O Phishing é algo único no mundo dos ataques informáticos – não depende de pontos fracos existentes ao nível do software, ou de vulnerabilidades – mas sim, pelo menos inicialmente, da capacidade de enganar os humanos.

Isso significa que os utilizadores de dispositivos móveis, que muitas vezes consideramos “imunes” a ataques informáticos – como smartphones – são, na verdade o veículo perfeito para ataques de phishing.

Os atacantes que utilizam este tipo de esquemas, optam sempre por métodos que sejam baratos, mas que ainda assim permitam roubar as informações de que necessitam. Isto pode ser conseguido através de um anexo com malware destinado ao roubo de palavras-passe que utiliza para o efeito um keylogger – ou levando a vítima a introduzir os seus dados num site falso.

À semelhança das grandes empresas, também os consumidores são afectados – segundo um estudo realizado pela Microsoft e no qual foram inquiridos 10.000 consumidores, 15% afirmaram terem sido vítimas de phishing, perdendo, em média, 158 dólares cada.

Os emails de phishing podem causar-lhe problemas em qualquer dispositivomail-256

Os ataques de phishing nem sempre dependem de cliques em anexos infectados – malware – em muitos casos os utilizadores são direccionados para uma página falsa que solicita palavras-passe e detalhes privados dos utilizadores. Isto significa que nenhum sistema está imune – independentemente se está aceder à Internet a partir de um PC, Mac ou de um dispositivo móvel – Android ou iOS. Se introduzir os seus dados numa determinada página maliciosa (mas bem disfarçada), os cibercriminosos vão poder aceder à sua conta – quer se trate de uma conta bancária ou, por exemplo, iTunes (com cartão de crédito em anexo).

Alguns e-mails são mais inteligentes do que outros

lock-256Os e-mails que fingem ser enviados pelo seu banco são muitas vezes mal elaborados, solicitando que confirme uma palavra-passe (algo que uma instituição bancária nunca irá fazer). Porém outros utilizam alguns truques “inteligentes”. Por exemplo, alguns e-mails fraudulentos que chegaram à ESET disponibilizam ao cliente uma escolha ‘Sim’ ou ‘Não’ no que diz respeito a transacções recentes ou a uma alteração nos detalhes dos contactos – com ligações para as opções ‘Sim, eu fiz este pedido “, ou ‘não, eu não fiz “. Como é óbvio, ambos os links são falsos e na maioria dos casos nem sequer se preocuparam em fazer ligações diferentes.

As informações públicas podem ser perigosas

search-256Se trabalha numa empresa em que a confidencialidade dos dados é uma prioridade, deve garantir que os mesmos permanecem realmente privados – caso contrário, os “phishers” podem criar ataques direccionados que parecem legítimos. No ano passado, uma empresa de energia eléctrica foi alvo de um ataque de phishing muito bem elaborado e que utilizou uma lista de participantes numa reunião para os ludibriar com e-mails infectados com malware. O site da empresa havia listado os endereços de email e os títulos de trabalho de todos os participantes numa reunião, informação suficiente para os cibercriminosos desenvolverem um ataque adaptado e convincente que utilizou as caixas de correio de todos os presentes na reunião.

Não clique em links disponíveis em emails que partam de instituições bancárias – mesmo que pareçam reais!

O seu banco dificilmente irá enviar-lhe mensagens de email com diversas ligações a sites – por esse motivo, se isto acontecer, será um enorme factor de alerta.

Se o seu nome não estiver claramente explícito, o e-mail é provavelmente falso

note-128Os cibercriminosos utilizam sempre logotipos muito convincentes – e imitam a linguagem dos bancos e outras instituições. Normalmente as mensagens são muito persuasivas como “Necessitamos da sua ajuda para resolver um problema com a sua conta. Por esse motivo, limitámos temporariamente o que pode fazer com a sua conta até que o problema esteja resolvido. Entendemos que pode ser limitativo não ter pleno acesso à sua conta e por esse motivo necessitamos que confirme os seus dados”. Apesar do texto poder estar correcto, em vez do email se dirigir a si, começa por Caro ou Estimado Cliente. Este facto por si só, é um enorme alerta que o email é provavelmente falso.

A presença de números de telefone não é garantia de nada

Não confie em e-mails com aparência profissional em que está presente um número de telefone de contacto – isto pode ser outro truque utilizado pelos cibercriminosos. O número até pode funcionar estará a ligar para um scammer e não para a empresa com que pretende falar.

O departamento técnico da sua empresa, sabe a sua palavra-passe

user-256Os ataques “spear phishing” podem fazer-se passar por emails enviados a partir do próprio departamento de TI – ou a partir de contactos de negócios, ou quadros superiores dentro da sua própria empresa. Seja cuidadoso. Se qualquer destes e-mails solicitar os seus dados de login ou palavras-passe, não os forneça – é um esquema comum utilizado por cibercriminosos para penetrarem nos sistemas das empresas. Telefone para o departamento de TI da sua empresa e perguntar se um determinado e-mail é real – eles vão-lhe agradecer.

Desconfie de boas notícias que chegam repentinamente

Os cibercriminosos disfarçam os seus ataques o mais possível e utilizam desde convites de casamento a eventuais reduções de impostos. Inclusivamente, estas táticas estão a aumentar em popularidade, sendo que o Reino Unido é actualmente um dos países muito atingidos – 50% a mais do que o total do ano anterior. Não se esqueça que se uma informação for realmente importante, ela irá chegar por correio e não por email.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

*