A prevenção ao phishing tornou-se essencial à medida que mais criminosos recorrem a golpes online para roubar suas informações pessoais. Aprendemos a evitar e-mails de spam, mas e-mails de phishing ainda podem parecer muito reais. Alguns são até personalizados para você.
Como qualquer pessoa pode ser exposta a um ataque de phishing em algum momento, precisa saber quais são os sinais de alerta. Afinal, golpes não são novidade na internet, mas o phishing é mais difícil de detectar do que se imagina.
Em toda a web, esses ataques têm atraído vítimas desavisadas para entregar informações bancárias, identidades e diversas outras informações pessoais. Além disso, os cibercriminosos estão se tornando ainda mais astutos com seus disfarces. Só de clicar em um simples link, você pode ser a próxima vítima do golpista.
Ao longo do artigo apresentaremos algumas maneiras de evitar esse tipo de ataque online e como você pode proteger seus dispositivos.
Phishing é um tipo de ciberataque que persuade as pessoas a tomar uma ação que dá a um golpista acesso ao seu dispositivo, contas ou informações pessoais. Ao se passar por uma pessoa ou organização em quem você confia, é mais fácil infectar seu dispositivo com malware ou roubar suas informações de cartão de crédito.
Em outras palavras, esses esquemas de engenharia social "atraem" sua confiança para obter informações valiosas. Isso pode acontecer em diversos formatos, desde um login de rede social até toda a sua identidade por meio do seu número de identidade.
Esses esquemas podem te incentivar a abrir um anexo, acessar um link, preencher um formulário e responder com informações pessoais. Por essa lógica, você deve estar sempre em alerta, o que pode ser exaustivo.
O cenário mais comum é o seguinte:
Essas ameaças podem se tornar muito elaboradas e aparecer em todos os tipos de comunicação, até mesmo em ligações telefônicas. O perigo do phishing é que ele pode enganar qualquer pessoa que não seja cética em relação a detalhes.
Para ajudar você a se proteger, vamos analisar como funcionam os ataques de phishing.
Geralmente, golpes de phishing tentam:
Às vezes, essas ameaças não param apenas em você. Se um invasor entrar no seu e-mail, na lista de contatos ou nas redes sociais, ele pode enviar spam para pessoas que você conhece com mensagens de phishing que supostamente vêm de você.
A confiança e a urgência são o que torna o phishing tão enganador e perigoso. Se o criminoso consegue te convencer a confiar nele e agir sem pensar, você se torna um alvo fácil.
Qualquer pessoa que use a internet ou telefones pode ser alvo de golpistas de phishing. Esse ciberataque pode afetar qualquer pessoa de qualquer idade, seja na vida pessoal ou no ambiente de trabalho.
Se um golpista conseguir encontrar suas informações de contato publicamente, ele pode adicioná-las à sua lista de alvos de phishing.
Seu telefone, endereço de e-mail, IDs de mensagens online e contas de rede social estão mais difíceis de esconder nos dias de hoje. Há uma boa chance de que ter um desses contatos faça de você um alvo.
Além disso, os ataques de phishing podem ser amplos ou bastante direcionados. Vamos ver no detalhe como cada um deles funciona:
Phishing de spam é uma rede ampla lançada para pegar qualquer pessoa desavisada. A maioria dos ataques de phishing se enquadra nessa categoria.
Para explicar, spam é o equivalente eletrônico da "correspondência-lixo" que chega na sua porta ou na sua caixa de correio. No entanto, o spam não é apenas incômodo. Ele pode ser perigoso, principalmente se fizer parte de um golpe de phishing.
Mensagens de phishing são enviadas em grande quantidade por spammers e cibercriminosos que buscam fazer uma ou mais das seguintes ações:
O phishing por e-mail é um dos meios mais populares de obter suas informações. No entanto, alguns ataques são mais direcionados do que outros.
Ataques de phishing direcionados geralmente se referem ao phishing direcionado ou sua variante mais comum, whaling (caça a baleias, em tradução livre).
Whaling visa alvos de alto nível, enquanto phishing direcionado amplia a rede. Os alvos geralmente são funcionários de empresas específicas ou organizações governamentais. No entanto, esses golpes podem ser facilmente direcionados a qualquer pessoa considerada valiosa ou vulnerável.
