Recebe uma mensagem de correio eletrónico de bank0famerica@acc0unt.com a afirmar que encontraram uma atividade suspeita no extrato do seu cartão de crédito e que lhe pedem para verificar as suas informações financeiras.

O que faz? Embora possa sentir-se tentado a clicar numa ligação para resolver imediatamente o problema, é provável que isso seja obra de um cibercriminoso. O phishing é uma fraude que o leva a fornecer voluntariamente informações pessoais importantes. Proteja-se contra o phishing, analisando alguns exemplos de e-mails de phishing e aprendendo mais sobre esta comum fraude online.

O que é o phishing?

O phishing é um cibercrime que visa roubar as suas informações confidenciais. Os golpistas disfarçam-se de grandes empresas ou de outras entidades de confiança para o enganar e fazer com que forneça voluntariamente informações como credenciais de início de sessão em Web sites ou, pior ainda, o número do seu cartão de crédito.

O que é uma mensagem de texto e/ou e-mail de phishing?

Um e-mail ou SMS de phishing (também conhecido como smishing) é uma mensagem fraudulenta feita para parecer legítima, e normalmente pede-lhe para fornecer informações pessoais confidenciais de várias formas. No entanto, se não analisar cuidadosamente as mensagens de correio eletrónico ou de texto, poderá não conseguir distinguir entre uma mensagem normal e uma mensagem de phishing.

Os golpistas esforçam-se por fazer com que as mensagens de phishing se assemelhem a e-mails e textos enviados por empresas de confiança, razão pela qual deve ter cuidado ao abrir estas mensagens e clicar nas ligações que contêm.

Como se deteta uma mensagem de phishing?

Os golpistas de phishing muitas vezes desfazem os seus próprios planos cometendo erros simples que são fáceis de detetar quando sabe como os reconhecer. Verifique os seguintes sinais de phishing sempre que abrir uma mensagem de correio eletrónico ou de texto:

Está mal escrito

Mesmo as maiores empresas cometem por vezes pequenos erros nas suas comunicações. As mensagens de phishing contêm frequentemente erros gramaticais, erros ortográficos e outros erros flagrantes que as grandes empresas não cometeriam. Se vir vários erros gramaticais gritantes num e-mail ou SMS que lhe pede informações pessoais, pode estar a ser alvo de um esquema de phishing.

O logótipo não parece correto

Para aumentar a sua credibilidade, os golpistas de phishing roubam frequentemente os logótipos de quem estão a imitar. No entanto, em muitos casos, não roubam corretamente os logótipos das empresas. O logótipo numa mensagem de correio eletrónico ou texto de phishing pode ter as proporções incorretas ou uma baixa resolução. Se tiver de apertar os olhos para ver o logótipo de uma mensagem, é provável que se trate de phishing.

O URL não corresponde

O phishing centra-se sempre em ligações nas quais é suposto clicar. Eis algumas formas de verificar se uma ligação que alguém lhe enviou é legítima:

  • Passe o rato sobre a ligação no e-mail para visualizar o respetivo URL. Muitas vezes, os URLs de phishing contêm erros ortográficos, o que é um sinal comum de phishing. Se passar o rato sobre a ligação, poderá ver uma pré-visualização da ligação. Se o URL parecer suspeito, não clique nele e elimine a mensagem por completo.
  • Clique com o botão direito do rato na ligação, copie-a e cole o URL num processador de texto. Isto vai lhe permitir examinar cuidadosamente a ligação para detetar erros gramaticais ou ortográficos sem ser direcionado para a página web potencialmente maliciosa.
  • Verifique o URL de uma ligação em dispositivos móveis, premindo e mantendo premido com o dedo.

Se o URL que descobrir não corresponder à entidade que supostamente lhe enviou a mensagem, provavelmente recebeu um e-mail de phishing.

Tipos de mensagens de correio eletrónico e de texto de phishing

As mensagens de phishing são de todas as formas e feitios, mas há alguns tipos de mensagens de correio eletrónico e de texto de phishing que são mais comuns do que outros.

Vamos analisar alguns exemplos dos esquemas de phishing mais frequentemente enviados:

Golpe da conta suspensa

Alguns e-mails de phishing parecem notificá-lo de que o seu banco suspendeu temporariamente a sua conta devido a atividades incomuns. Se receber um e-mail de suspensão de conta de um banco no qual não abriu uma conta, elimine-o imediatamente e não olhe para trás. No entanto, os e-mails de phishing de contas suspensas de bancos com os quais tem relações comerciais são mais difíceis de detetar. Utilize os métodos acima indicados para verificar a integridade da mensagem de correio eletrónico e, se tudo o resto falhar, contate diretamente o seu banco em vez de abrir quaisquer ligações na mensagem de correio eletrónico que recebeu.

