Recebe uma mensagem de correio eletrónico de bank0famerica@acc0unt.com alegando ter encontrado atividades suspeitas no extrato do cartão de crédito e solicitando que confirme as informações financeiras. O que faz? Embora possa ficar tentado em clicar numa ligação para resolver o problema imediatamente, é provável que isso seja obra de um cibercriminoso. O phishing é uma fraude que o induz a fornecer voluntariamente informações pessoais importantes. Proteja-se contra phishing ao rever alguns exemplos de mensagens de correio eletrónico de phishing e saiba mais sobre essa fraude online comum.
O que é o phishing?
O phishing é um cibercrime que visa roubar informações confidenciais. Os burlões disfarçam-se de grandes corporações ou outras entidades confiáveis para induzi-lo a fornecer voluntariamente informações como credenciais de início de sessão do site ou, pior ainda, o número do cartão de crédito.
O que é uma mensagem de correio eletrónico/mensagem de texto de phishing?
Uma mensagem de correio eletrónico ou texto de phishing (também conhecido como SMiShing), é uma mensagem fraudulenta criada para parecer legítima e normalmente pede para fornecer informações pessoais confidenciais de várias formas. Se não ler com atenção as mensagens de correio eletrónico ou mensagens de texto, no entanto, talvez não consiga perceber a diferença entre uma mensagem normal e uma mensagem de phishing. Os burlões esforçam-se para que as mensagens de phishing sejam semelhantes às mensagens de correio eletrónico e de texto enviadas por empresas fidedignas, por isso, deve estar atento ao abrir essas mensagens e clicar nas ligações incluídas.
Como identificar uma mensagem de phishing?
Os burlões de phishing geralmente frustram os seus próprios planos cometendo erros simples que são fáceis de detetar quando sabe como os reconhecer. Verifique os seguintes sinais de phishing sempre que abrir uma mensagem de correio eletrónico ou de texto:
Está mal escrito
Mesmo as maiores empresas às vezes cometem pequenos erros nas suas comunicações. As mensagens de phishing geralmente têm erros gramaticais, ortográficos e outros erros flagrantes que as grandes corporações não cometeriam. Se encontrar vários erros gramaticais graves numa mensagem de correio eletrónico ou de texto que pede as suas informações pessoais, pode estar a ser alvo de um esquema de phishing.
O logótipo não parece estar correto
Para melhorar o seu disfarce, os burlões de phishing costumam roubar os logótipos das entidades que estão a simular. Em muitos casos, no entanto, não roubam os logótipos corporativos corretos. O logótipo numa mensagem de correio eletrónico ou de texto de phishing pode ter a proporção errada ou uma baixa resolução. Se tiver que semicerrar os olhos para ver o logótipo numa mensagem, é provável que seja phishing.
O URL não corresponde
O phishing baseia-se sempre nas ligações em que deve clicar. Estas são algumas maneiras de verificar se uma ligação enviada é legítima:
- Coloque o cursor do rato sobre a ligação na mensagem de correio eletrónico para ver o URL. Geralmente, os URLs de phishing têm erros ortográficos, o que é um sinal comum de phishing. Coloque o cursor do rato sobre a ligação para pré-visualizá-la. Se o URL parecer suspeito, não efetue nenhuma ação com a ligação e elimine a mensagem permanentemente.
- Clique com o botão direito do rato na ligação, copie e cole o URL num processador de texto. Deste modo, poderá examinar a ligação e procurar erros gramaticais ou ortográficos, sem ser direcionado para a página da Web potencialmente maliciosa.
- Verifique o URL de uma ligação em dispositivos móveis mantendo premido o dedo sobre a ligação.
Se o URL que encontrar não corresponder à entidade que supostamente enviou a mensagem, provavelmente recebeu uma mensagem de correio eletrónico de phishing.
Tipos de mensagens de correio eletrónico e de texto de phishing
As mensagens de phishing surgem em vários formatos e tamanhos, mas existem alguns tipos de mensagens de correio eletrónico e de texto de phishing que são mais comuns do que outros. Vamos rever alguns exemplos de fraudes de phishing enviadas com mais frequência:
Fraude de conta suspensa
Algumas mensagens de correio eletrónico de phishing parecem notificá-lo de que o seu banco suspendeu temporariamente a sua conta devido a atividades incomuns. Se receber uma mensagem de correio eletrónico sobre a suspensão da sua conta de um banco onde não abriu uma conta, elimine-a imediatamente sem hesitação. No entanto, as mensagens de correio eletrónico de phishing sobre uma conta suspensa enviada de bancos onde tem uma conta são mais difíceis de detetar. Utilize os métodos indicados acima para verificar a honestidade da mensagem de correio eletrónico e, se tudo falhar, contacte o seu banco diretamente em vez de abrir qualquer ligação na mensagem de correio eletrónico que recebeu.
Fraude de autenticação de dois fatores
A autenticação de dois fatores (2FA) tornou-se comum e, provavelmente, está acostumado a receber mensagens de correio eletrónico que pedem a confirmação das suas informações de início de sessão com códigos numéricos de seis dígitos. Os burlões de phishing também sabem como o 2FA se tornou habitual e podem aproveitar-se desse serviço que, supostamente, protege a sua identidade . Se receber uma mensagem de correio eletrónico a solicitar que inicie sessão numa conta para confirmar a sua identidade, utilize os critérios indicados anteriormente para verificar a autenticidade da mensagem. Esteja especialmente atento se alguém lhe pedir para fornecer 2FA para uma conta que não acede há algum tempo.
