O phishing anda por aí.
Milhões de falsos e-mails de phishing chegam a milhões de caixas de entrada todos os dias com um objetivo em mente: enganar o destinatário. Quer estejam a tentar aceder à sua conta bancária, roubar informações pessoais, ou fazer ambas as coisas, pode aprender a identificar e-mails de phishing e manter-se seguro.
Alguns dos e-mails de phishing atuais estão, de facto, a tornar-se mais difíceis de detetar.
Parecem vir de empresas que conhece e em que confia, como o seu banco, a empresa do seu cartão de crédito ou serviços como a Netflix, o PayPal e a Amazon. Alguns deles têm um aspeto convincente. O texto e o esquema são detalhados, e a apresentação geral parece profissional. No entanto, continua a haver algo de estranho neles.
E há certamente algo de errado nesse e-mail. Foi escrito por um burlão. Os e-mails de phishing utilizam uma tática de isco e anzol, em que uma mensagem urgente ou sedutora é o isco e o malware ou uma ligação a uma página de início de sessão falsa é o anzol.
Quando o anzol é lançado, podem ocorrer várias coisas. A página de início de sessão falsa pode roubar informações pessoais e da conta. Por sua vez, ou o malware pode instalar software de registo de atividade do teclado que rouba informações, vírus que abrem uma porta das traseiras através da qual os dados podem ser intercetados, ou ransomware que mantém um dispositivo e os respetivos dados reféns até que seja paga uma taxa.
Mais uma vez, pode evitar estes ataques se souber como os detetar. Há sinais. Vamos ver até que ponto estes ataques são prolíficos, analisar alguns exemplos e, em seguida, analisar os aspetos a que deve estar atento.
Estatísticas de ataques de phishing — os milhões de tentativas efetuadas todos os anos
Só nos EUA, mais de 300.000 vítimas comunicaram um ataque de phishing ao FBI em 2022. Os ataques de phishing encabeçaram a lista de queixas comunicadas, cerca de seis vezes mais do que o segundo maior infrator, as fugas de dados pessoais. O número real é, sem dúvida, mais elevado, visto que nem todos os ataques são comunicados.
Analisando os ataques de phishing a nível mundial, um estudo sugere que, só no segundo semestre de 2022, foram efetuadas mais de 255 milhões de tentativas de phishing. Este valor representa um aumento de 61% em relação ao ano anterior. Outro estudo concluiu que 1 em cada 99 e-mails enviados continha um ataque de phishing.
No entanto, os burlões nem sempre lançam uma rede tão vasta. As estatísticas apontam para um aumento do spear phishing direcionado, em que o atacante tem como alvo uma pessoa específica. Muitas vezes, o alvo são funcionários de empresas que têm autoridade para transferir fundos ou efetuar pagamentos. Outros alvos incluem pessoas que têm acesso a informações confidenciais, como palavras-passe, dados proprietários e informações sobre contas.
Consequentemente, estes ataques podem ter um preço elevado. Em 2022, o FBI recebeu 21.832 queixas de empresas que disseram ter sido vítimas de um ataque de spear phishing. As perdas ajustadas foram superiores a 2,7 mil milhões de dólares — um custo médio de 123.671 dólares por ataque.
Por isso, embora as estatísticas exatas sobre ataques de phishing continuem a ser um pouco elusivas, não há dúvida de que os ataques de phishing são prolíficos. E dispendiosos.
Qual é o aspeto de um ataque de phishing?
Quase todos os ataques de phishing enviam uma mensagem urgente. Uma mensagem concebida para o levar a agir.
Alguns exemplos…
- “Ganhou o nosso sorteio de prémios em dinheiro! Envie-nos os seus dados bancários para que possamos depositar os seus ganhos!”
- “Tem dívidas fiscais. Envie o pagamento imediatamente através desta ligação ou enviaremos o seu caso para as autoridades policiais”.
- “Detetámos o que pode ser uma atividade invulgar no seu cartão de crédito. Siga esta ligação para confirmar as informações da sua conta”.
- “Ocorreu uma tentativa não autorizada de aceder à sua conta de streaming. Clique aqui para verificar a sua identidade”.
- “Não foi possível entregar a sua encomenda. Clique no documento em anexo para fornecer instruções de entrega.”
Quando rodeadas por um design agradável e alguns logótipos de aspeto oficial, é fácil percebermos porque é que muitas pessoas clicam na ligação ou no anexo que vem com mensagens como estas.
