O Microsoft Outlook exigirá DMARC até 5 de maio de 2025.
Leia mais
  • A FTC informa que o correio eletrónico é um meio popular para as burlas de falsificação de identidade

A FTC informa que o correio eletrónico é um meio popular para as burlas de falsificação de identidade

Blog

Os burlões fazem-se passar por empresas e governos em mensagens de correio eletrónico para roubar as suas informações. Descubra a nova regra da FTC e dicas para combater as fraudes de falsificação de identidade por correio eletrónico.

por YunesTarada

Tempo de leitura: 7 min
A FTC informa que o correio eletrónico é um meio popular para as burlas de falsificação de identidade
Índice-

Os ataques de falsificação de identidade têm vindo a aumentar na última década, com gigantes empresariais estabelecidos e agências governamentais na linha de fogo. A Comissão Federal do Comércioestá constantemente atenta a milhares de esquemas de falsificação de identidade que lhe são comunicados, visando estas empresas e organismos governamentais.

O problema com estes ataques é que jogam com a psicologia humana, o que os torna muito difíceis de detetar e travar. Além disso, os burlões estão a tornar-se cada vez mais sofisticados tecnologicamente nas suas técnicas de falsificação de identidade. Isto acaba por aumentar a taxa de sucesso das burlas. 

As más práticas de segurança nas organizações e a falta de sensibilização dos empregados são razões comuns que contribuem para o êxito das burlas de falsificação de identidade. Tanto assim é que, só em 2023, a FTC revela que lhe foram comunicados 330 000 casos de burlas de falsificação de identidade de empresas e 160 000 casos de burlas de falsificação de identidade do governo! No seu Consumer Protection Data Spotlight, a FTC revelou que o custo total associado a estes ataques no ano passado ultrapassou os mil milhões de dólares.

Takeaways de chaves

  1. O aumento das burlas de falsificação de identidade deve-se, em grande parte, à crescente sofisticação das técnicas dos burlões e às más práticas de segurança das organizações.
  2. O correio eletrónico e o SMS tornaram-se os principais meios para as burlas de falsificação de identidade desde 2020, ultrapassando as tradicionais burlas por chamada telefónica.
  3. As burlas de falsificação de identidade mais comuns incluem alertas de conta falsos, notificações de renovação, descontos incríveis, problemas de entrega de encomendas e ameaças de falsificação de identidade de agentes da autoridade.
  4. A implementação de protocolos de autenticação de correio eletrónico como SPF, DKIM e DMARC é essencial para que as organizações evitem eficazmente os esquemas de falsificação de identidade.
  5. Estar atento aos sinais de alerta nas mensagens de correio eletrónico e verificar os endereços dos remetentes pode ajudar significativamente as pessoas a evitarem ser vítimas de burlas de falsificação de identidade.

O que são burlas de falsificação de identidade? 

As burlas de falsificação de identidade são ciberameaças em que um atacante se faz passar por uma organização, instituição ou indivíduo para enganar as vítimas e levá-las a divulgar informações sensíveis. As burlas de falsificação de identidade são normalmente motivadas por razões financeiras ou para obter acesso aos sistemas e informações internos de uma organização. 

Quem são os destinatários?

Na realidade, qualquer pessoa pode fazer-se passar por outra pessoa em linha. No entanto, tendo em mente o motivo da rentabilidade, os ciberatacantes fazem-se passar pelos seguintes alvos populares nas burlas: 

  1. Empresas privadas de renome 
  2. Agências governamentais
  3. Bancos e instituições financeiras 
  4. Colégios, universidades e outros estabelecimentos de ensino 
  5. Quadros superiores de empresas (CEO, CTO, CFO)
  6. Amigos e família 

Simplifique a segurança com o PowerDMARC!

Teste grátis 15 diasMarcar demo

Que métodos são utilizados?  

Para levar a cabo esquemas de falsificação de identidade, os atacantes podem utilizar os seguintes métodos: 

1. Phishing por correio eletrónico: As mensagens de correio eletrónico de phishing são normalmente enviadas a partir de nomes de domínio falsos ou falsificados, fazendo-se passar por organizações reais para defraudar os seus clientes actuais ou potenciais.

2. Vishing/Smishing: Semelhante ao phishing, mas efectuado através de chamadas telefónicas ou SMS, os atacantes fazem-se passar por fontes legítimas para extrair informações sensíveis.

3. Redes sociais: A falsificação de identidade é muito frequente nas redes sociais, com os autores de fraudes a criarem perfis falsos de utilizadores existentes para espalharem informações erradas ou enganarem amigos e familiares. O sequestro de contas é outra forma de perpetrar esquemas de falsificação de identidade nas redes sociais.

