Anatomia do phishing: Como identificar um e-mail falso
A arte de enganar usuários para coletar dados sensĂveis, como senhas e informações bancárias, tem um nome para chamar de seu: phishing. O que Ă© phishing e como se proteger? Smishing e Vishing: o phishing que chega por SMS e ligação de voz Identificado originalmente na Ă©poca da internet discada, lá nos anos 1990, esse tipo de ataque digital se fortaleceu ao longo das Ăşltimas dĂ©cadas graças aos avanços tecnolĂłgicos, como a popularidade de ferramentas de inteligĂŞncia artificial (IA), por exemplo, mas sua essĂŞncia sempre permaneceu a mesma. Em termos gerais, um phishing funciona como uma espĂ©cie de pescaria virtual em que o cibercriminoso joga uma “isca” para o usuário, torcendo para que ele seja fisgado. Caso isso ocorra, o hacker consegue roubar informações confidenciais da vĂtima para cometer uma fraude usando e-mails e mensagens falsas. Tudo que vocĂŞ precisa Ă© abrir a porta, permitindo que ele entre. -Entre no Canal do WhatsApp do Canaltech e fique por dentro das Ăşltimas notĂcias sobre tecnologia, lançamentos, dicas e tutoriais incrĂveis.- “Mas por que alguĂ©m faria isso?”, vocĂŞ deve estar se perguntando. A resposta Ă© simples: os hackers sĂŁo verdadeiros mestres na arte da engenharia social, alĂ©m de tambĂ©m receberem um apoio especializado de ferramentas tecnolĂłgicas que tornam as operações mais personalizadas, automatizadas e difĂceis de serem detectadas. Parece um cenário apocalĂptico, mas Ă© perfeitamente possĂvel se proteger de ataques de phishing no universo online. Saber como identificar um e-mail falso, por exemplo, Ă© uma boa maneira de começar a se prevenir. A psicologia do golpe Embora possa parecer um golpe manjado diante de tantas inovações que aparecem diariamente no meio digital, um ataque de phishing funciona justamente pela simplicidade de seu modus operandi, que começa na mente da vĂtima. Isso porque, ao usar engenharia social, os hackers conseguem manipular o usuário a partir de gatilhos mentais que despertam reações impulsivas e amedrontadoras, como a sensação de urgĂŞncia e medo. Cibercriminosos usam engenharia social para enganar vĂtimas com e-mails falsos (Imagem: Reprodução/GCF Global). É difĂcil encontrar alguĂ©m que nunca tenha recebido pelo menos uma vez na vida um e-mail dizendo “sua conta será bloqueada em 24 horas”, ou “sua fatura está atrasada”. SĂŁo duas táticas muito usadas pelos cibercriminosos pela maneira como implementam o pânico no usuário, que, com medo de que algo ruim aconteça, decide clicar no link suspeito para verificar a conta ou pagar um boleto falso. A segunda tática mais comum encontrada em ataques de phishing sĂŁo mensagens que despertam a curiosidade do usuário ou que ofereçam algum tipo de oportunidade imperdĂvel, como cupons de desconto, recebimento de prĂŞmios ou atĂ© mesmo o rastreamento de uma encomenda. Por fim, tambĂ©m Ă© possĂvel encontrar mensagens fraudulentas que se passam por autoridades legais, como ĂłrgĂŁos do governo ou bancos. Aqui, Ă© frequente encontrar casos de golpistas que usam logotipos ou sites dessas instituições para impor respeito usando a reputação e legitimidade das empresas. Sinais básicos de que Ă© um e-mail falso Ataques de phishing sofisticados e difĂceis de serem identificados sĂŁo comuns, mas nem tudo está perdido no universo digital. Mesmo que os hackers tentem manipular a vĂtima para conseguir pescá-las, Ă© possĂvel ficar atento aos sinais básicos que o que vocĂŞ está vendo na tela do seu dispositivo Ă© um e-mail falso. Vamos, entĂŁo, conhecer trĂŞs táticas que podem ser usadas na hora de inspecionar um documento suspeito que chega Ă sua caixa de entrada:
Verifique o remetente. Pode parecer uma dica básica, mas diferenciar o endereço real do nome de exibição no e-mail faz toda a diferença. Isso porque, enquanto o nome pode aparecer como “Suporte Netflix”, o e-mail real é, na verdade, “contato@loja-de-pesca.com”. Golpe na certa.
Faça o teste do mouseover. Passar o mouse em cima do botão ou do link sem clicar é uma maneira de verificar qual é a URL verdadeira daquilo que você recebeu.