Você pode ser alvo como cliente de um banco específico ou como funcionário de uma instituição de saúde. Mesmo que esteja apenas respondendo a um pedido estranho de amizade nas redes sociais, você pode estar sendo vítima de phishing.
Os golpistas são muito mais pacientes com esses esquemas. Esses golpes personalizados levam tempo para serem elaborados, seja para uma recompensa ou para aumentar as chances de sucesso.
Construir esses ataques pode envolver a coleta de dados sobre você ou uma organização com a qual esteja envolvido.
Os phishers podem obter essas informações de:
Avançar para um ataque real pode ser rápido, com uma tentativa imediata de encorajá-lo a agir. Outros podem construir uma conexão com você por meses para ganhar sua confiança antes do grande "pedido".
Esses ataques não se limitam a mensagens diretas ou chamadas — sites legítimos podem ser invadidos diretamente para o benefício de um golpista. Se não tomar cuidado, você pode ser vítima de phishing ao fazer login em um site que normalmente é seguro.
O primeiro obstáculo é saber o que esperar do phishing. Ele pode acontecer de todas as maneiras, incluindo ligações, mensagens de texto e até mesmo em URLs tomadas de sites legítimos.
Phishing é muito mais fácil de entender depois que você o viu em ação. Você provavelmente já viu alguns desses golpes e os descartou, considerando-os spam.
Seja qual for o direcionamento, esses ataques tomam muitos caminhos para chegar até você; a maioria das pessoas pelo menos uma dessas formas de phishing:
Em outros casos, sites legítimos podem ser manipulados ou imitados por meio de:
Até mesmo a sua conexão de internet atual pode ser comprometida por ataques de gêmeo maligno imitam redes wi-fi públicas oficiais em locais como cafeterias e aeroportos. Isso é feito na tentativa de fazer com que você se conecte e para ver todas as suas atividades online.
Por fim, aqui estão mais alguns tipos de phishing para você conhecer:
A lista de tipos de ataques de phishing é extensa e está em constante expansão. Estes são alguns dos mais comuns atualmente, mas você pode ver novos em poucos meses.
Como esses golpes mudam rapidamente para se adequar aos eventos atuais, eles têm sido difíceis de detectar. Mas existem maneiras de se manter mais seguro; estar ciente das fraudes mais recentes é uma maneira fácil de começar.
Embora seja impraticável listar todos os golpes de phishing conhecidos aqui, existem alguns mais comuns para se atentar:
Os golpes de phishing do ataque cibernético do Irã usam um e-mail ilegítimo da Microsoft, solicitando um login para restaurar seus dados na tentativa de roubar suas credenciais da Microsoft. Os golpistas usam seu medo de ser bloqueado no Windows e a relevância de uma notícia atual para torná-lo crível.
Alertas de exclusão do Office 365 são mais um golpe relacionado à Microsoft usado para obter suas credenciais. Este e-mail de golpe afirma que um grande volume de arquivos foi excluído da sua conta. Eles fornecem um link para você fazer login, o que resulta, é claro, na comprometimento de sua conta.
Aviso de banco. Este golpe te engana com uma notificação falsa de conta. Esses e-mails normalmente fornecem um link conveniente que leva a um formulário da web, solicitando seus dados bancários "para fins de verificação". Não informe nenhum dado. Em vez disso, ligue para seu banco, pois eles podem querer tomar medidas em relação ao e-mail malicioso.
E-mail de um "amigo". Este golpe se apresenta na forma de um amigo conhecido que está em outro país e precisa da sua ajuda. Essa "ajuda" costuma envolver enviar dinheiro. Então, antes de enviar dinheiro para seu "amigo", ligue para ele e veja se é verdade ou não.
E-mail de ganhador de concurso/herança. Se você ganhou algo inesperado ou recebeu uma herança de um parente do qual nunca ouviu falar, não fique muito animado. Na maioria das vezes, esses e-mails são golpes que exigem que você clique em um link para dar informações para o envio de prêmios ou para a "confirmação" da herança.
Reembolso/restituição de impostos. Este é um golpe de phishing popular, já que muitas pessoas têm impostos anuais a pagar. Essas mensagens de phishing normalmente dizem que você é elegível para receber um reembolso de impostos ou que foi selecionado para ser auditado. Em seguida, o golpe solicita que você envie um pedido de reembolso ou formulário do imposto pedindo seus dados completos, os quais os golpistas usam para roubar dinheiro e/ou vender dados.
