Há muitos peixes no mar.
Milhões de e-mails falsos de phishing chegam a milhões de caixas de entrada todos os dias com um único objetivo em mente: enganar o destinatário. Sejam eles para invadir sua conta bancária, roubar informações pessoais ou ambos, você pode aprender a identificar e-mails de phishing e manter-se seguro.
E alguns dos e-mails de phishing atuais estão de fato ficando mais difíceis de serem detectados.
Eles parecem vir de empresas que você conhece e confia, como seu banco, sua empresa de cartão de crédito ou serviços como Netflix, PayPal e Amazon. E alguns deles parecem convincentes. A redação e o layout são nítidos, e a apresentação geral parece profissional. Mesmo assim, ainda há algo de estranho neles.
E certamente há algo errado com esse e-mail. Ele foi escrito por um golpista. Os e-mails de phishing empregam uma tática de isca e anzol, em que uma mensagem urgente ou atraente é a isca e o malware ou um link para uma página de login falsa é o anzol.
Quando o anzol é lançado, várias coisas podem acontecer. Essa página de login falsa pode roubar informações pessoais e da conta. Ou esse malware pode instalar um software de keylogging que rouba informações, vírus que abrem uma porta dos fundos por meio da qual os dados podem ser sequestrados ou ransomware que mantém um dispositivo e seus dados como reféns até que uma taxa seja paga.
Novamente, você pode evitar esses ataques se souber como identificá-los. Há sinais.
Vamos ver como esses ataques são prolíficos, analisar alguns exemplos e, em seguida, detalhar o que você deve procurar.
Estatísticas de ataques de phishing – os milhões de tentativas feitas a cada ano.
Somente nos Estados Unidos, mais de 300.000 vítimas relataram um ataque de phishing ao FBI em 2022. Os ataques de phishing encabeçaram a lista de reclamações relatadas, cerca de seis vezes mais do que o segundo maior ofensor, as violações de dados pessoais. O número real é, sem dúvida, maior, já que nem todos os ataques são relatados.
Analisando os ataques de phishing em todo o mundo, um estudo sugere que mais de 255 milhões de tentativas de phishing foram feitas somente no segundo semestre de 2022. Isso representa um aumento de 61% em relação ao ano anterior. Outro estudo concluiu que um em cada 99 e-mails enviados continha um ataque de phishing.
No entanto, os golpistas nem sempre lançam uma rede tão ampla. As estatísticas apontam para um aumento no spear phishing direcionado, em que o invasor vai atrás de uma pessoa específica. Eles geralmente têm como alvo pessoas em empresas que têm autoridade para transferir fundos ou fazer pagamentos. Outros alvos incluem pessoas que têm acesso a informações confidenciais, como senhas, dados proprietários e informações de contas.
Dessa forma, o preço desses ataques pode ser caro. Em 2022, o FBI recebeu 21.832 reclamações de empresas que disseram ter sido vítimas de um ataque de spear phishing. As perdas ajustadas foram superiores a US$ 2,7 bilhões, com um custo médio de US$ 123.671 por ataque.
Portanto, embora as estatísticas exatas de ataques de phishing permaneçam um tanto vagas, não há dúvida de que os ataques de phishing são prolíficos. E caros.
Qual é a aparência de um ataque de phishing?
Quase todos os ataques de phishing enviam uma mensagem urgente. Projetada para fazer com que você aja. Alguns exemplos …
- “Você ganhou o nosso sorteio de prêmios em dinheiro! Envie-nos suas informações bancárias para que possamos depositar seu prêmio!”
- “Você deve impostos atrasados. Envie o pagamento imediatamente usando este link ou tomaremos medidas legais.”
- “Identificamos uma atividade incomum em seu cartão de crédito. Siga este link para confirmar as informações de sua conta.”
- “Houve uma tentativa não autorizada de acessar sua conta de streaming. Clique aqui para verificar sua identidade.”
- “Seu pacote não foi entregue. Clique no documento anexo para fornecer instruções de entrega.”
Quando inseridos em um design agradável e combinados com alguns logotipos de aparência oficial, é fácil ver por que muitas pessoas clicam no link ou no anexo que vem com mensagens como essas.