Este é o problema dos ataques de phishing. Os burlões têm vindo a melhorar ao longo dos últimos anos. Os seus e-mails de phishing podem parecer convincentes. Há não muito tempo atrás, podíamos identificar facilmente erros ortográficos e de gramática, um design fraco e logótipos que pareciam esticados ou que tinham as cores erradas. Ataques de phishing mal executados como estes continuam a percorrer o mundo. No entanto, atualmente é cada vez mais comum vermos ataques muito mais sofisticados. Ataques que parecem uma mensagem ou um aviso genuíno.
Por exemplo: 
Suponha que recebeu um e-mail que afirma que existe um problema na sua conta do PayPal. Será que introduziria aqui as informações da sua conta caso se encontrasse nesta página? Se assim for, terá entregue as suas informações a um burlão.
A captura de ecrã acima foi obtida no âmbito do seguimento de um ataque de phishing até ao fim — sem que fossem introduzidas quaisquer informações legítimas, claro. Na realidade, introduzimos um endereço de e-mail e uma palavra-passe falsos e, mesmo assim, o sistema deixou-nos entrar. Isto acontece porque os burlões pretendem obter outras informações, como verá em breve.
À medida que fomos analisando o site mais detalhadamente, pareceu-nos bastante bom. O design refletia o estilo do PayPal e as ligações no rodapé pareciam suficientemente oficiais. Mas depois olhámos com mais atenção. 
Repare nos erros subtis, como “informações dos cartão” e “configuração da minha atividades”. Embora as empresas cometam erros gramaticais ocasionalmente, detetá-los numa interface deve representar um grande sinal de alarme. Além disso, o site pede-lhe as informações do cartão de crédito logo no início do processo. Tudo isto é suspeito.
Foi aqui que os atacantes se tornaram realmente ousados. 
Pedem “informações” bancárias, que não incluem apenas os números de encaminhamento e da conta, mas também a palavra-passe da conta. Ousado, como já dissemos. E totalmente falso.
Em conjunto, os erros subtis e o pedido descarado de informações exatas da conta indicam claramente que se trata de uma fraude.
Mas vamos recuar um pouco. Quem enviou o e-mail de phishing que nos direcionou para este site malicioso? Nada mais do que “paypal@inc.com”. 
É evidente que se trata de um e-mail falso. É também típico de um ataque de phishing, em que o atacante coloca um nome conhecido num endereço de e-mail não associado (neste caso, “inc.com”). Os atacantes podem também engendrar endereços falsos que imitam endereços oficiais, como “paypalcustsv.com”. Tudo para o enganar.
Da mesma forma, o site malicioso para o qual o e-mail de phishing nos enviou também utilizava um endereço falsificado. Não tinha qualquer associação oficial com o PayPal, o que é uma prova positiva de um ataque de phishing.
Note que as empresas só enviam e-mails a partir dos nomes de domínio oficiais, da mesma forma que os seus sites só utilizam os nomes de domínio oficiais. Várias empresas e organizações listam estes domínios oficiais nos respetivos sites, para ajudar a reduzir os ataques de phishing.
Por exemplo, o PayPal tem uma página que indica claramente como poderá e não poderá contactá-lo. Na McAfee, temos uma página inteira dedicada à prevenção de ataques de phishing, que também lista os endereços de e-mail oficiais que utilizamos.
Outros exemplos de ataques de phishing
Nem todos os burlões são tão sofisticados, pelo menos na forma como concebem os e-mails de phishing. Podemos apontar como exemplo alguns e-mails de phishing que se fizeram passar por comunicações legítimas da McAfee.
Há muita coisa a acontecer neste primeiro exemplo de e-mail. Os burlões tentam imitar a marca McAfee, mas não conseguem. Mesmo assim, fazem várias coisas para tentarem ser convincentes. 
Repare na utilização da fotografia e na imagem da embalagem do nosso software, juntamente com um título destacado “não perca tempo”. Este não é o estilo de fotografia que utilizamos. É provável que a maior parte das pessoas não o saibam. No entanto, algumas pessoas poderão pensar: “Hmm. Isto não se parece muito com o que a McAfee costuma enviar-me”.