Os golpes de phishing do Coronavírus/COVID-19 foram um dos mais recentes a usar o medo para roubo cibernético de dados. Um dos mais notáveis é o cavalo de Troia bancário Ginp, o qual infectava um dispositivo e abria uma página da web com uma oferta de "localizador de Coronavírus". Ele atraia as pessoas a pagar para saber quem está infectado nas proximidades. Este golpe terminava com criminosos fugindo com seus dados do cartão de crédito.
Também houve casos de golpistas se passando por órgãos governamentais importantes e até mesmo pela Organização Mundial da Saúde (OMS). Esse golpe envolveu golpistas entrando em contato diretamente com os usuários, geralmente por e-mail, solicitando dados bancários ou pedindo para clicar em um link na tentativa de infectar seu computador com malware e roubar dados privados.
Esses e-mails e mensagens podem parecer oficiais, mas se você investigar o URL do link — passando o mouse sobre o link, mas não clicando nele — ou o endereço de e-mail, pode haver sinais reveladores de que eles não são autênticos ou confiáveis (como e-mails da OMS ou do governo vindos de uma conta Gmail etc.).
Não caia nesses golpes. Essas organizações nunca pedirão detalhes pessoais sensíveis ou informações bancárias privadas. E as chances de pedirem para você baixar um aplicativo ou software em seu computador também são muito baixas.
Portanto, se ainda hoje você receber um e-mail ou mensagem assim, especialmente sem aviso prévio, não clique nos links e não forneça suas informações ou dados bancários. Verifique com as autoridades competentes ou seu banco se estiver inseguro; use apenas sites e fontes confiáveis.
Se você receber um desses e-mails, isto é o que você deve fazer:
1. Verifique o remetente no endereço de e-mail — endereços de remetentes da OMS (WHO em inglês) usam o padrão pessoa@who.int. A entidade não utiliza Gmail nem outros servidores semelhantes.
2. Verifique o link antes de clicar — ele deve iniciar com https:// e não http://.
3. Tenha cuidado ao fornecer informações pessoais; nunca dê suas credenciais a terceiros.
4. Não se apresse nem reaja em pânico — os golpistas usam isso para pressioná-lo a clicar em links ou abrir anexos.
5. Se você forneceu informações sensíveis, não entre em pânico — redefina suas credenciais nos sites em que as utilizou. Altere suas senhas e entre em contato imediatamente com seu banco.
6. Denuncie todas as fraudes.
Os e-mails de phishing, em particular, são repletos de características semelhantes que um olhar treinado deve ser capaz de identificar. No entanto, nem sempre é fácil identificá-los à primeira vista, então vamos desvendar esses sinais de alerta.
Identificar um e-mail de phishing se resume a apontar qualquer coisa inconsistente ou incomum.
Às vezes, é difícil reconhecer o que é uma mensagem autêntica e o que é uma tentativa de phishing. Primeiro, você precisa ser cauteloso antes de abrir qualquer link, anexo ou enviar uma resposta.
Aqui está um exemplo de como você deve reagir se receber um e-mail suspeito:
Agora você precisa saber exatamente o que procurar em um e-mail de phishing para tomar uma decisão.
Um dos motivos pelos quais os e-mails de phishing são tão perversos — e, infelizmente, muitas vezes bem-sucedidos — é que eles são criados para parecerem legítimos. Em geral, as seguintes características são comuns entre os e-mails de phishing e devem servir como alerta:
· Anexos ou links
· Erros de ortografia
· Erros de gramática
· Imagens pouco profissionais
· Urgência desnecessária de confirmação imediata de seu endereço de e-mail ou outras informações pessoais
· Saudações genéricas como "Caro cliente" em vez do seu nome.
Os invasores geralmente criam os sites de phishing na pressa, então alguns deles são muito diferentes dos originais. Você pode usar essas características para identificar um e-mail malicioso na sua caixa de entrada.
No entanto, nem sempre é claro o que se deve fazer quando você recebe um e-mail de phishing que escapou da sua pasta de spam.