Fraude de reembolso fiscal
Todos sabemos como é importante o período de declarações fiscais. Os burlões de phishing contam com isso quando enviam mensagens de correio eletrónico falsas sobre os reembolsos do IRS. Tenha cuidado quando receber uma mensagem de correio eletrónico a informar que recebeu dinheiro inesperado e duvide especialmente das mensagens de correio eletrónico supostamente enviadas pelas finanças, porque esta entidade governamental apenas contacta os contribuintes por correio normal. As fraudes de phishing de reembolso fiscal podem causar danos graves, porque geralmente pedem o seu número de segurança social, bem como as informações da sua conta bancária.
Fraude de confirmação de encomenda
Por vezes, os cibercriminosos tentam enganá-lo enviando mensagens de correio eletrónico com confirmações de encomendas falsas. Estas mensagens geralmente têm “recibos” anexados à mensagem de correio eletrónico ou ligações que afirmam ter mais informações sobre a sua encomenda. No entanto, os criminosos costumam utilizar estes anexos e ligações para infetar o dispositivo da vítima com malware.
Phishing no trabalho
Deve também ter cuidado com o phishing ao utilizar o seu correio eletrónico do trabalho. Uma fraude de phishing muito popular inclui mensagens de correio eletrónico criadas para parecerem mensagens da administração da empresa em que trabalha. Pedem aos trabalhadores para transferirem fundos para supostos clientes, mas esse dinheiro na verdade vai para os burlões. Utilize as sugestões indicadas acima para identificar essas mensagens de correio eletrónico falsas.
Quando o phishing passa despercebido
Frequentemente, os hackers procuram formas de atualizar esquemas antigos para que não sejam detetados por utilizadores que já conhecem determinadas ciberameaças. É o caso da última técnica de evasão de phishing, que deteta máquinas virtuais para passar despercebida. As empresas de cibersegurança costumam utilizar dispositivos sem periféricos ou máquinas virtuais (um ficheiro de computador que se comporta como um computador real) para determinar se um site é, na verdade, uma página de phishing. Mas agora, alguns kits de phishing contêm JavaScript – uma linguagem de programação que permite implementar recursos complexos em páginas Web – que verifica se uma máquina virtual está a analisar a página. Quando deteta uma tentativa de análise, o kit de phishing apresenta uma página em branco em vez da página de phishing, permitindo que a fraude evite a deteção. Para ajudar a garantir que não é vítima das fraudes de phishing mais recentes, mantenha-se atualizado sobre as técnicas de phishing mais recentes para estar um passo à frente dos cibercriminosos.
O que acontece se clicar numa ligação de uma mensagem de correio eletrónico de phishing?
Nunca clique em ligações em mensagens de correio eletrónico suspeitas. Se clicar numa ligação que suspeita que foi enviada por um burlão de phishing, a ligação direciona-o para uma página Web com um formulário onde pode inserir dados confidenciais, como o número da Segurança Social, informações do cartão de crédito ou credenciais de início de sessão. Não insira nenhum dado nesta página.
O que deve fazer se suspeita que foi vítima de phishing?
Se acidentalmente inserir dados numa página Web associada a uma mensagem de correio eletrónico suspeita, execute uma análise completa de malware no seu dispositivo. Assim que a análise for concluída, faça uma cópia de segurança de todos os seus ficheiros e altere as palavras-passe. Mesmo que apenas tenha fornecido os dados de uma das suas contas a um burlão de phishing, também pode ter aberto a porta para outros dados pessoais, por isso é importante alterar todas as palavras-passe que utiliza online após uma suspeita de ataque de phishing.
Como reconhecer mensagens de correio eletrónico de phishing: sugestões simples
Vamos terminar com algumas sugestões resumidas sobre como evitar mensagens de correio eletrónico de phishing:
- Em caso de dúvida, contacte diretamente com a organização que supostamente lhe enviou a mensagem de correio eletrónico, em vez de abrir ligações incluídas em mensagens de correio eletrónico suspeitas.
- Analise as mensagens de correio eletrónico suspeitas com cuidado para verificar se há sinais de phishing, como gramática incorreta, logótipos de baixa definição ou ligações falsas.
- Se acidentalmente clicar numa ligação de phishing, não insira nenhum dado e feche a página.
- Se acha que é uma vítima dos burlões de phishing, execute uma análise de vírus, efetue uma cópia de segurança dos seus ficheiros e altere todas as suas palavras-passe.
Mantenha-se protegido
As mensagens de correio eletrónico de phishing só funcionam se estiver desatento. Agora que sabe como identificar mensagens de correio eletrónico de phishing e o que fazer se suspeitar que é vítima de ataques dos burlões, é muito menos provável que caia nesses esquemas. Lembre-se de ter cuidado com as suas informações pessoais ao utilizar a Internet e seja cauteloso sempre que alguém lhe pedir para divulgar detalhes confidenciais sobre a sua identidade, finanças ou informações de início de sessão.
Para se manter atualizado em tudo relacionado com a McAfee para conhecer sempre as ameaças mais recentes de produtos de consumo e segurança móvel, siga @McAfee_Home no Twitter, subscreva o nosso correio eletrónico, ouça o nosso podcast Hackable?, e ponha “Gosto” na nossa página do Facebook.
Mantenha-se atualizado
Siga-nos para se manter atualizado sobre a McAfee e ficar por dentro das mais recentes ameaças à segurança móvel e do consumidor.
