Phishing é o golpe mais usado pelos cibercriminosos e o e-mail é a sua ferramenta mais comum: o sucesso está em fazer passar as mensagens fraudulentas como se viessem de organizações lícitas.
Hoje pela manhã, ao abrir meu e-mail pessoal, havia dezenas de mensagens em minha caixa de entrada. Eram recados de amigos, newsletters, anúncios publicitários, etc. Até aí, tudo bem. O problema foram três mensagens inusitadas que chamaram minha atenção.
A primeira delas foi enviada por um suposto advogado de algum país distante. Ele dizia que seu cliente havia falecido e deixado alguns milhões de dólares convenientemente localizados em “meu país”. Por motivos de logística, o remetente pedia ajuda para resgatar a fortuna, prometendo uma generosa recompensa pela gentileza. Obviamente marquei e reportei a mensagem como spam. Esse tipo de golpe, que oferece recompensas financeiras em troca de uma ajudinha, vem dos primórdios da internet. Como sei que dinheiro não cai do céu, identifiquei facilmente a pegadinha.
A segunda mensagem me deixou um pouco preocupado. Se por um lado sei que são nulas as chances de dinheiro cair do céu, também sei que isso não acontece com as contas. Essas sim têm o poder sobrenatural de se multiplicarem espontaneamente, aparecendo do nada em nossas vidas nos momentos mais inoportunos. Bem, o remetente e o assunto da mensagem eram os mesmos: Fatura Net. O texto dizia exatamente isso: “Para sua comodidade estamos encaminhando a 2a via da fatura do seu Plano Net... Não deixe de efetuar o pagamento no prazo para evitar possíveis problemas de desconexão...”.
Além do textinho sem-vergonha, o e-mail também trazia um anexo em PDF. Como tenho o Avast Ultimate instalado em minha máquina, abri o arquivo sem me preocupar em ser contaminado por vírus, com sequestro de arquivos ou roubo de informações. Atenção, mesmo com a melhor proteção do mercado, essa não é uma boa prática de segurança. Então não aconselho fazer isso em casa ou no trabalho. Como dizemos aqui na Avast, uma corrente é tão forte quanto o seu ponto mais fraco. E em termos de segurança digital, todo cuidado é pouco.
Voltando ao assunto, o arquivo era uma conta da Net, com o logo da empresa e tudo o que um boleto tem, incluindo meu nome e número de contrato, o valor a ser pago e código de barras. Realmente parecia um documento legítimo. O problema é que não sou cliente da Net. Então, só para ter certeza absoluta de que essa era apenas mais uma tentativa de golpe, verifiquei o e-mail do remetente. Bingo! O endereço boleto2@dkvox.net.br pode ser de qualquer um, menos da Net. Foi para a lista de spams.
A terceira mensagem foi semelhante à segunda, só que em vez de uma cobrança, era a “Apple” dizendo, em inglês, que “seu Apple ID foi bloqueado por motivos de segurança... Para desbloqueá-lo, você precisa verificar sua identidade”. No fim da tela, havia um botão dizendo “Verificar Conta”.
Bom, para começo de conversa, minha comunicação com a empresa é feita em outro endereço e na língua portuguesa. O e-mail do remetente também era bastante suspeito: noreply.support.cvh6hxiosdc@email.apple.com. Mas por curiosidade, fui ver o que havia por trás disso tudo. Assim, novamente, como tenho o Avast Ultimate, que me protege não só contra vírus e ransomwares, mas também contra sites falsos (entre outras coisas), cliquei no link para ver o que dava (atenção: novo alerta de má prática).
Para minha surpresa, ao invés de me levar para uma página falsa de verificação de identidade, fui redirecionado a uma página de vendas de um e-book sobre “métodos comprovados e fáceis para acabar com maus hábitos”. Ótimo! Era tudo o que eu queria neste começo de ano. Mas pera lá. A forma como cheguei a essa página foi muito suspeita. Mesmo não se tratando de um sistema fraudulento de verificação de identidade, ainda assim a página pedia alguns dados pessoais. E é aí que mora o perigo. Talvez o autor do e-book quisesse apenas dar um jeitinho de aumentar a visibilidade do seu trabalho, mas quem garante que essa não era mais uma tentativa de roubo de identidade? Outra mensagem para a caixa de spam.
Esses três e-mails são apenas alguns dos exemplos de mensagens phishing que rondam a internet. Se você é um dos quase 4 bilhões de usuários de e-mail do planeta, é muito provável que, assim como eu, já tenha recebido algo muito parecido em sua caixa de entrada.
Mas o que é phishing afinal?
