No post de hoje, destacamos uma clássica ameaça que continua presente no nosso cotidiano, o phishing. Aproveitamos para ressaltar alguns aspectos fundamentais e falhas básicas que esta técnica costuma ter, dessa forma você poderá identificá-la em possíveis mensagens falsas.

Lembre-se que as dicas que damos aqui não se restringem apenas às mensagens de email e que podem ser aplicadas a outros meios de envio de mensagem, como redes sociais, aplicativos de mensagens instantâneas, ou mesmo SMS.

Todo malware é direcionado…

…significa que alguns programas maliciosos atacam a uma quantidade maior de pessoas que outros. No entanto, além disso, mesmo não envolvendo malware, as mensagens de fraudes massivas têm uma falha básica.

A maioria dos usurpadores de identidade não sabem nada sobre você. Aqui não estamos falando de phishing direcionado, de malware direcionado, nem mesmo de APTs. Nestes casos, o malfeitor faz algum tipo de pesquisa sobre o indivíduo a quem direciona o ataque antes de sua primeira aproximação.

No entanto, os usurpadores de identidade que atacam genericamente usuários de bancos e de cartões de crédito, usuários com contas para a compra de aplicativos no mercado, ou mesmo consumidores de serviços públicos, normalmente tomam um enfoque mais disperso e voltados “à sorte”: enviam uma enorme quantidade de mensagens com a esperança de chegar até a vítima ocasional, que seja usuário do serviço pelo qual se passam e que também seja o suficientemente descuidado para cair no golpe.

Anatomia do phishing: 3 aspectos que você deve ter em conta

1. O Remetente

O email enviado por um prestador com quem você não tem relação alguma já é por si suspeito. No entanto, é surpreendente a frequência com a qual muitas pessoas perguntam se uma mensagem que receberam se trata de um phishing, embora provenha de um banco ou outro serviço que não usam.

Claro que os erros ocorrem e é possível que você receba um email que na realidade seria para outra pessoa. Caso acredite que é este o seu caso e queira fazer algo a respeito, lembre-se que, na verdade, provavelmente pode se tratar de um golpe, ou seja, tome decisões baseando-se nisso. Em outras palavras, se a mensagem suspeita inclui um arquivo anexo ou um link, entenda como algo malicioso.

É muito comum que o software malicioso como o ransomware se propague por meio de mensagens que digam algo semelhante a “Obrigado por ter gastado 650 dólares em nossa empresa. Abra o documento anexo para obter mais informações”.  No entanto, o arquivo anexo pode ser algum tipo de trojan.

Nunca clique em um anexo ou link: antes entre em contato com a empresa por meio de uma ligação telefônica, email ou formulário de contato de um site ou outra fonte que você saiba que é realmente oficial. Nestes casos, sempre confirme a informação.

No entanto, caso receba um email que parece ser de um prestador de serviços que você utiliza, mas com um endereço de email bem diferente, considere igualmente suspeito. Converta essa possibilidade de análise em uma maneira de aumentar sua segurança.

2. Identificação da conta

Uma precaução muito útil é criar um endereço de email separado (a maioria dos prestadores de serviços da Internet permitem isso, mas você também pode usar um serviço como o Gmail para criar contas adicionais), com um nome único (por exemplo, email.do.meu.banco@dominio.com) e usá-lo exclusivamente para essa atividade, sem publicá-lo em nenhum outro lugar, nem usá-lo para enviar emails com diferentes propósitos.

Esta é uma maneira fácil de verificar que a empresa enviou um email para o endereço correto. Ainda assim tenha em conta que não é uma garantia que a mensagem seja oficial. Embora nunca use o endereço de email com outro propósito, existe a possibilidade de que caia nas “mãos de golpistas”.

E embora isso não ocorra, os cibercriminosos muitas vezes usam software para gerar endereços automáticos, que podem existir ou não. Para eles, não importa se alguns desses emails não cheguem a nenhum lugar porque não pagam serviços postais e, além disso, não podem saber se as mensagens irão voltar.

Se você tem uma conta na instituição que aparentemente te enviou o email, mas a mensagem não é pessoal (ou seja, não está direcionada para você, usando seu nome ou identificação específica com um número de conta verificável), considere-o altamente suspeito. As mensagens de saudação como “Estimado cliente do Lloyds Bank” ou “Estimado usuário do eBay”, que sugerem que o remetente está tentando chegar a todo aquele que receba o email e que não tem nenhuma ideia de quem é você. Neste caso, tome sempre muito cuidado.