Golpe de autenticação de dois fatores

A autenticação de dois fatores (2FA) tornou-se comum, pelo que provavelmente está habituado a receber e-mails que lhe pedem para confirmar as suas informações de início de sessão com códigos numéricos de seis dígitos. Os golpistas de phishing também sabem como a 2FA se tornou padrão e podem tirar partido deste serviço que é suposto proteger a sua identidade.

Se receber uma mensagem de correio eletrónico a pedir-lhe que inicie sessão numa conta para confirmar a sua identidade, utilize os critérios que enumerámos acima para verificar a autenticidade da mensagem. Tenha especial cuidado se alguém lhe pedir para fornecer a 2FA para uma conta à qual não acede há algum tempo.

Golpe da confirmação de encomenda

Por vezes, os cibercriminosos tentam enganá-lo enviando-lhe mensagens de correio eletrónico com falsas confirmações de encomendas. Estas mensagens contêm frequentemente “recibos” anexados à mensagem de correio eletrónico ou ligações que alegam conter mais informações sobre a sua encomenda. No entanto, os criminosos utilizam frequentemente estes anexos e ligações para espalhar malware no dispositivo da vítima.

Phishing no trabalho

Também precisa de ter cuidado com o phishing quando utiliza o seu e-mail de trabalho. Um esquema de phishing popular envolve e-mails concebidos para parecer que foram enviados por alguém da direção da sua empresa. Pedem aos trabalhadores que transfiram fundos para supostos clientes, mas na realidade esse dinheiro vai para os golpistas. Utilize as dicas que listámos acima para detetar estes e-mails falsos.

Quando o phishing passa despercebido

Muitas vezes, os hackers procuram formas de atualizar esquemas antigos para que não sejam detectados por utilizadores já conscientes de certas ameaças cibernéticas. É o caso da mais recente técnica de evasão de phishing, que deteta máquinas virtuais para passar despercebida. As empresas de cibersegurança utilizam frequentemente dispositivos sem cabeça ou máquinas virtuais (um ficheiro de computador que se comporta como um computador real) para determinar se um sítio Web é realmente uma página de phishing.

Mas agora, alguns kits de phishing contêm JavaScript, uma linguagem de programação que lhe permite implementar funcionalidades complexas em páginas Web, que verifica se uma máquina virtual está a analisar a página. Se detetar quaisquer tentativas de análise, o kit de phishing mostrará uma página em branco em vez da página de phishing, permitindo que a fraude não seja detetada.

Para ajudar a garantir que não cai nas mais recentes fraudes de phishing, mantenha-se atualizado sobre as técnicas de phishing mais recentes para que possa estar um passo à frente dos cibercriminosos.

O que acontece se clicar numa ligação numa mensagem de correio eletrónico de phishing?

Nunca clique em ligações em mensagens de correio eletrónico suspeitas. Se clicar numa ligação que suspeita ter sido enviada por um golpista de phishing, a ligação vai levá-lo para uma página Web com um formulário onde pode introduzir dados confidenciais, como o seu número de identificação de seguranã social, informações de cartão de crédito ou credenciais de início de sessão. Não introduza quaisquer dados nesta página.

O que deve fazer se suspeitar que foi vítima de phishing?

Se introduzir acidentalmente dados numa página Web ligada a um e-mail suspeito, efectue uma análise completa do dispositivo contra malware. Quando a análise estiver concluída, faça uma cópia de segurança de todos os seus ficheiros e altere as suas palavras-passe.

Mesmo que só tenha fornecido os dados de uma conta a um golpista de phishing, pode também ter aberto a porta a outros dados pessoais, pelo que é importante alterar todas as palavras-passe que utiliza online após uma suspeita de ataque de phishing.

Dicas para reconhecer um e-mail de phishing

Vamos terminar com algumas dicas resumidas sobre como evitar e-mails de phishing:

  • Em caso de dúvida, contate diretamente a organização que supostamente lhe enviou o e-mail em vez de abrir links incluídos em e-mails suspeitos.
  • Examine cuidadosamente as mensagens de correio eletrónico suspeitas para verificar se existem sinais reveladores de phishing, como gramática ruim, logótipos granulados ou ligações falsas.
  • Se clicar acidentalmente numa ligação de phishing, não introduza quaisquer dados e feche a página.
  • Se pensa que está a ser alvo de phishing, execute uma análise de vírus, faça cópias de segurança dos seus ficheiros e altere todas as suas palavras-passe.

Mantenha-se protegido

Os e-mails de phishing só funcionam nos desavisados. Agora que sabe como detetar e-mails de phishing e o que fazer se suspeitar que os golpistas o estão a visar, é muito menos provável que caia nestes esquemas.

Lembre-se de ter cuidado com as suas informações pessoais quando utiliza a Internet e seja cauteloso sempre que alguém lhe pedir para divulgar detalhes confidenciais sobre a sua identidade, finanças ou informações de início de sessão.