Além disso, existem alguns erros de utilização de maiúsculas, pontuação mal colocada, e os ícones “encomendar agora” e “60% de desconto” parecem que foram colados à pressão. Repare também no pequeno toque de medo que é lançado com uma menção de que “Existem (42) vírus no seu computador…”
No seu conjunto, basta olharmos atentamente para nos apercebermos de que se trata de uma fraude.
O anúncio seguinte pertence à categoria dos ataques menos sofisticados. É praticamente só texto e abusa do vermelho. Mais uma vez, tem muitos erros de utilização de maiúsculas e também algumas gafes gramaticais. Resumindo, não é fácil de ler. Também não é fácil de ver, como deve ser um e-mail adequado sobre a sua conta. 
O que distingue este exemplo é o aviso legal de “publicidade” abaixo, que tenta dar alguma legitimidade ao ataque. Repare também na ligação falsa para anular a subscrição, bem como no endereço postal e no telefone (riscados), que tentam fazer o mesmo.
Este último exemplo não acerta no tipo de letra e o símbolo da marca registada está mal colocado. Os habituais erros gramaticais e de utilização de maiúsculas voltam a surgir, mas esta ameaça de phishing adota uma abordagem ligeiramente diferente. 
Os burlões colocaram um pequeno temporizador na parte inferior do e-mail. Isto acrescenta-lhe um certo grau de urgência. Querem que pense que tem cerca de meia hora antes de deixar de poder registar-se para obter proteção. Obviamente, isto é falso.
Está a ver alguns temas recorrentes? Há certamente alguns. Com estes exemplos em mente, preste atenção aos detalhes e veja como pode detetar e evitar ataques de phishing.
Como detetar e evitar ataques de phishing
Como acabámos de ver, alguns ataques de phishing parecem realmente suspeitos desde o início. No entanto, por vezes é preciso algum tempo e um olhar particularmente crítico para os detetar.
E é com isso que os burlões contam. Esperam que esteja com pressa ou um pouco preocupado enquanto está a ver o e-mail ou as mensagens. Que esteja suficientemente distraído para que não pare para pensar: será que esta mensagem é mesmo legítima?
Uma das melhores formas de vencer os burlões é dedicar um momento a analisar a mensagem, tendo em conta o seguinte…
Jogam com as suas emoções
O medo é determinante. Talvez seja um e-mail de uma agência governamental a dizer que tem dívidas fiscais, ou de um familiar a pedir-lhe dinheiro porque há uma emergência. Independentemente da forma, os burlões vão recorrer frequentemente ao medo como motivador.
Se receber uma mensagem deste género, pense duas vezes. Verifique se é genuína. Por exemplo, considere o exemplo do e-mail das dívidas fiscais. Nos EUA, o Internal Revenue Service (IRS) tem diretrizes específicas sobre como e quando poderá contactá-lo. Regra geral, é provável o contacte através de uma carta física entregue pelos correios dos EUA. (Não irá contactá-lo telefonicamente nem aplicar táticas de pressão — só os burlões o fazem.) Outros países têm normas semelhantes.
Pedem-lhe para agir JÁ
Os burlões também adoram a urgência. Os ataques de phishing começam por despertar as suas emoções e levá-lo a agir rapidamente. Os burlões podem utilizar ameaças ou uma linguagem demasiado empolada para criar essa sensação de urgência, ambos sinais claros de uma potencial fraude.
É verdade que empresas e organizações legítimas podem entrar em contacto consigo para notificá-lo de um pagamento em atraso ou de uma possível atividade ilícita numa das suas contas. No entanto, irão adotar um tom muito mais profissional e imparcial do que um burlão. Por exemplo, é altamente improvável que a companhia de eletricidade local lhe corte o serviço se não pagar imediatamente uma fatura em atraso.
Querem que pague de uma determinada forma
Formas de pagamento como cartões oferta, criptomoeda ou ordens de pagamento são outro sinal de que poderá estar a ser alvo de um ataque de phishing. Os burlões preferem estes métodos de pagamento porque são difíceis de rastrear. Além disso, os consumidores têm poucas ou nenhumas possibilidades de recuperarem os fundos perdidos através destes métodos de pagamento.
As empresas e organizações legítimas não pedem pagamentos destas formas. Se receber uma mensagem a pedir um pagamento numa destas formas, pode ter a certeza de que se trata de uma fraude.
