Phishing: O Que É e Como Evitá-lo
Phishing: O Que É e Como Evitá-lo
Cibercriminosos adoram realizar phishing, mas você não precisa cair nessa. Como alguém que trabalha com segurança há décadas, vejo diariamente como esses ataques funcionam e como as pessoas podem se proteger.
Phishing é quando cibercriminosos usam e-mails, postagens em redes sociais ou mensagens diretas para enganá-lo a clicar em links prejudiciais ou baixar arquivos maliciosos. É um ataque comum de engenharia social, onde um hacker tenta enganá-lo em vez de atacar diretamente seu sistema.
Cair em um golpe de phishing pode expor suas informações pessoais, como senhas ou números de cartão de crédito, e pode até resultar na instalação de malware em seu dispositivo. Mas com algum conhecimento, você pode se tornar um especialista em identificar tentativas de phishing e não morder a isca.
Como É um E-mail de Phishing?
Os golpistas costumam disfarçar e-mails de phishing como mensagens de organizações ou pessoas confiáveis, mas há sinais evidentes que os denunciam. Veja o que procurar.
Ofertas que parecem boas demais para serem verdade são um sinal claro. A mensagem promete dinheiro grátis, itens de luxo ou ofertas exclusivas boas demais para serem verdade? Bandeira vermelha. Mesmo caso se você ganhar um concurso que não se lembra de ter entrado. Se parece bom demais, provavelmente é golpe.
Linguagem urgente ou ameaçadora é outro sinal. Cuidado com frases como "Sua conta será deletada!" ou "Aja agora!", que são projetadas para te fazer entrar em pânico. Eles podem até dizer que seu computador foi hackeado ou que você está sendo preso. Quando alguém tenta criar urgência artificial, desconfie.
Solicitações para informações pessoais são sempre suspeitas. Empresas legítimas nunca pedirão detalhes sensíveis como senhas por e-mail. Se alguém pede sua senha, número de cartão de crédito completo, ou outros dados sensíveis por e-mail, é golpe.
Solicitações de negócios estranhas também são suspeitas. Uma demanda repentina por pagamento ou dados pessoais? Uma fatura que você não reconhece? Pare e questione sua legitimidade. Não se apresse em pagar ou fornecer informações.
Endereços de remetente incompatíveis são um sinal importante. Antes de abrir qualquer e-mail contendo dados sensíveis ou dinheiro, sempre verifique o endereço de e-mail do remetente em busca de domínios estranhos ou pequenos erros de ortografia. Um e-mail que parece ser do seu banco, mas vem de um domínio estranho, é golpe.
Hiperlinks ou anexos desconhecidos são perigosos. Passe o mouse sobre os links para verificar para onde eles levam. Se parecerem suspeitos, como pavpal.com em vez de paypal.com, não clique. Nunca baixe um anexo de um remetente que você não reconhece, e mesmo se reconhecer o remetente, use a verificação de antivírus do seu e-mail nele.
Conteúdo mal escrito costumava ser um sinal claro, mas isso está mudando. Procure por gramática ruim, frases estranhas ou palavras com erros de ortografia. Empresas profissionais raramente cometem esses erros. No entanto, a gramática de muitos e-mails de phishing está melhorando com a rápida disseminação de sistemas de inteligência artificial. Então não confie apenas nisso.
Saudações genéricas são outro sinal. Esteja atento a introduções vagas como "Caro Cliente" em vez do seu nome. Empresas legítimas geralmente usam seu nome.
O Que É um Senso de Urgência em Phishing?
Os cibercriminosos se concentram em jogar com suas emoções com seus e-mails de phishing. O sinal mais vermelho para e-mails de phishing é um "senso de urgência", onde você se sente pressionado a agir rapidamente. Os golpistas querem que você aja rapidamente para que clique antes de pensar.
Nas mensagens de phishing, um senso de urgência pode ser negativo ou positivo.
Exemplos de senso de urgência positivo incluem: você ganhou um prêmio, deve receber dinheiro, pode obter uma oferta exclusiva. Eles tentam te fazer agir rápido para não perder a oportunidade.
Exemplos de senso de urgência negativo incluem: você foi hackeado, a Receita Federal está investigando você, criminosos estão gravando você através da sua webcam, há um mandado de prisão contra você. Eles tentam te fazer entrar em pânico e agir sem pensar.
Mesmo que as mensagens sejam perturbadoras e preocupantes, é importante lembrar que quase todas as mensagens enviadas para sua caixa de entrada de e-mail ou DM de redes sociais sobre assuntos sérios, como auditorias da Receita Federal, são golpes. Os golpistas dirão que têm imagens embaraçosas suas como uma forma de chamar sua atenção e dinheiro. Não dê a eles.