O segredo é ficar atento para identificar esses tipos de e-mails. Se você se deparar com um e-mail desse na sua caixa de entrada (que não tenha sido automaticamente filtrado como spam), utilize essas estratégias para evitar se tornar uma vítima de um ataque de phishing:
Lembre-se de que a melhor maneira de lidar com um e-mail de phishing é bloqueá-lo ou excluí-lo imediatamente. O fato de realizar ações adicionais para limitar sua exposição a esses ataques é um bônus.
Além de identificar o e-mail e removê-lo, você pode se proteger com algumas dicas extras.
Independentemente de gostarmos ou esperarmos por isso, seremos alvos desses e-mails de phishing todos os dias.
A maioria desses emails é filtrada automaticamente pelos nossos provedores de email e, em sua maior parte, os usuários têm se saído bem em identificar esses tipos de e-mails e não atendem às suas solicitações.
Mas você já viu o quão enganoso pode ser o phishing. Você também sabe que os ataques de phishing se estendem a todos os tipos de comunicação e de navegação na internet, não apenas e-mails.
Seguindo algumas dicas simples de prevenção de phishing, você pode reduzir bastante suas chances de se tornar vítima de um golpista.
A proteção na internet começa com sua mentalidade e comportamento em relação às possíveis ameaças cibernéticas.
O phishing engana as vítimas para que forneçam credenciais de todos os tipos de contas sigilosas, como e-mail, intranet corporativa etc.
Às vezes, até mesmo usuários cuidadosos não conseguem detectar um ataque de phishing. Esses ataques têm se tornado cada vez mais sofisticados, e os invasores adaptam seus golpes e mandam mensagens bastante convincentes, as quais podem facilmente enganar as pessoas.
Aqui estão algumas medidas básicas para sempre tomar com seus e-mails e com outras comunicações:
1. Use o bom senso antes de fornecer informações sensíveis. Ao receber um alerta do banco ou de outra grande instituição, nunca clique no link do e-mail. Em vez disso, abra a janela do navegador e digite o endereço diretamente no campo de URL para verificar se o site é verdadeiro.
2. Nunca confie em mensagens alarmantes. A maioria das empresas respeitáveis não solicitará informações de identificação pessoal ou detalhes da conta por e-mail. Isso inclui seu banco, seguradoras e qualquer empresa com a qual você faz negócios. Se você receber um e-mail pedindo algum tipo de informação de conta, exclua-o imediatamente e ligue para a empresa para confirmar se sua conta está OK.
3. Não abra anexos desses e-mails suspeitos ou estranhos, principalmente anexos em Word, Excel, PowerPoint ou PDF.
4. Não clique em links incorporados em e-mails a todo momento, pois eles podem conter malware. Seja cauteloso ao receber mensagens de fornecedores ou terceiros; nunca clique em URLs incorporados na mensagem original. Em vez disso, acesse o site diretamente digitando o endereço URL correto para verificar o pedido e consulte as políticas e procedimentos de contato para solicitação de informações do fornecedor.
5. Mantenha seu software e sistema operacional atualizados. Os produtos do sistema operacional Windows são frequentemente alvos de phishing e de outros ataques maliciosos, portanto, certifique-se de que está seguro e atualizado. Isso é ainda mais importante para quem ainda usa versões anteriores ao Windows 10.
Aqui estão mais dicas úteis da equipe de especialistas em segurança na Internet da Kaspersky para ajudar a reduzir a quantidade de e-mails de spam que você recebe:
Deve ser usado somente para sua correspondência pessoal. Como os remetentes de spam criam listas de possíveis endereços de e-mail com combinações de nomes, palavras e números óbvios, tente criar endereços difíceis de adivinhar. Seu endereço particular não deve ser simplesmente seu nome e sobrenome. Para proteger seu endereço, faça o seguinte:
· Nunca publique seu endereço de e-mail particular em recursos online publicamente acessíveis.
· Se precisar publicar seu endereço de e-mail particular eletronicamente, disfarce-o para evitar que seja coletado por remetentes de spam. Por exemplo, "joao.silva@yahoo.com" é um endereço fácil de encontrar. Em vez disso, escreva-o como ‘joao-ponto-silva-arroba-yahoo.com".