Utilizam endereços não coincidentes
Esta é outra forma de detetar um ataque de phishing. Observe atentamente os endereços que a mensagem está a utilizar. Se for um e-mail, observe o endereço de e-mail. Talvez o endereço não corresponda de todo à empresa ou organização. Ou talvez corresponda um pouco, mas acrescenta algumas letras ou palavras ao nome. Este é mais um sinal de que pode ter um ataque de phishing em mãos.
Do mesmo modo, se a mensagem contiver uma ligação Web, examine-a também com atenção. Se o nome não lhe parecer familiar ou estiver alterado em relação à forma como o viu anteriormente, isso também pode significar que está perante uma tentativa de phishing.
Proteja-se contra ataques de phishing
- Aceda diretamente à origem. Alguns ataques de phishing podem parecer convincentes. Tão convincentes que vai querer dar-lhes seguimento, como, por exemplo, se o seu banco comunicar uma atividade irregular na sua conta ou se uma conta parecer estar vencida. Nestes casos, não clique na ligação existente na mensagem. Aceda diretamente ao site da empresa ou organização em questão e aceda à sua conta a partir daí. Da mesma forma, se tiver dúvidas, pode sempre ligar para o número de assistência a clientes ou visitar a página Web da organização.
- Contacte o remetente. Esteja atento a e-mails que possam ser um ataque de spear phishing. Se um e-mail parecer ter vindo de um familiar, amigo ou parceiro de negócios, contacte-o para saber se foi ele que o enviou. Especialmente o e-mail se pedir dinheiro, contiver um anexo ou uma ligação duvidosa, ou simplesmente não soar a algo que tenha sido escrito por essa pessoa. Envie-lhe uma SMS, ou contacte-o pessoalmente. Não responda diretamente ao e-mail, visto que este pode ter sido comprometido.
- Não transfira anexos. Alguns ataques de phishing enviam anexos repletos de malware, como o ransomware, os vírus e os keyloggers que mencionámos anteriormente. Os burlões podem fazê-los passar por uma fatura, um relatório ou mesmo uma oferta de cupões. Se receber uma mensagem com um anexo deste tipo, elimine-a. Não abra o anexo em circunstância alguma. Mesmo que receba um e-mail com um anexo de alguém que conhece, entre em contacto com essa pessoa, especialmente se não estava à espera que lhe enviasse um anexo. Os burlões sequestram ou falsificam frequentemente contas de e-mail de pessoas comuns para espalhar malware.
- Passe o rato sobre as ligações para verificar o URL. Nos computadores e portáteis, pode passar o cursor sobre as ligações sem clicar nestas para ver o endereço Web. Se o URL parecer suspeito em qualquer uma das formas que acabámos de mencionar, elimine a mensagem e não clique em nada.
Proteja-se ainda mais contra ataques por e-mail
O software de proteção online pode protegê-lo contra ataques de phishing de várias formas.
Para começar, oferece proteção Web que o avisa quando as ligações conduzem a sites maliciosos, como os utilizados em ataques de phishing. Da mesma forma, o software de proteção online pode avisá-lo sobre transferências e anexos de e-mail maliciosos, para que não acabe com malware no seu dispositivo. E, se o infortúnio acontecer, um antivírus pode bloquear e remover malware.
Um software de proteção online como o nosso também pode resolver a raiz do problema. Os burlões têm de obter o seu endereço de e-mail em algum lado. Muitas vezes, obtêm-no junto de corretores de dados online, sites que recolhem e vendem informações pessoais a qualquer comprador, incluindo burlões.
Os corretores de dados obtêm estas informações em registos públicos e a partir de terceiros que vendem em massa, fornecendo aos burlões listas de correio enormes que podem visar milhares de potenciais vítimas. Pode remover as suas informações pessoais de alguns dos sites de corretores de dados mais arriscados com a nossa limpeza de dados pessoais, que pode reduzir a sua exposição a burlões ao manter o seu endereço de e-mail fora do alcance deles.
Resumindo, os e-mails de phishing têm sinais reveladores, alguns mais difíceis de ver do que outros. No entanto, pode detetá-los se souber o que procurar e dedicar algum tempo a procurá-los. Devido à prevalência e ao aumento do número destes ataques, é crucial que observe o seu e-mail com um olhar crítico.
Mantenha-se atualizado
Siga-nos para se manter atualizado sobre a McAfee e ficar por dentro das mais recentes ameaças à segurança móvel e do consumidor.
