Uma pesquisa sobre phishing realizada pela ESET apresentou aos participantes quatro imagens de phishing junto com mensagens reais. No entanto, mais de 60% dos participantes não conseguiram identificar quais eram as mensagens falsas entre todas as que foram apresentadas. Está surpreso?

O questionário gratuito, chamado ESET Phishing Derby, foi produzido pela equipe da ESET nos EUA e foi criado para testar a nossa capacidade em distinguir mensagens falsas das mensagens reais. O sistema de pontuação é baseado na velocidade e na correta diferenciação das mensagens, e os quase 40% dos participantes que identificaram corretamente as amostras incluíam alguns que identificaram três corretamente e em um tempo bastante rápido. Portanto, na realidade, o número de usuários que identificaram corretamente as quatro imagens provavelmente seja bem menor.

O questionário não foi criado para gerar estatísticas, foi pensado para aumentar a conscientização e ajudar a educar os participantes sobre como identificar e-mails falsos. Curiosamente, os resultados mostram uma diferença acentuada na maneira como os participantes mais jovens, com idade entre 18 e 24 anos, identificaram as amostras corretamente: 47%, em comparação com apenas 28% dos participantes com 65 anos ou mais. Os de 25-44 anos atingiram 45% e os de 45-64 anos 36%. Caso você esteja se perguntando sobre a validade desses dados, o número total de participantes foi de 4.292 e os dados coletados são um subproduto e não um estudo acadêmico. Um resultado semelhante foi apresentado quando a ESET Canadá realizou a mesma pesquisa no final de 2020, na qual 68% dos participantes não conseguiram identificar todas as quatro amostras corretamente. Caso queira, você pode fazer os testes (em inglês) aqui ou aqui.

Que ações devemos tomar com base nesse tipo de resultado? Se você está lendo este artigo, provavelmente esteja de alguma forma interessado na necessidade de aprender mais sobre segurança cibernética e como se manter seguro on-line. Então, irei propor um desafio de um mês: compartilhe com amigos e familiares o alerta para que sejam cautelosos com os e-mails e mensagens que recebemos e ensine outras boas práticas de segurança que eles podem adotar para se manterem seguros on-line. Faça isso com um foco muito específico nos adultos, pois os dados mostram que esse grupo pode ser bastante beneficiado com a sua ajuda.

Você pode pensar que com as campanhas contínuas de conscientização sobre segurança cibernética realizadas por instituições financeiras, empresas de cibersegurança, governos e organizações similares, esse número deve ser menor, muito menor, e eu concordo. Entretanto, alguns e-mails de phishing que aterrissam em caixas de entrada são muito bem criados e podem parecer bastante legítimos, o que torna muito mais difícil identificá-los como falsos. Este desafio se tornará mais difícil à medida que os cibercriminosos aperfeiçoarem as técnicas utilizados para a criação desses e-mails.

“Peixe” fresco

Há algumas semanas, recebi um e-mail que supostamente seria da American Express. A mensagem era uma notificação de que uma tentativa suspeita de transação tinha sido bloqueada e me pedia para rever transações recentes. À primeira vista, o e-mail parecia legítimo; estava bem escrito e tinha um excelente designer. No entanto, alguns sinais óbvios me permitiram determinar que o e-mail era falso. Para começar, o fato de eu não ter um cartão American Express Business Platinum.

No entanto, se você tem uma conta, se torna até um pouco compreensível o fato de que uma vítima caia nesse tipo de golpe e acabe dando outros passos: abrir a mensagem e possivelmente clicar em um link apresentado. O e-mail é elaborado para criar uma reação emocional, "oh não, fui vítima de uma fraude na minha conta, preciso resolver isso, vou clicar". Além disso, outro indicador de que esse e-mail que recebi era falso era que a mensagem não personalizada começava com “Prezado usuário do cartão” e depois com “Conta começando com 37******”. A American Express sabe quem são seus clientes e não se refere a eles de forma genérica nas comunicações, mas sim pelo nome. Por outro lado, as empresas de cartão de crédito normalmente usam os dígitos finais que são mais específicos para cada número de conta e não os números com os quais a conta começa. Como antigo funcionário da American Express sei que todos os cartões emitidos por eles começam com 3 e o segundo número é um “4” ou “7”, portanto o número usado no e-mail que recebi é genérico e válido para muitos titulares de cartões. Isso mostra a abordagem bastante ampla utilizada pelos cibercriminosos para fazer novas vítimas.

Os novos recursos digitais utilizados por cibercriminosos faz com que seja mais difícil para o usuário detectar esse tipo de golpe. Por exemplo, a possibilidade de alugar poder de processamento na nuvem, as enormes quantidades de informações pessoais disponíveis como resultado de vazamentos de dados e, até certo ponto, o financiamento de recentes ataques cibernéticos bem sucedidos sendo reinvestido para o crescimento de organizações de crimes cibernéticos. Agora imagine que o e-mail de phishing “American Express” inclui o nome do titular e os últimos 4 dígitos do cartão, que foram obtidos pelos atacantes a partir de vazamentos de dados anteriores. Neste caso, a probabilidade do destinatário clicar no link sem dúvida aumentará significativamente.

Outros sinais de phishing

Aqui estão mais algumas dicas sobre como identificar um e-mail de phishing:

  • O e-mail não é endereçado a você particularmente, embora a empresa que supostamente está enviando o e-mail saiba quem você é e normalmente enviaria e-mails que incluem seu nome e não de uma forma genérica.
  • Erros gramaticais e ortográficos: embora existam hoje muitos e-mails de phishing que são perfeitamente escritos, ainda é comum ver muitas campanhas com mensagens e erros um tanto descuidados. Portanto, considerando que os e-mails de phishing estão ficando cada vez melhores, certifique-se de lê-los duas vezes, pois os erros podem ser mais difíceis de detectar.
  • O e-mail não é solicitado, ou seja, é de uma empresa com a qual você nunca se comunicou.
  • Uma chamada para que você tome uma decisão urgente; por exemplo, para clicar em um link e fazer o login para rever transações ou algo semelhante.
  • O endereço de e-mail do remetente: passe o mouse sobre o endereço de e-mail e veja qual é o endereço real do remetente e o domínio do qual ele foi enviado.
  • E-mails com anexos, por exemplo, alegando ser uma fatura ou notificação de algum tipo.

Caso você tenha dúvidas se um e-mail é real ou um golpe, minha dica é acessar o site do suposto remetente através de um navegador, entrar em sua conta e visualizar quaisquer mensagens ou notificações. Qualquer informação importante estará nas notificações de conta. Se necessário, entre em contato com a empresa através de outro canal oficial e valide a solicitação.