· Se um remetente de spam descobrir seu endereço particular, você deverá alterá-lo. Embora isso possa ser inconveniente, mudar seu endereço de e-mail ajudará a evitar spam e golpistas.
Use esse endereço quando precisar se inscrever em fóruns públicos e em salas de bate-papo ou em listas de mala direta e outros serviços da Internet. As dicas a seguir também o ajudarão a reduzir o volume de spam que você recebe em seu endereço de e-mail público:
· Trate seu endereço público como um endereço temporário. Há uma grande chance de os remetentes de spam conseguirem seu endereço público com rapidez, principalmente se ele for usado com frequência na Internet.
· Não tenha medo de alterar seu endereço de e-mail público com frequência.
· Use alguns endereços públicos diferentes. Assim, você pode conseguir rastrear quais serviços estão vendendo seu endereço para remetentes de spam.
A maioria dos remetentes de spam confirma o recebimento e registra as respostas. Quanto mais você responder, mais spams receberá.
Os spammers enviam e-mails falsos de cancelamento de inscrição na tentativa de coletar endereços de e-mail ativos. Se você clicar em "cancelar a assinatura" em uma dessas mensagens, o número de spams que você recebe deverá aumentar. Não clique em links de "cancelar a assinatura" em e-mails que vêm de fontes desconhecidas.
Use a versão mais recente de seu navegador da Web e aplique as correções de segurança de Internet mais atualizadas.
Utilize contas de e-mail somente de provedores que utilizam um filtro de spam. Escolha uma solução antivírus e de segurança de Internet que também oferece recursos antispam avançados.
Uma das formas mais simples de proteção contra um esquema de phishing é instalar e utilizar em seu computador um software de segurança de Internet adequado. Isso é essencial para qualquer usuário, pois oferece diversas camadas de proteção em um pacote simples de gerenciar.
Para a proteção mais confiável, seu plano de segurança deve incluir o seguinte:
O software contra spam foi projetado para protegê-lo contra phishing e lixo eletrônico em sua conta de e-mail. Além de trabalhar com listas negras predefinidas, criadas por pesquisadores de segurança, o software contra spam tem recursos de inteligência que aprendem com o tempo quais itens são lixo e quais não são. Portanto, embora você ainda precise ter cuidado, é mais tranquilo saber que o software também está filtrando possíveis problemas. Use proteção antiphishing e software contra spam para se proteger quando mensagens maliciosas passarem para o seu computador.
Também há um antimalware, o qual bloqueia outros tipos de ameaças. Semelhante ao software contra spam, o antimalware é programado por pesquisadores de segurança para identificar até mesmo o malware mais discreto. Com atualizações contínuas dos fornecedores, o software continua se tornando mais inteligente e mais capaz de lidar com as ameaças mais recentes. Ao usar um pacote antimalware gratuito, você pode se proteger contra vírus, cavalos de Troia, worms etc.
Com a associação do firewall, software contra spam e antimalware em um único pacote, você tem alternativas extras que evitam que o computador seja comprometido caso você clique acidentalmente em um link perigoso. Eles são uma ferramenta vital para se ter instalada em todos os seus computadores, pois são projetados para complementar o uso de bom senso.
Embora a tecnologia seja um campo em constante evolução, ao utilizar um pacote de segurança de um fornecedor de segurança confiável, você pode proteger seus dispositivos contra phishing e outras ameaças de malware.
Além de ter um software de proteção contra vírus no seu computador, é fundamental usar um gerenciador de senhas para administrar suas credenciais online.
Hoje em dia, é vital ter senhas diferentes para todos os sites. Se ocorrer uma violação de dados, atacantes maliciosos tentarão usar as credenciais descobertas em toda a Web.
Um dos melhores recursos dos gerenciadores de senhas é o preenchimento automático de formulários de login para minimizar os cliques. Além disso, muitos gerenciadores de senhas oferecem versões portáteis que podem ser salvas em um pen drive e levadas para onde você quiser.
Embora o phishing possa ser uma área difícil de lidar às vezes, seguindo as dicas simples e conselhos delineados neste artigo (e adotando as ferramentas apropriadas de prevenção de phishing) — você pode minimizar bastante o risco de se tornar vítima de golpistas digitais.
Se você precisa de um pacote completo de segurança na internet, experimente o Kaspersky Premium.