E esse é o aspecto complicado dos ataques de phishing. Os golpistas ficaram mais sofisticados nos últimos anos. Seus e-mails de phishing podem parecer convincentes. Não faz muito tempo, você podia apontar erros de ortografia, gramática ruim, design deficiente e logotipos que pareciam esticados ou que usavam as cores erradas. Ataques de phishing mal executados, como esse, ainda são divulgados no mundo. No entanto, é cada vez mais comum ver ataques muito mais sofisticados atualmente. Ataques que parecem uma mensagem ou aviso genuíno.
Caso em questão: 
Digamos que você tenha recebido um e-mail informando que sua conta do PayPal teve um problema. Você digitaria as informações da sua conta aqui se estivesse nesta página? Nesse caso, você teria fornecido suas informações a um golpista.
Tiramos a captura de tela acima como parte do acompanhamento de um ataque de phishing até o fim, sem inserir nenhuma informação legítima, é claro. Na verdade, inserimos um endereço de e-mail e uma senha inválidos e, mesmo assim, ele nos permitiu entrar. Isso porque os golpistas estavam atrás de outras informações, como você verá em breve.
À medida que nos aprofundamos no site, ele parecia bastante adequado. O design espelhava o estilo do PayPal, e os links do rodapé pareciam suficientemente legítimos. No entanto, depois, olhamos com mais atenção. 
Observe os erros sutis, como “informacões do cartão” e “Configuração da minha atividades”. Embora as empresas cometam erros gramaticais ocasionalmente, identificá-los em uma interface deve ser um grande sinal de alerta. Além disso, o site solicita informações de cartão de crédito logo no início do processo. Muito suspeito.
Foi aqui que os atacantes realmente se tornaram ousados. 
Eles solicitam “informações” bancárias”, que incluem números de conta, mas também a senha da conta. Como dissemos, ousado. E totalmente falso.
Em conjunto, os erros sutis e a busca descarada por informações exatas sobre a conta indicam claramente que se trata de um golpe.
Mas vamos examinar os fatos anteriores. Quem enviou o e-mail de phishing que nos direcionou para esse site malicioso? Nada menos que “paypal at inc dot-com”. 
Claramente, esse é um e-mail falso. E típico de um ataque de phishing em que um invasor coloca um nome conhecido em um endereço de e-mail não associado, neste caso “inc dot-com”. Os invasores também podem criar endereços falsos que imitam endereços oficiais, como “paypalcustsv dot-com”. Qualquer coisa para enganar você.
Da mesma forma, o site malicioso para o qual o e-mail de phishing nos enviou também usava um endereço falsificado. Ele não tinha nenhuma associação oficial com o PayPal, o que é uma prova positiva de um ataque de phishing.
Observe que as empresas só enviam e-mails de seus nomes de domínio oficiais, assim como seus sites só usam seus nomes de domínio oficiais. Várias empresas e organizações listarão esses domínios oficiais em seus sites para ajudar a conter ataques de phishing.
Por exemplo, o PayPal tem uma página que indica claramente como ele entrará ou não em contato com você. Na McAfee, temos uma página inteira dedicada à prevenção de ataques de phishing, que também lista os endereços de e-mail oficiais que usamos.
Outros exemplos de ataques de phishing
Nem todos os golpistas são tão sofisticados, pelo menos na maneira como criam seus e-mails de phishing. Podemos citar como exemplo alguns e-mails de phishing que se fizeram passar por uma comunicação legítima da McAfee.
Há muita coisa acontecendo nesse primeiro exemplo de e-mail. Os golpistas tentam imitar a marca McAfee, mas não conseguem. Ainda assim, eles fazem várias coisas para tentar parecer convincentes. 
Observe o uso de fotografia e a foto da caixa do nosso software, juntamente com um título chamativo “aja agora”. Não é o estilo de fotografia que usamos. Não que as pessoas geralmente saibam disso. No entanto, alguns podem pensar: “Opa! Isso não se parece muito com o que a McAfee costuma me enviar”.
Além disso, uso incorreto de letras maiúsculas e minúsculas, pontuação mal colocada e os ícones “encomendar agora” e “60% de desconto” parecem um tanto forçados. Observe também a pequena pitada de medo que ele lança com uma menção de “Há (42) vírus em seu computador…”
Em suma, você pode facilmente perceber que se trata de um golpe com um olhar mais atento.