Repare em termos genĂ©ricos. Caso vocĂŞ veja um “prezado cliente” no começo do e-mail, suspeite na hora, porque saudações genĂ©ricas sĂŁo comumente usadas em phishings, embora ataques mais sofisticados usem o nome real vazado da vĂtima. Alguns sinais podem mostrar que vocĂŞ recebeu um e-mail de phishing (Imagem: Reprodução/We Live Security). Detalhes avançados para identificar um e-mail falso Indo alĂ©m do básico, vale tambĂ©m prestar atenção em alguns sinais mais avançados para identificar um e-mail falso. Considerando que os golpes continuam evoluindo, Ă© fundamental ter em mente as principais táticas usadas pelos cibercriminosos no momento de emplacar o ataque de phishing. Confira a seguir 4 detalhes para ligar o sinal vermelho na hora da inspeção:
Spoofing de domĂnio: tambĂ©m conhecido como typosquatting, o spoofing de domĂnio funciona como uma máscara. O hacker registra um domĂnio visualmente parecido com o real, trocando letras por nĂşmeros, por exemplo, para enganar a vĂtima. Um exemplo Ă© receber um e-mail do “suporte@app1e.com”, onde o nĂşmero 1 substitui o “L”.
Ataques Homográficos (IDN): quando hackers exploram a semelhança visual de caracteres para enganar os usuários. Nesse caso, Ă© possĂvel encontrar caracteres de outros alfabetos que sĂŁo iguais aos latinos, por exemplo, mas o computador os identifica como diferentes.
SubdomĂnios enganosos: essa tĂ©cnica consiste no uso da marca real como subdomĂnio de um site falso. Assim, se ver um e-mail “netflix.promocao-hoje.com”, vocĂŞ será redirecionado para o site “promocao-hoje” e nĂŁo para a Netflix. É fundamental analisar tudo que vem antes do “.com” ou “.br”.
Campo “responder para”: antes de sair clicando em qualquer coisa, verifique o campo do e-mail que corresponde Ă s respostas. Se a mensagem parece vir de “chefe@empresa.com”, mas quando vocĂŞ clica para responder aparece um “hacker@gmail.com”, Ă© um golpe na certa. Como nĂŁo ser enganado? Para alĂ©m de saber como identificar um e-mail falso, tambĂ©m Ă© importante saber o que fazer para nĂŁo ser enganado pelos golpistas. Assim, Ă© possĂvel ter uma experiĂŞncia mais positiva e segura na web, mantendo a integridade das suas informações. NĂŁo interaja A primeira coisa que vocĂŞ deve fazer quando detectar um e-mail falso Ă© nĂŁo interagir. Jamais responda Ă s mensagens ou faça ações que possam informar os criminosos que vocĂŞ Ă© um usuário ativo. Nunca interaja com e-mails de phishing (Imagem: Reprodução/Viva). Isso porque atĂ© mesmo a simples ação de clicar para se “descadastrar” de um e-mail que vem de phishing pode ser perigoso, já que isso confirma que vocĂŞ, pelo menos, leu aquelas mensagens. Nunca clique em links que parecem suspeitos Se vocĂŞ recebeu um e-mail que parece ser phishing, nunca clique no link no corpo da mensagem. Mesmo que venha de um banco ou de uma instituição governamental, isso pode ser usado por golpistas para espalhar malware e outros softwares maliciosos. Nunca clique em links suspeitos recebidos por e-mail; isso pode ser golpe de phishing (Imagem: Reprodução/Hoxhunt) Logo, sempre acesse o canal oficial de empresas ao invĂ©s de usar o link do e-mail. Opte por digitar o site no navegador ou abrir o aplicativo diretamente. Use ferramentas de análise A tecnologia pode ser usada para o mal, mas tambĂ©m oferece diversas possibilidades benĂ©ficas e seguras para os usuários, como ferramentas de análise para se proteger de ataques de phishing. Usar ferramentas de análise Ă© fundamental para se proteger online (Imagem: Reprodução/Truly Secure/Pixabay). Aqui, vale apostar em sites como o VirusTotal, uma ferramenta que analisa se o link suspeito realmente contĂ©m um malware, ou o Header Analyzers, recurso que verifica cabeçalhos de e-mails. Vale ressaltar ainda que a desconfiança Ă© o melhor antĂdoto para se livrar de ataques de phishing antes que eles se concretizem. Sua melhor munição contra essas investidas Ă© saber como identificá-las Ă primeira vista, usando táticas de proteção para se manter seguro no ambiente digital. Leia tambĂ©m: Phishing com IA: como se proteger dos golpes digitais mais sofisticados O que Ă© Engenharia Social? Aprenda a identificar e se proteger de golpes Como identificar se um site Ă© uma tentativa de phishing? Leia a matĂ©ria no Canaltech.