mídia, como atrizes, empresários, etc. Neste caso os ataques utilizam questões empresariais para a engenharia social. Em empresas é muito comum funcionários se tornarem vítimas que publicaram certas informações sigilosas de certo produto.

Meios de Invasão:

Ataque a Servidores DNS:

O ataque é baseado na técnica de envenenamento do cache DNS (do inglês DNS cache poisoning), que tem o objetivo de corromper o Sistema de Nomes de Domínio (DNS), direcionando a URL para um servidor diferente. Assim, o servidor permite que sejam roubados dados que seriam direcionados ao IP original.

URLs Falsas:

O Phisher utiliza URLs que têm a intenção de copiar o endereço do URL original, procurando confundir o usuário desavisado.Normalmente são identificados por URLs muito longos (como"secure.nomedoseubanco.com.br/internetbanking/eud=651656JFYDHJJUHGRedirectto:maisalgumacoisa.dominiofalso.com").

Formulários HTML Falsos em E-mails:

O ataque ocorre com um formulário que é enviado via e-mail, simulando uma entidade que utiliza o meio virtual para acesso (normalmente bancos que têm interface de usuário no site online).

Bases de procura: Artigos, publicações acadêmicas, revistas e sites de fornecedores

https://pt.wikipedia.org/wiki/Phishing;

https://www.significados.com.br/phishing/

http://www.techtudo.com.br/artigos/noticia/2012/01/o-que-e-phishing-e-malware.html