Você recebe um e-mail de bank0famerica@acc0unt.com alegando ter encontrado atividades suspeitas no extrato do seu cartão de crédito e solicitando que você verifique suas informações financeiras.

O que você faz? Embora você possa ficar tentado a clicar em um link para resolver imediatamente o problema, é provável que isso seja obra de um cibercriminoso. Phishing é um golpe que o engana para que você forneça voluntariamente informações pessoais importantes. Para se proteger contra o phishing, você pode revisar alguns exemplos de e-mails de phishing e aprender mais sobre esse golpe online tão comum.

O que é phishing?

Phishing é um crime cibernético que visa roubar suas informações confidenciais. Os golpistas se disfarçam de grandes corporações ou outras entidades confiáveis para induzi-lo a fornecer voluntariamente informações como usuário ou senha para entrar em sites ou, pior ainda, o número do seu cartão de crédito.

O que é uma mensagem de texto ou e-mail de phishing?

Um e-mail ou texto de phishing (também conhecido como smishing) é uma mensagem fraudulenta que parece legítima e normalmente solicita que você forneça informações pessoais confidenciais de várias maneiras. No entanto, se você não analisar cuidadosamente os e-mails ou textos, talvez não consiga distinguir entre uma mensagem normal e uma mensagem de phishing. Os golpistas se empenham muito para fazer com que as mensagens de phishing sejam iguais aos e-mails e textos enviados por empresas confiáveis, e é por isso que você precisa ser cauteloso ao abrir essas mensagens e clicar nos links que elas contêm.

Como você identifica uma mensagem de phishing?

Os golpistas de phishing geralmente desfazem seus próprios planos cometendo erros simples que são fáceis de detectar quando você sabe como reconhecê-los. Verifique os seguintes sinais de phishing sempre que você abrir um e-mail ou mensagem de texto:

Está mal escrito

Mesmo as maiores empresas às vezes cometem pequenos erros em suas comunicações. As mensagens de phishing geralmente contêm erros gramaticais, erros de ortografia e outros erros flagrantes que as grandes empresas não cometeriam. Se você vir vários erros gramaticais gritantes em um e-mail ou texto que solicita suas informações pessoais, pode ser alvo de um golpe de phishing.

O logotipo não parece correto

Para aumentar sua credibilidade, os golpistas de phishing geralmente roubam os logotipos de quem eles estão imitando. Em muitos casos, porém, não roubam os logotipos corporativos corretamente. O logotipo em um e-mail ou texto de phishing pode ter a proporção errada ou baixa resolução. Se você tiver que apertar os olhos para ver o logotipo em uma mensagem, é provável que se trate de phishing.

O URL não corresponde

O phishing sempre gira em torno de links nos quais você deve clicar. Veja algumas maneiras de verificar se um link que alguém enviou a você é legítimo:

  • Passe o mouse sobre o link no e-mail para exibir seu URL. Muitas vezes, os URLs de phishing contêm erros de ortografia, o que é um sinal comum de phishing. Ao passar o mouse sobre o link, você terá uma visualização do link. Se o URL parecer suspeito, não clique nele e exclua a mensagem por completo.
  • Clique com o botão direito do mouse no link, copie-o e cole o URL em um processador de texto. Isso permitirá que você examine o link minuciosamente em busca de erros gramaticais ou de ortografia sem ser direcionado para o site potencialmente mal-intencionado.
  • Verifique o URL de um link em dispositivos móveis pressionando-o e mantendo-o pressionado com o dedo.

Se o URL descoberto não corresponder à entidade que supostamente lhe enviou a mensagem, você provavelmente recebeu um e-mail de phishing.

Tipos de e-mails e textos de phishing

As mensagens de phishing vêm em todas as formas e tamanhos, mas há alguns tipos de e-mails e textos de phishing que são mais comuns do que outros. Vamos analisar alguns exemplos dos golpes de phishing enviados com mais frequência:

Golpe de suspensão de conta

Alguns e-mails de phishing parecem notificá-lo de que seu banco suspendeu temporariamente sua conta devido a atividades incomuns. Se você receber um e-mail de suspensão de conta de um banco no qual não tenha aberto uma conta, exclua-o imediatamente e não olhe para trás. Os e-mails de phishing de contas suspensas de bancos com os quais você faz negócios, no entanto, são mais difíceis de detectar.

Use os métodos listados acima para verificar a integridade do e-mail e, se tudo isso falhar, entre em contato diretamente com o seu banco em vez de abrir qualquer link no e-mail que você recebeu.