Quais são os objectivos? 

O objetivo final dos esquemas de falsificação de identidade é: 

  1. Roubar informações sensíveis como credenciais de início de sessão, palavras-passe de contas, detalhes de cartões de crédito e débito, etc. 
  2. Roubar ou transferir dinheiro das vítimas e organizações 
  3. Manipular as vítimas para que descarreguem ransomware e malware para os seus sistemas
  4. Roubo de identidade 

Os 5 principais esquemas de falsificação de identidade comunicados pelos consumidores à FTC em 2023 

A FTC, no seu relatório Data Spotlight, enumerou as seguintes burlas que foram mais popularmente comunicadas pelos consumidores no ano de 2023: 

1. Alertas falsos de segurança da conta 

Suponha que recebe uma mensagem do seu banco a informar que transferiu um montante X de dinheiro e a pedir-lhe que confirme se efectuou a transação. Esta é uma mensagem bastante comum enviada pelos bancos quando se efectua uma transação, por razões de segurança. Só que a mensagem não é realmente do seu banco. Desta vez, é de um atacante que se faz passar pelo seu banco para o levar a transferir os seus fundos. 

2. Alertas falsos de renovação de conta

Tinha uma conta Netflix que não renovava há algum tempo e recebe um alerta súbito da Netflix a informá-lo de que está a proceder a uma renovação automática que irá deduzir dinheiro da sua conta. Esta situação é surpreendente e incita-o imediatamente a tomar medidas. Este alerta falso de um burlão que se faz passar pela Netflix é inspirado em burlas semelhantes comunicadas pelos consumidores à FTC. 

3. Incríveis ofertas de desconto, saldos e cupões de oferta 

Se não vive debaixo de uma pedra, esta burla não é novidade para si. É frequente recebermos mensagens e e-mails de empresas de comércio eletrónico sobre as últimas promoções e descontos. Embora algumas sejam genuínas, a maioria destas mensagens são burlas! É importante manter-se cauteloso e procurar sinais de aviso, como ligações e anexos suspeitos. Outros sinais de alerta podem ser mensagens mal escritas, erros gramaticais e ofertas que podem parecer demasiado boas para serem verdadeiras! 

4. Questões relacionadas com a entrega de encomendas 

Entre 2023 e 2024, houve um grande aumento nos golpes de entrega de pacotes. Este esquema parece bastante inofensivo. Uma encomenda entregue em seu nome não foi entregue e o utilizador é informado de que deve ir buscá-la manualmente aos correios locais. A mensagem tem normalmente uma hiperligação com mais pormenores sobre a encomenda. Mas a verdade é que não existe qualquer encomenda e a hiperligação pode levá-lo a um site de phishing para roubar as suas credenciais ou começar a descarregar malware no seu sistema! 

5. Problemas com a lei assustam

O stress e a coação conduzem frequentemente a um mau julgamento ou à falta de discernimento. É esta a motivação por detrás desta época de burlas de falsificação de identidade. Os burlões que se fazem passar por agentes da autoridade acusam indivíduos inocentes de se terem envolvido de alguma forma com a lei. As vítimas confusas fazem tudo o que os burlões dizem para não se meterem em sarilhos e se defenderem. 

A FTC apresenta uma nova regra sobre a falsificação de identidade de governos e empresas

Em 1 de abril de 2024a FTC finalmente lançou a nova regra sobre falsificação de identidade governamental e comercial. Eles introduziram ações rigorosas para evitar golpes de falsificação de identidade e minimizar as perdas financeiras incorridas pelos consumidores. Aqui estão as principais conclusões num relance:

  1. A FTC pode intentar acções judiciais contra os infractores para obter o reembolso do dinheiro roubado aos consumidores burlados 
  2. A FTC está continuamente a tentar proteger e educar os consumidores sobre os vários tipos de burlas de falsificação de identidade, para que estejam mais bem informados e equipados
  3. A FTC também está a aceitar comentários do público até 30 de abril sobre a sua regra de regulamentação comercial sobre falsificação de identidade para obter mais informações sobre os consumidores

Correio eletrónico: Um meio principal para esquemas de falsificação de identidade

A FTC destaca o correio eletrónico e as mensagens de texto como os dois principais meios para as burlas de falsificação de identidade após 2020. Embora as burlas por chamada telefónica fossem populares no passado, a sua frequência tem vindo a diminuir, com as burlas por correio eletrónico e SMS a aumentarem!

