As ameaças à segurança vêm em todas as formas e tamanhos. Você provavelmente já ouviu falar de vírus, trojans, keyloggers e, mais recentemente, ransomware . Quer saber o que todos eles têm em comum? Todos eles podem ser resultado de phishing.

A própria palavra é homófona; os hackers usam iscas – geralmente na forma de um arquivo ou link aparentemente legítimo – para “phishing” para as vítimas. E como essa isca geralmente é espalhada por e-mail, é difícil para o software de segurança, er, filtrar. Isso é o que o torna tão pernicioso.

Um triste exemplo de uma empresa ‘phishing’

História verídica: alguns anos atrás, o negócio do meu cunhado foi violado por ransomware. Esse código horrível criptografou quase todos os arquivos de dados – documentos do Word, planilhas do Excel e assim por diante – e literalmente os guardou para o resgate. Se ele quisesse seus dados de volta, o preço seria $ 700.

De acordo com um profissional de segurança contratado para ajudar, o ransomware entrou quando um dos proprietários abriu um anexo de e-mail marcado como “Meu currículo” – uma ação aparentemente inofensiva, especialmente considerando que a empresa estava, de fato, contratando ativamente.

O phishing também pode resultar em roubo de identidade e até mesmo impedir o acesso de seu telefone . Mas espere, o software de segurança não deveria protegê-lo de tais ameaças? É, mas é isso que torna o phishing tão tortuoso: ele chega como um e-mail aparentemente inofensivo e persuade ou assusta você a agir – geralmente clicando em um link ou abrindo um arquivo. E muitas vezes isso é tudo o que é preciso.

Embora muitas pessoas estejam bem familiarizadas com essa prática e saibam o que procurar, suspeito que muitas pessoas ainda são vítimas. Caramba, eu me considero um especialista em prevenção de phishing, mas tive lapsos momentâneos ocasionais que quase me fizeram clicar em um link fraudulento.

Como identificar um e-mail falso

Abaixo, compartilhei um e-mail real que mostra alguns sinais reveladores de fraude de phishing. Observe que, como sou usuário do PayPal , o e-mail certamente me chamou a atenção – pelo menos inicialmente.

paypal-fake-phishing-2015.jpg
  1. Como muitas pessoas, tenho vários endereços de e-mail. Mas esta mensagem chegou a um endereço que não está vinculado à minha conta do PayPal. Além do mais, o campo “Para” está em branco, um sinal óbvio de que não veio do PayPal.
  2. Gramática e ortografia incorretas são sinais reveladores de phishing. Grandes empresas contratam redatores (e editores) profissionais para comunicação por e-mail.
  3. Meu nome está faltando. A saudação diz apenas: “Olá, [em branco].” Tenho quase certeza de que o PayPal se comunicaria comigo pelo nome.
  4. Outra dica forte de que isso é falso: eu não me inscrevi apenas no PayPal. Agora, você pode pensar: “Oh, não, alguém criou uma conta do PayPal em meu nome!” Novamente, essa é uma tática assustadora (e fraca) projetada para fazer você clicar no botão azul convidativo. Se você fizesse isso, provavelmente seria direcionado para um site que se parece bastante com o PayPal, com um formulário solicitando todos os tipos de informações pessoais – incluindo um número de cartão de crédito. Como alternativa, você pode chegar a um site que instala furtivamente um monte de spyware e / ou vírus.

Este foi um phishing desleixado. Mas existem outros muito mais astutos, como “sua conta foi comprometida!” ou e-mails do tipo “FedEx tem uma entrega esperando por você” que parecem indistinguíveis dos reais.

Felizmente, é bastante fácil se proteger contra ameaças como essas.

Como evitar ser pego em uma rede de phishing

Sempre suspeite. Os e-mails de phishing tentam assustá-lo com avisos de informações roubadas ou pior, e oferecem uma solução fácil se você apenas “clicar aqui”. (Ou o contrário: “Você ganhou um prêmio! Clique aqui para reivindicá-lo!”) Em caso de dúvida, não clique. Em vez disso, abra seu navegador, acesse o site da empresa e entre normalmente para ver se há sinais de atividade estranha. Se você estiver preocupado, altere sua senha.

Verifique se há erros de ortografia e gramática. A maioria das missivas que vêm de fora dos Estados Unidos estão repletas de erros de ortografia e gramática ruim. Como observei anteriormente, as grandes empresas contratam profissionais para garantir que seus e-mails contenham uma prosa perfeita. Se você está olhando para um que não tem, é quase certo que seja falso.

Melhore seu navegador. Um clique acidental em um link de phishing não significa desastre. McAfee SiteAdvisor e Web of Trust são complementos de navegador gratuitos que o avisarão se houver suspeita de atividade mal-intencionada no site que você está prestes a visitar. Eles são como guardas de trânsito que o param antes de entrar em uma rua perigosa.

Use seu telefone. Se você estiver verificando o e-mail em seu telefone, pode ser mais difícil detectar uma tentativa de phishing. Você não pode “passar o mouse” sobre um link questionável, e a tela menor diminui a probabilidade de detectar gafes óbvias. Embora muitos navegadores de telefone (e sistemas operacionais ) sejam imunes a sites e downloads prejudiciais, ainda é bom ter cuidado ao lidar com links suspeitos. (Obviamente, você ainda não deve preencher um formulário que solicite sua senha ou outras informações pessoais.) Os usuários do Android, em particular, devem estar cientes dos riscos potenciais .

Acima de tudo, confie no bom senso. Você não pode vencer um concurso do qual não participou. Seu banco não entrará em contato com você usando um endereço de e-mail que você nunca registrou. A Microsoft não “detectou remotamente um vírus no seu PC”. Conheça os sinais de aviso, pense antes de clicar e nunca, nunca forneça sua senha ou informações financeiras, a menos que esteja devidamente conectado à sua conta.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *