O phishing por e-mail é uma das técnicas mais utilizadas para infectar computadores ou celulares, fazendo mais de 150 milhões de vítimas em 2021. O golpe consiste no envio de um e-mail que contém anexos maliciosos ou links para páginas e arquivos fraudulentos.
Você tem certeza que aquele e-mail do Mercado Livre (ou Boticário, Amazon, Lojas Americanas, dentre outras dezenas de marcas) que você recebeu realmente foi enviado por este remetente? Empresas e indivíduos costumam ser alvos de phishing por meio de mensagens projetadas para parecer que vieram de uma organização legítima.
Neste post, você vai aprender melhor como o ataque funciona, conferir exemplos reais e aprender a identificar e-mails maliciosos.
Ao clicar em links ou arquivos suspeitos, você poderá acabar baixando programas maliciosos, ou distribuidores de malwares. Quando o computador executar o arquivo, ele começa a baixar outros programas que podem roubar suas informações bancárias, dados de acesso a sites, etc.
Após fazer o download de todos os arquivos, o malware pode solicitar ainda um acesso de administrador na máquina, para que seja possível roubar dados confidenciais e realizar todas as ações desejadas no computador da vítima.
Outra forma de ataque do phishing por e-mail é a requisição direta de logins e informações confidenciais como senhas e dados bancários. Depois que suas informações são obtidas, os hackers tiram proveito de suas informações para obter ganhos financeiros, ou usar seu nome para adquirir bens.
Hoje em dia, os e-mails de phishing raramente começam com “Saudações do filho do príncipe da Nigéria …” e está se tornando cada vez mais difícil distinguir um e-mail legítimo de um phishing. Mas, a maioria apresenta dicas sutis de sua natureza fraudulenta.
Confira alguns exemplos reais de exemplos de phishing por e-mail para conseguir reconhecer riscos e manter a sua segurança.
Não verifique apenas o nome da empresa que enviou o e-mail. Confira a legitimidade daquele domínio passando o mouse sobre o nome do remetente e tenha certeza de que nenhuma alteração (como números ou letras adicionais) no nome da empresa foi feita.
Observe a diferença entre esses dois endereços de e-mail como um exemplo de fraude: notifications-noreply@linkedin.com e daylit@n4bmail.com.
A maioria das empresas usam domínios exclusivos para enviar mensagens, e uma minoria delas usa provedores de e-mail de terceiros.
Hoje em dia, é comum receber a nota fiscal por e-mail ao realizar uma compra em uma loja online. Mas quando se trata de phishing por e-mail, mesmo sem ter comprado nada, uma mensagem deste tipo pode ser entregue na sua caixa de entrada, normalmente sem logotipo ou nome de alguma loja conhecida.
Porém, supondo que você tenha realizado uma compra online há poucos dias, o recebimento deste e-mail aparentemente pode fazer sentido para você. Então, como identificar a diferença?
Primeiramente, deve-se analisar o conteúdo do e-mail. Caso indique um arquivo em PDF anexado, mas não contenha nenhum documento agregado, pode ser indicativo de um conteúdo malicioso.
Ao posicionar o mouse sobre o link, verifique o endereço completo que aparecer. Caso o e-mail indique conter um arquivo em anexo, jamais poderá oferecer um link para um arquivo hospedado em um serviço de armazenamento em nuvem. Suspeite, sempre.
Normalmente, instituições autênticas não enviam e-mails aleatoriamente com anexos, mas direcionam o usuário para fazer o download de documentos ou arquivos em seus próprios sites.
Alguns hackers simplesmente evitam a saudação por completo. Isso é especialmente comum com e-mails e anúncios.
Mensagens alarmistas são uma excelente arma que os cibercriminosos usam para atrair sua atenção. Conteúdos sensacionalistas ou urgentes, que demandam a execução de algo rapidamente para evitar um problema ou ganhar um prêmio são parte de uma estratégia usada para que a vítima se desespere e obedeça as normas do e-mail imediatamente.
Isso é especialmente comum em mensagens enviadas por falsas instituições bancárias, que anunciam bloqueios na conta, débitos de compras que você não fez e avisos de clonagem de cartão. Lembre-se: é muito improvável que um banco vá entrar em contato com o cliente para solicitar alterações cadastrais ou a senha de acesso via e-mail.
Uma das maneiras mais fáceis de reconhecer um phishing por e-mail está na gramática incorreta. Um e-mail de uma organização legítima deve ser bem escrito, e sem erros de digitação. Afinal, foi um profissional qualificado para isso que o redigiu, certo?
Desconfie da distribuição de brindes, prêmios ou presentes, principalmente de alto valor. A maior parte dos sorteios online já exige uma inscrição prévia. Confira se aquela promoção realmente existe nos canais oficiais da empresa e veja se o produto (ou serviço) oferecido realmente está relacionado com o tipo da empresa anunciante.
Embora existam diversos sinais para identificar um ataque de phishing, muitas réplicas de e-mails são idênticas às mensagens oficiais. Nesses casos, o ideal para manter a proteção constante é adotar boas práticas para evitar o recebimento de um e-mail phishing.
Como você pode perceber, identificar o phishing por e-mail não é uma tarefa tão difícil, mas é sempre importante ter em mente que prevenir é melhor do que remediar. Se você quiser saber mais sobre este tipo de golpe, leia mais um post do nosso blog para entender por que você se torna vítima de phishing por e-mail.
"Golpe do @", o novo golpe descoberto com o dfndr security já tem mais de…
Empresa foi convidada a colaborar na construção do relatório “O impacto e futuro da Inteligência…
Conheça o novo golpe que se aproveita do maior evento esportivo do mundo
Modalidade de phishing se tornou a campeã de detecções em 2022, acumulando mais de 5…
A tecnologia XDR é capaz de bloquear qualquer ameaça existente, pois faz um verdadeiro “raio…
Golpe do Auxílio, criminosos estão utilizando indevidamente o nome do programa e prometem transferência em…