Se a identificação é uma dos endereços de email (por exemplo, “Estimado henry056@hotmail.com”), é muito suspeito. Para o golpista (ou melhor, para seu software) é um assunto insignificante inserir o email na mensagem, por isso, você deve considerar que um email que não se pode saber nada sobre você, exceto seu endereço eletrônico (embora tenha alguma relação com o remetente suspeito), não é uma mensagem enviada pela empresa oficial, no melhor dos casos, pode se tratar apenas de um spam.

No entanto, se uma mensagem inclui seu nome real, também não é garantia que seja oficial. Existem muitas formas de obter esse tipo de informação. De fato, às vezes, se pode deduzir um nome completo por meio de um email, sem a necessidade de recorrer a outras fontes.

Se conta com uma identificação de conta, principalmente, se é um código numérico ou alfanumérico, deve verificá-lo. Se não possui identificador, talvez você não deveria utilizar o serviço. Por exemplo, é comum que as mensagens de phishing que se passam por eBay digam “inclua o nome com o qual se cadastrou como prova de que a mensagem procede do eBay”, mas na realidade não mostram nenhum nome de usuário, ou talvez incluam um nome inventado com a esperança de que você não se dê conta.

Lembre-se que o fato de uma mensagem indicar que o remetente conhece seus detalhes pessoais também não é uma prova inequívoca de que se trata de uma mensagem original: sabemos que há dados que podem ser obtidos por meio dos prestadores de serviços, que embora não incluam as credenciais de início de sessão, possuem informação suficiente para que possam te enviar uma mensagem.

3. Para quem o email foi enviado

A leitura dos cabeçalhos das mensagens é uma arte oculta que requer anos de estudo em Hogwarts e um Ph.D. em Artes Ocultas. Bom, na realidade não é para tanto. No entanto, é bastante intimidante para quem não está familiarizado com o lado esotérico da tecnologia das mensagens. No entanto, aqui incluo algumas coisas com as quais se deve ter cuidado e que não requerem a leitura do cabeçalho completo.

Se o email parece não estar direcionado a ninguém ou te enviaram como cópia oculta, provavelmente não apenas para você como também para uma grande quantidade de pessoas. Não confie nele: se possui temas confidenciais, provavelmente possa perceber que o remetente não sabe que sua mensagem “única” na realidade foi enviada para milhares de outras pessoas ao mesmo tempo.

Usualmente parece estar direcionado para outra pessoa, incluindo ao remetente (aparente) do email, ou a um nome genérico como “cliente” ou “lista de clientes”. Às vezes, isso é apropriado para o email que é enviado a muitas pessoas, principalmente se o campo de cópia oculta é usado para preservar sua privacidade. No entanto, se a mensagem inclui informação confidencial, como dados bancários, demonstra uma falta inapropriada de personalização: ou seja, considere como falso.

 “Mandaram do meu banco, mesmo assim é falso?”

Se você receber um email que aparentemente procede de uma instituição com a qual tem relação comercial (ou seja, seu banco, eBay ou uma agência de impostos), isso não significa que deve aceitá-lo “às cegas”.

  • Se a mensagem solicita que você realize autenticação em um site e não é do tipo de email que normalmente enviam, considere suspeito. As advertências de segurança são particularmente suspeitas: os emails que avisam que sua conta foi comprometida é um tipo de phishing muito comum. As notificações telefônicas também podem ser criminosas, mas são mais fáceis de notar: em todo caso, não fique à mercê da sorte e utilize formas para verificar a veracidade das informações.
  • Inclusive, embora esteja certo de que o email é verdadeiro, não clique em uma URL integrada que te direcione para uma página de cadastro de usuário. Se já possui alguma relação com a instituição, por exemplo, ou mesmo se já realizou operações bancárias online, utilize o procedimento de início de sessão padrão: usá-lo é bem melhor que responder a um email que possivelmente foi enviado por um remetente desconhecido. Caso necessário, entre em contato com a instituição, no entanto, evite utilizar números disponíveis na mensagem do email. Assim como podem alterar os sites, ocorre o mesmo com os contatos telefônicos. Use um guia ou outro recurso confiável, como o seu resumo de conta.