O nome phishing é um neologismo da palavra inglesa fishing (a pronúncia de ambas é a mesma, “físhim”), que significa pescaria. Em uma analogia aos pescadores do mundo real, a palavra se refere à ideia de golpistas jogando suas redes no mar cibernético com o objetivo de pescar dados preciosos de usuários incautos.
Esse é o tipo de golpe mais usado pelos cibercriminosos e o e-mail é a ferramenta mais comum usada por eles. Geralmente os golpistas enviam mensagens fraudulentas se passando por organizações lícitas, como aquelas que recebi da “Net” e da “Apple”. Isso, segundo especialistas, contribui para o sucesso da falcatrua, pois pode fazer com que a vítima acredite se tratar de algo sério.
Outro tipo de mensagem que também atrai muito a atenção dos usuários desinformados são promoções incríveis ou manipulações psicológicas. Nesse último caso, é como aquela mensagem que recebi do suposto advogado estrangeiro. No fim das contas, independentemente do teor da mensagem, o objetivo é se aproveitar da vulnerabilidade da vítima para roubar informações pessoais, credenciais de acesso e números de cartões de crédito e contas bancárias, ou espalhar malwares e ransomwares pela rede.
Dicas para nunca cair em golpes phishing
Algumas vezes, o ataque phishing é óbvio e pode ser identificado rapidamente. Mas especialistas alertam para o fato de que essa técnica de ludibriamento está evoluindo constantemente, com cibercriminosos se aproveitando do conhecimento limitado sobre o assunto por parte dos usuários.
Mas fique esperto:
1. Você se lembra que seus pais pediam para você nunca falar com estranhos? O mesmo vale no mundo virtual. Não inicie uma troca de mensagens com alguém que não conhece só porque essa pessoa está lhe oferecendo uma ótima vantagem financeira. Sejamos realistas, quais as chances de alguém lhe dar uma bolada de presente só porque o dia está bonito? Questione-se sempre sobre o teor das mensagens recebidas e nunca envie nenhuma informação pessoal sem antes ter certeza de que não está embarcando em uma furada.
2. Sabe aquele e-mail com uma promoção incrível da sua marca favorita? Se é algo bom demais para ser verdade, há uma grande chance de se tratar de mais um golpe. Verifique o endereço do remetente para ver se confere com as mensagens que recebe daquela empresa. Mas vamos dizer que você tenha esquecido de fazer essa verificação e tenha clicado no link promocional. Na página redirecionada, é pedido que você insira dados pessoais e informações de pagamento. Atenção aqui! Antes de clicar em “Comprar”, confira se o endereço da loja está correto. Sites falsos podem ter o mesmo design do original, mas sempre haverá alguma coisa diferente no URL, nem que seja apenas uma letra a mais ou fora de lugar. Ou ainda mais difícil de identificar, o nome do estabelecimento pode estar correto, mas domínio pode ser diferente (por exemplo: .net quando deveria ser .com.br). Também verifique se o endereço conta com as siglas iniciais HTTPS. Esse é o protocolo que permite que o computador troque informações de forma segura com o servidor do site. Páginas impostoras geralmente não contam com esse elemento.
3. Se você recebeu um arquivo “importante”, porém inesperado de um estranho ou até mesmo de um conhecido, não o abra. Se a mensagem for de alguém que você nunca ouviu falar, jogue-a diretamente na lixeira. Se for de um colega de trabalho, amigo ou parente, pergunte a eles se enviaram alguma coisa para você. Conforme a resposta, já sabe o que fazer.
4. Mantenha seus navegadores sempre atualizados. Essa prática é importante, pois a cada atualização, o desenvolvedor do software fornece correções de vulnerabilidades do sistema.
5. Se você é responsável por uma empresa com funcionários que usam computadores, forneça treinamento adequado à sua equipe para que ele possa reconhecer ameaças online.
6. Coloque em prática o princípio do menor privilégio em sua empresa. Essa é uma política de segurança que concede autorização de acesso apenas nas áreas necessárias para que os profissionais possam realizar seus trabalhos.
7. Tenha um antivírus completo em sua máquina ou uma solução de segurança cibernética profissional em sua empresa. O Avast Antivírus ou, no caso de organizações, as soluções do Avast Business são bons exemplos que protegem você e sua empresa contra qualquer ataque phishing e muitas outras ameaças online. Para se ter uma ideia, os produtos Avast bloqueiam 66 milhões de ataques todos os dias e contam com atualizações instantâneas a cada nova ameaça que surja em qualquer parte do mundo.
Com a adoção de boas práticas e ferramentas de segurança de ponta, você pode acessar seus e-mails e navegar pela web tranquilamente, tendo a certeza de que ninguém vai roubar uma das suas propriedades mais importantes: suas informações.