Mas porque é que os atacantes escolhem o correio eletrónico? O correio eletrónico é um meio potente para ataques informáticos, uma vez que é utilizado com demasiada frequência em ambientes pessoais e profissionais. São enviados mais de 300 mil milhões de e-mails por dia, com mais de 4 mil milhões de utilizadores activos de e-mail em todo o mundo! Isto faz com que o correio eletrónico seja um meio popular para os burlões procurarem potenciais vítimas. Outros factores que fazem do correio eletrónico uma escolha popular são 

  1. Falta de sensibilização para a fraude por correio eletrónico 
  2. Más práticas de segurança do correio eletrónico nas organizações e agências governamentais 
  3. Falta de suporte para protocolos avançados de autenticação de domínios 

Como evitar esquemas de falsificação de identidade por correio eletrónico?

Existem duas abordagens principais para evitar a falsificação de identidade por correio eletrónico: ser cauteloso com as mensagens que recebe e dificultar aos burlões a falsificação de identidade de remetentes legítimos (isto aplica-se mais às organizações).

Para os particulares, eis alguns conselhos:

  • Esteja atento aos sinais de alerta: Os burlões criam frequentemente um sentimento de urgência ou pressão para o levar a agir rapidamente sem pensar. Esteja atento a mensagens de correio eletrónico com má gramática, erros ortográficos ou pedidos inesperados de dinheiro ou informações pessoais.
  • Verificar os endereços dos remetentes: Não se baseie apenas no nome do remetente. Observe atentamente o endereço de correio eletrónico completo. Os burlões podem facilmente falsificar nomes de remetentes para os fazer parecer legítimos.
  • Não clique em ligações ou anexos suspeitos: Passe o rato sobre as ligações antes de clicar para ver o verdadeiro URL de destino. Nunca descarregue anexos de remetentes desconhecidos.
  • Desconfie de mensagens de correio eletrónico não solicitadas: Se receber uma mensagem de correio eletrónico de alguém que não conhece, tenha especial cuidado. 

Com o rápido aumento das fraudes de falsificação de identidade, a implementação de soluções de segurança de correio eletrónico na nuvem tornou-se crucial. Esta abordagem abrangente para proteger as comunicações por correio eletrónico desempenha um papel fundamental na prevenção de burlas de falsificação de identidade, na proteção de informações sensíveis e na manutenção da integridade das operações comerciais face às crescentes ameaças cibernéticas.

Para as organizações, existem medidas técnicas adicionais que podem ser implementadas:

  • Autenticação SPF: SPF ajuda a verificar se os e-mails que dizem ser do seu domínio são enviados dos seus servidores autorizados.
  • Autenticação DKIM: DKIM ajuda a verificar se as mensagens de correio eletrónico não foram adulteradas durante as transacções e se o conteúdo da mensagem se manteve intacto
  • DMARC: DMARC baseia-se no SPF e/ou DKIM e permite-lhe especificar a forma como os receptores de correio eletrónico devem tratar os emails não autenticados do seu domínio.
  • Educar os empregados: Formar o pessoal para estar atento a esquemas de falsificação de identidade por correio eletrónico e saber como detectá-los.

Embora os protocolos técnicos possam exigir tempo, esforço e recursos para serem configurados, além de conhecimento e experiência, as organizações facilitam o processo com um analisador DMARC. Esta ferramenta ajuda-o a configurar, monitorizar e gerir facilmente a autenticação de correio eletrónico para um ou vários domínios. Além disso, é uma solução mais rápida, económica e segura para fazer a transição de políticas sem aplicação para políticas com aplicação. Isto protege-o, em certa medida, contra esquemas de falsificação de identidade de correio eletrónico.

Palavras finais

A FTC está continuamente a tentar ajudar as vítimas de esquemas de falsificação de identidade e a sensibilizar para as ameaças cibernéticas. É importante recordar que a comissão nunca exigirá dinheiro, não o chantageará, não recorrerá à força nem lhe oferecerá prémios. Por conseguinte, se receber um SMS, um correio eletrónico ou uma chamada telefónica de alguém que diz ser da FTC e que age de forma suspeita, tenha cuidado! Pode contactar imediatamente os números da linha de apoio da FTC mencionados no seu sítio Web oficial para obter assistência. 

Por último, lembre-se de pregar e praticar sempre uma comunicação digital segura, de estar atento e de investir em boas ferramentas de cibersegurança. É sempre melhor prevenir do que remediar, e tomar as medidas certas agora pode ajudá-lo a poupar prejuízos em custos de reparação no futuro!

Últimas mensagens de Yunes Tarada (ver todas)
Privacidade de dados na comunicação por correio eletrónico: Conformidade, riscos e melhores práticasclop ransomwareO que é o Clop Ransomware?