O próximo anúncio se enquadra na categoria menos sofisticada. É praticamente só texto e com bastante letras vermelhas. Mais uma vez, uso incorreto de letras maiúsculas e minúsculas, com erros gramaticais também. Em suma, a leitura não é tranquila. Também não é de fácil visualização, como um e-mail adequado sobre sua conta deveria ser. 
O que diferencia esse exemplo é o aviso de “propaganda” abaixo, que tenta dar alguma legitimidade ao ataque. Observe também o falso link “unsubscribe” (cancelar assinatura), além do endereço de correspondência (riscado) e do telefone, que tentam fazer o mesmo.
Esse último exemplo não tem a fonte correta e o símbolo da marca registrada está mal posicionado. Os erros usuais de gramática e letras maiúsculas aparecem novamente, mas esse golpe de phishing adota uma abordagem ligeiramente diferente. 
Os golpistas colocaram um pequeno cronômetro na parte inferior do e-mail. Isso adiciona uma sensação de urgência. Eles querem que você pense que tem apenas cerca de meia hora ou não conseguirá se inscrever para obter proteção. Isso é falso, é claro.
Você está percebendo algum tema recorrente? Há alguns, com certeza. Com esses exemplos em mente, veja os detalhes – como você pode identificar ataques de phishing e como pode evitá-los completamente.
Como identificar e evitar ataques de phishing.
Assim como vimos, alguns ataques de phishing realmente parecem suspeitos desde o início. No entanto, às vezes, você precisa de um pouco de tempo e de um olhar particularmente crítico para identificar.
E é com isso que os golpistas contam. Eles esperam que você esteja apressado ou que esteja um pouco preocupado quando estiver lendo seus e-mails ou mensagens. Distraído o suficiente para que você não pare para pensar: essa mensagemé realmente legítima?
Uma das melhores maneiras de evitar os golpistas é analisar cuidadosamente a mensagem, tendo em mente o seguinte …
Eles se aproveitam das suas emoções.
Medo. Essa é uma das principais. Talvez seja um e-mail ameaçador de uma agência governamental dizendo que você deve impostos atrasados. Ou talvez seja outro de um membro da família pedindo dinheiro porque há uma emergência. De qualquer forma, os golpistas se apoiarão fortemente no medo como motivador.
Se você receber uma mensagem desse tipo, pense duas vezes. Considere se ela é legítima. Por exemplo, considere o exemplo do e-mail de imposto. Nos EUA, o Internal Revenue Service (IRS) tem diretrizes específicas sobre como e quando entrará em contato com você. Como regra geral, eles provavelmente entrarão em contato com você por meio de correspondência física entregue pelo Serviço Postal dos EUA. (Eles não telefonarão nem usarão táticas de pressão – somente os golpistas fazem isso.) Da mesma forma, outros países também terão padrões semelhantes.
Eles pedem que você aja AGORA.
Os golpistas também adoram a urgência. Os ataques de phishing começam despertando suas emoções e fazendo com que você aja rapidamente. Os golpistas podem usar ameaças ou linguagem excessivamente incisiva para criar esse senso de urgência, que são sinais claros de um possível golpe.
É verdade que empresas e organizações legítimas podem entrar em contato com você para notificá-lo sobre um pagamento atrasado ou uma possível atividade ilícita em uma de suas contas. No entanto, eles usarão um tom muito mais profissional e imparcial do que um golpista usaria. Por exemplo, é altamente improvável que a concessionária de energia elétrica local corte sumariamente o fornecimento se você não pagar imediatamente a conta vencida.
Eles querem que você pague de uma determinada maneira.
Cartões-presente, criptomoedas, ordens de pagamento – essas formas de pagamento são outro sinal de que você pode estar diante de um ataque de phishing. Os golpistas preferem esses métodos de pagamento porque são difíceis de rastrear. Além disso, os consumidores têm pouca ou nenhuma possibilidade de recuperar os fundos perdidos com esses métodos de pagamento.
Empresas e organizações legítimas não solicitarão pagamentos nessas formas. Se você receber uma mensagem solicitando pagamento em uma dessas formas, pode apostar que se trata de um golpe.
Eles usam endereços incompatíveis.
