As burlas de phishing por correio eletrónico estão a aumentar e os atacantes estão a tornar-se mais criativos nas formas como tentam roubar dados. Analisamos os diferentes tipos de ataques de phishing e as melhores formas de se proteger a si e à sua empresa.
O que são e-mails de phishing e falsos?
Os e-mails de phishing são e-mails cuidadosamente elaborados que são enviados por um atacante de forma a parecerem legítimos, para enganar o alvo e levá-lo a tomar algum tipo de ação de boa fé.
O phishing de correio eletrónico pode ser dividido nos seguintes tipos:
Phishing
Neste tipo de ataque, um atacante faz-se passar por uma empresa real para obter as suas credenciais de início de sessão. Pode receber uma mensagem de correio eletrónico a pedir para verificar os detalhes da sua conta com uma ligação que o leva para um ecrã de início de sessão impostor que entrega as suas informações diretamente aos atacantes.
Spear Phishing
O Spear phishing é um ataque mais sofisticado que inclui informações personalizadas que fazem com que o atacante pareça uma fonte legítima. Podem utilizar o seu nome e número de telefone e referir-se à sua empresa no e-mail para o levar a pensar que têm uma ligação consigo, aumentando a probabilidade de clicar numa ligação ou anexo.
Whaling
Este ataque tornou-se mais popular recentemente, com os atacantes a visarem muito especificamente os principais empregados da empresa para os levar a transferir dinheiro ou a enviar informações sensíveis, fazendo-se passar por um verdadeiro executivo da empresa. Utilizando um domínio falso que parece semelhante ao da empresa da vítima, ou em combinação com Spoofing (ver abaixo), o atacante envia um e-mail que parece ser uma mensagem de um colega de alto nível da empresa, normalmente o CEO ou o CFO, e pede informações sensíveis (incluindo nomes de utilizador e palavras-passe). Um exemplo comum de whaling é pedir à vítima que tome medidas financeiras sob pressão ("transfira rapidamente dinheiro para uma conta bancária para que a empresa não perca um grande contacto").
Phishing de documentos partilhados
Pode receber um e-mail que parece vir de uma plataforma de documentos partilhados (como o SharePoint ou o Google Drive) que o alerta para o facto de um documento ter sido partilhado consigo. A ligação fornecida nestes e-mails leva-o para uma página de início de sessão falsa que imita a página de início de sessão real e rouba as credenciais da sua conta se as introduzir.
E-mails falsos
Um e-mail falso é quando um atacante envia um e-mail fazendo-se passar por um remetente diferente. É frequentemente utilizado em combinação com os ataques anteriores para aumentar a confiança do utilizador no e-mail recebido, baixando a sua guarda.
A que é que deve estar atento?
A maior parte das plataformas de correio eletrónico filtram muitos e-mails maliciosos, mas é inevitável que alguns consigam passar, especialmente para pessoas que ocupam cargos superiores ou que têm os seus dados de contacto mais publicamente divulgados. É por isso que deve estar sempre atento ao abrir qualquer mensagem de correio eletrónico que receba. Reunimos alguns sinais de aviso óbvios a que deve estar atento quando abre uma mensagem de correio eletrónico...
Avisos óbvios
Avisos de remetente não verificado
Pode encontrar e-mails na sua caixa de entrada com a indicação "Não verificado" ou semelhante junto ao remetente. Isto é o seu fornecedor de correio eletrónico a tentar avisá-lo de que o remetente pode ser suspeito.
Avisos na linha de assunto e no corpo do email
Em plataformas de email como o Office 365, os administradores podem configurar políticas personalizadas que precedem o assunto de um email com [WARNING] ou [CAUTION] quando são recebidos emails provenientes de um remetente não reconhecido. Quando este é o caso, o corpo da mensagem de correio eletrónico é também precedido de uma mensagem de aviso ou de precaução, como a que se segue.
Pedidos anormais
Os e-mails de phishing pedem-lhe que tome algum tipo de ação, por isso, se receber um pedido para qualquer um dos seguintes, deve ser tratado como suspeito;
1. Clicar numa ligação incorporada que o leve a um sítio Web
2. Responder à mensagem de correio eletrónico fornecendo informações sensíveis, como o nome de utilizador, a palavra-passe ou informações de identificação pessoal
3. Realizar acções financeiras, como transferências bancárias, ou fornecer dados bancários ou de cartões de crédito
Tempo Urgência
Os e-mails de phishing criam muitas vezes um sentido de urgência, como "tem de fazer isto na próxima 1 hora para não perder o acesso" ou "pode fazer a transferência bancária hoje para não perdermos negócios importantes". Se o pedido for genuíno e verdadeiramente urgente, muitas vezes o correio eletrónico não é a melhor forma de comunicação e isso deve levantar suspeitas.
Má ortografia/gramática
Os e-mails de phishing também utilizam frequentemente uma ortografia ou gramática incorrecta. Se o tom da mensagem de correio eletrónico não corresponder ao da pessoa que parece ter enviado a mensagem, deve sempre tentar verificar o pedido pessoalmente ou através de uma chamada de vídeo/áudio para ter a certeza de que está a falar com a pessoa certa.
Avisos subtis
Por vezes, os sinais são um pouco menos óbvios, mas com algumas verificações básicas é possível detetar e-mails de phishing. Abaixo está um exemplo de uma mensagem de correio eletrónico de alguém que se faz passar por PayPal. À primeira vista, o e-mail parece legítimo, mas com algumas verificações rápidas podemos identificá-lo como um e-mail de phishing.
1. Se olharmos para o endereço de correio eletrónico do remetente no exemplo, parece ser de "service@intl.paypal.com" mas, após uma análise mais aprofundada, verá que, na realidade, é de "service.epaiypal@outlook.com
2. A mensagem de correio eletrónico contém uma ligação de início de sessão que conduz a um sítio sem escrúpulos. Pode verificar para onde a ligação de qualquer mensagem de correio eletrónico o levará passando o cursor sobre o URL, que mostrará o endereço a que conduz, para que possa inspeccioná-lo antes de clicar nele. Este é normalmente apresentado num dos cantos inferiores ou, por vezes, no seu cursor.
O que fazer e o que não fazer
Tudo isto pode parecer um pouco complicado mas, em geral, se seguir os prós e os contras abaixo, terá uma boa hipótese de apanhar qualquer mensagem de phishing.
- ATENÇÃO aos sinais acima indicados.
- TENTE verificar o remetente através de um método de comunicação diferente se não tiver a certeza
- NÃO transmitir informações sensíveis ou pessoalmente identificáveis por correio eletrónico, sempre que possível, especialmente quando se trata de um pedido cego ou externo.
- NÃO tomar medidas de administração financeira ou informática sem verificar através de outro método de comunicação.
- NÃO clicar em hiperligações em mensagens de correio eletrónico sem verificar primeiro para onde o URL conduz.
- NÃO abrir anexos de remetentes suspeitos ou desconhecidos.
- NÃO partilhe as suas credenciais de início de sessão com ninguém, em circunstância alguma.