Leve 5 Segundos para Cada E-mail
Geralmente, você pode identificar os sinais vermelhos de um e-mail de phishing gastando cinco segundos por e-mail. Antes de clicar em um link, enviar qualquer informação ou baixar um anexo, respire fundo e considere se o e-mail é um phishing.
Pergunte a um colega de trabalho, amigo ou membro da família se a mensagem parece estranha. Nenhum e-mail precisa de uma resposta em menos de um minuto. Se alguém está pressionando você para agir imediatamente, desconfie.
Esses cinco segundos podem fazer toda diferença entre proteger seus dados e cair em um golpe.
Quando os Golpistas Sabem Seu Nome: Spearphishing
Às vezes, os cibercriminosos passam tempo personalizando um e-mail de phishing só para você. Eles podem saber seu nome, seu emprego, seu endereço ou os nomes de pessoas que você conhece. Eles podem obter esses dados das redes sociais ou de outras fontes publicamente disponíveis.
Isso é chamado de "spearphishing", ou seja, o golpista precisa direcionar especificamente você com sua mensagem. É mais sofisticado que phishing comum, e por isso mais perigoso.
Por causa disso, tenha cuidado com qualquer mensagem inesperada com um senso de urgência, mesmo que o remetente pareça saber quem você é. O fato de alguém saber seu nome não significa que a mensagem é legítima.
O Que Fazer se Você Encontrar uma Mensagem de Phishing
Detectou uma tentativa de phishing? Veja como lidar com isso.
Primeiro, mantenha a calma e não clique. Não clique em nenhum link ou baixe anexos. Mesmo o link de cancelamento de inscrição pode ser uma armadilha. Não responda ao e-mail. Qualquer interação pode confirmar que seu e-mail é válido e ativo.
Segundo, relate o e-mail. No trabalho, notifique imediatamente seu departamento de TI ou oficial de segurança. Eles precisam saber para proteger outros funcionários. Em casa, muitas plataformas de e-mail têm um recurso de "Relatar Phishing". Use-o para alertá-los. Outlook, Gmail e Mac Mail todos têm essa funcionalidade.
Terceiro, bloqueie o remetente. Dê um passo extra bloqueando o remetente no seu programa de e-mail. Isso previne futuros e-mails dessa fonte.
Por fim, exclua o e-mail. Exclua a mensagem. Não responda nem interaja com o remetente. Quanto menos interação, melhor.
Proteja Seu Lago Antes que o Phishing Aconteça
E-mails de phishing podem passar por seu filtro de spam, portanto, ser proativo é crucial. Adotar alguns comportamentos-chave de cibersegurança pode ajudar a protegê-lo quando o phishing ocorrer.
Habilite autenticação multifatorial sempre que possível para adicionar uma camada extra de segurança. Mesmo que alguém consiga sua senha através de phishing, MFA pode impedir o acesso.
Use senhas fortes e únicas e armazene-as com segurança em um gerenciador de senhas. Cada senha deve ter pelo menos 16 caracteres e ser única para a conta. Se uma senha for comprometida, as outras contas continuam seguras.
Mantenha todo o software e dispositivos atualizados para corrigir vulnerabilidades que os cibercriminosos exploram. Atualizações de segurança são cruciais para proteger contra malware que pode ser instalado através de phishing.
Denunciar Phishing Faz a Diferença
Ao relatar tentativas de phishing, você se protege e ajuda a impedir que outros caiam em golpes. Provedores de e-mail e equipes de TI usam seus relatórios para bloquear esses golpistas e melhorar as medidas de segurança.
Cada relatório ajuda a construir uma base de dados de golpistas e técnicas, tornando mais fácil identificar e bloquear futuros ataques. É um ato de cidadania digital que beneficia a todos.
Pense Antes de Clicar
Você pode se manter um passo à frente dos golpistas de phishing. Lembre-se: se algo parecer errado, confie em seus instintos. Você pode até pedir a um amigo para dar uma segunda opinião.
Pense por alguns segundos antes de clicar e você estará no caminho certo para se manter seguro online. Esses poucos segundos podem fazer toda diferença entre segurança e comprometimento.
Como profissional de segurança, vejo que a maioria dos ataques bem-sucedidos acontece porque as pessoas agem rápido demais, sem pensar. Desacelerar, questionar, verificar. Essas são as chaves para se proteger contra phishing.
Quer discutir phishing ou precisa de orientação sobre como proteger sua organização?
Conecte-se comigo no LinkedIn e vamos trocar experiências.
Ricardo Esper é CEO da NESS Processos e Tecnologia (desde 1991), CISO da IONIC Health, e CEO da forense.io. Certificado CCISO e CEHIv8, é membro ativo de HackerOne, OWASP e da Comissão de Privacidade de Dados da OAB SP.