Golpe de autenticação de dois fatores

A autenticação de dois fatores (2FA) tornou-se comum, portanto, você provavelmente está acostumado a receber e-mails que pedem para confirmar suas informações de login com códigos numéricos de seis dígitos. Os golpistas de phishing também sabem como a 2FA se tornou padrão e podem tirar proveito desse serviço que supostamente protege a sua identidade. Se você receber um e-mail solicitando que faça login em uma conta para confirmar sua identidade, use os critérios listados acima para verificar a autenticidade da mensagem. Seja especialmente cauteloso se alguém pedir que você forneça a 2FA para uma conta que você não acessa há algum tempo.

Golpe de confirmação de pedido

Às vezes, os criminosos virtuais tentam enganá-lo enviando e-mails com falsas confirmações de pedidos. Essas mensagens geralmente contêm “recibos” anexados ao e-mail ou links que alegam conter mais informações sobre o seu pedido. No entanto, os criminosos geralmente usam esses anexos e links para espalhar malware no dispositivo da vítima.

Phishing no trabalho

Você também precisa ter cuidado com o phishing quando estiver usando o e-mail do trabalho. Um golpe popular de phishing envolve e-mails criados para parecer que foram enviados por alguém da diretoria da sua empresa. Eles pedem aos trabalhadores que transfiram fundos para supostos clientes, mas na verdade esse dinheiro vai para os golpistas. Use as dicas que listamos acima para identificar esses e-mails falsos.

Quando o phishing passa despercebido pelo radar

Muitas vezes, os hackers procuram maneiras de atualizar esquemas antigos para que não sejam detectados por usuários já cientes de determinadas ameaças digitais. Esse é o caso da mais recente técnica de evasão de phishing, que detecta máquinas virtuais para passar despercebida. As empresas de segurança digital geralmente usam dispositivos headless ou máquinas virtuais (um arquivo de computador que se comporta como um computador real) para determinar se um site é realmente uma página de phishing.

Mas agora, alguns kits de phishing contêm JavaScript – uma linguagem de programação que permite que você implemente recursos complexos em páginas da Web – que verifica se uma máquina virtual está analisando a página. Se detectar qualquer tentativa de análise, o kit de phishing mostrará uma página em branco em vez da página de phishing, permitindo que o golpe não seja detectado.

Para ajudar a garantir que você não caia nos golpes de phishing mais recentes, mantenha-se atualizado sobre as técnicas de phishing mais recentes e fique um passo à frente dos cibercriminosos.

O que acontece se você clicar em um link em um e-mail de phishing?

Nunca clique em links de e-mails suspeitos. Se você clicar em um link que suspeita ter sido enviado por um golpista de phishing, o link o levará a uma página da Web com um formulário no qual você poderá inserir dados confidenciais, como o número do seu CPF, informações de cartão de crédito ou credenciais de login. Não insira nenhum dado nesta página.

O que você deve fazer se suspeitar que foi vítima de phishing?

Se você acidentalmente inserir dados em uma página da Web vinculada a um e-mail suspeito, execute uma varredura completa do dispositivo contra malware. Quando a varredura for concluída, faça backup de todos os seus arquivos e altere suas senhas.

Mesmo que você tenha fornecido a um golpista de phishing apenas os dados de uma conta, você também pode ter aberto a porta para outros dados pessoais. Portanto, é importante alterar todas as senhas que você usa online após uma suspeita de ataque de phishing.

Dicas para reconhecer um e-mail de phishing

Vamos encerrar o assunto com algumas dicas resumidas sobre como evitar e-mails de phishing:

  • Em caso de dúvida, entre em contato diretamente com a organização que supostamente enviou o e-mail para você, em vez de abrir links incluídos em e-mails suspeitos.
  • Examine cuidadosamente os e-mails suspeitos para verificar se há sinais reveladores de phishing, como gramática inadequada, logotipos granulados ou links falsos.
  • Se você clicar acidentalmente em um link de phishing, não insira nenhum dado e feche a página.
  • Se você acha que os golpistas de phishing estão o atacando, faça uma varredura de vírus, um backup dos seus arquivos e altere todas as suas senhas.

Fique protegido

Os e-mails de phishing só funcionam quando você não está ciente. Agora que você já sabe como identificar e-mails de phishing e o que fazer se suspeitar que virou alvo de golpistas, é muito menos provável que caia nesses esquemas. Lembre-se de ser cuidadoso com suas informações pessoais ao usar a Internet e seja cauteloso sempre que alguém pedir que você divulgue detalhes confidenciais sobre sua identidade, finanças ou informações de login.