Esta é outra maneira de você identificar um ataque de phishing. Observe atentamente os endereços que a mensagem está usando. Se for um e-mail, verifique o endereço de e-mail. Talvez o endereço não corresponda de forma alguma à empresa ou organização. Ou talvez seja um pouco, mas acrescenta algumas letras ou palavras ao nome. Isso é mais um sinal de que você pode ter um ataque de phishing em suas mãos.
Da mesma forma, se a mensagem contiver um link da Web, examine-o atentamente também. Se o nome parecer estranho ou alterado em relação ao que você já viu antes pode ser que você esteja diante de uma tentativa de phishing.
Proteja-se contra ataques de phishing
- Vá diretamente à fonte. Alguns ataques de phishing podem parecer convincentes. Tanto que você vai querer verificar, como por exemplo, quando o se o seu banco relata alguma atividade irregular em sua conta ou quando um boleto parecer estar com o pagamento atrasado. Nesses casos, você não deve clicar no link da mensagem. Vá direto para o site da empresa ou organização em questão e acesse sua conta por lá. Da mesma forma, se tiver dúvidas, você sempre pode entrar em contato com o número de atendimento ao cliente ou com a página da Web.
- Faça o acompanhamento com o remetente. Fique atento a e-mails que possam ser um ataque de spear phishing. Se você receber um e-mail que pareça ter vindo de um membro da família, amigo ou parceiro de negócios, entre em contato com ele para saber se foi ele quem o enviou. Principalmente se for pedindo dinheiro, contiver um anexo ou link questionável ou simplesmente se soar estranho de algum modo. Envie mensagens de texto, telefone ou entre em contato com eles pessoalmente. Não responda ao e-mail, pois ele pode ter sido comprometido.
- Não faça download de anexos. Alguns ataques de phishing enviam anexos repletos de malware, como ransomware, vírus e keyloggers que mencionamos anteriormente. Os golpistas podem fazer com que pareçam uma fatura, um relatório ou até mesmo uma oferta de cupons. Se você receber uma mensagem com esse tipo de anexo, exclua-a. E certamente não abra. Mesmo que você receba um e-mail com um anexo de alguém que você conhece, entre em contato com essa pessoa. Principalmente se você não estava esperando um anexo deles. Os golpistas geralmente sequestram ou falsificam contas de e-mail de pessoas comuns para espalhar malware.
- Passe o mouse sobre os links para verificar o URL. Em computadores e laptops, você pode passar o cursor sobre os links sem clicar neles para ver o endereço da Web. Se o URL parecer suspeito em qualquer uma das formas mencionadas acima, exclua a mensagem e nunca clique nela.
Proteja-se ainda mais contra ataques por e-mail
O software de proteção online pode proteger você contra ataques de phishing de várias maneiras.
Para começar, ele oferece proteção na Web que avisa você quando os links levam a sites mal-intencionados, como os usados em ataques de phishing. Da mesma forma, o software de proteção online pode avisá-lo sobre downloads maliciosos e anexos de e-mail para que você não acabe com malware no seu dispositivo. E, se o infortúnio acontecer, o antivírus pode bloquear e remover o malware.
Um software de proteção online como o nosso também pode resolver a raiz do problema. Os golpistas devem ter obtido seu endereço de e-mail de algum lugar. Muitas vezes, eles as obtêm de corretores de dados online, sites que reúnem e vendem informações pessoais a qualquer comprador, inclusive golpistas.
Os corretores de dados obtêm essas informações de registros públicos e de terceiros e as vendem em massa, fornecendo aos golpistas listas de mala direta em massa que podem atingir milhares de vítimas em potencial. Você pode remover suas informações pessoais de alguns dos sites mais arriscados de corretores de dados com a nossa Limpeza de dados pessoais, que pode reduzir sua exposição a golpistas, mantendo seu endereço de e-mail fora do alcance deles.more than 300,000 victims reported a phishing attack to the FB
Em suma, os e-mails de phishing têm sinais reveladores, alguns mais difíceis de ver do que outros. No entanto, você pode identificá-los quando sabe o que procurar e dedica tempo para procurá-los. Com esses ataques tão predominantes e em ascensão, é imprescindível que você analise seu e-mail com um olhar crítico.
Mantenha-se atualizado
Siga-nos para se manter atualizado sobre a McAfee e ficar por dentro das mais recentes ameaças à segurança móvel e do consumidor.
