O que pode ser uma mensagem de phishing? 10 sinais de alerta que não deve ignorar

Blogue

As mensagens de phishing estão mais inteligentes do que nunca - não caia nelas. Saiba como detetar 10 sinais de alerta importantes com exemplos reais e dicas de especialistas para se manter protegido.

por Milena Baghdasaryan

Tempo de leitura: 7 min
O que pode ser uma mensagem de phishing? 10 sinais de alerta que não deve ignorar
Índice-

Acha que consegue detetar uma burla? As mensagens de phishing estão cada vez mais sorrateiras. 

Durante o phishing, os atacantes enviam mensagens de correio eletrónico fraudulentas que contêm ligações para sítios Web maliciosos. Os sítios podem conter malware (por exemplo, ransomware) para sabotar sistemas e organizações. Em alternativa, podem ter como objetivo enganar os utilizadores para que revelem informações sensíveis (por exemplo, números de cartões de crédito). Os burlões fazem-se muitas vezes passar por marcas e entidades em que já confiamos, como a Amazon, a Netflix ou bancos. Estes ataques podem resultar em enormes perdas financeiras e roubo de identidade. 

Antes de clicar em qualquer ligação, verifique estes 10 sinais de alerta que o podem salvar de se tornar uma vítima.

Principais conclusões

  • Os tipos mais comuns de mensagens de phishing incluem phishing por correio eletrónico, smishing (SMS), phishing social e vishing. 
  • Alguns sinais de alerta podem indicar um esquema de phishing. Estes incluem saudações genéricas, pedidos de informações sensíveis, ofertas demasiado generosas e tentadoras, ligações suspeitas para anular a subscrição, etc.
  • A personificação de marcas de renome é outro elemento-chave dos esquemas de phishing e um sinal de alerta útil. 
  • Alguns exemplos reais de esquemas de phishing incluem pedidos falsos da DocuSign, esquemas de confirmação de encomendas da Amazon e fraude no reembolso de impostos do IRS. 
  • Ferramentas avançadas de proteção contra ameaças, autenticação de correio eletrónico e MFA podem ajudar as empresas a manterem-se protegidas.

Tipos comuns de mensagens de phishing 

Existem vários tipos de mensagens de phishing, alguns mais comuns do que outros. 

Phishing por correio eletrónico

Este é o tipo de phishing mais difundido. No phishing por correio eletrónico, os cibercriminosos enviam mensagens de correio eletrónico de entidades aparentemente legítimas, como serviços online, bancos, marcas de renome, etc. Estes e-mails podem conter facturas falsas e pedidos de reposição de palavra-passe, muitas vezes acompanhados de um sentido de urgência. Levam a vítima a clicar numa ligação maliciosa ou a descarregar um anexo que, por sua vez, pode ter consequências devastadoras. 

Smishing (SMS)

O nome sugere o significado: uma mistura de "SMS" e "phishing". Durante estes ataques, os agentes da ameaça enviam mensagens de texto enganadoras que manipulam o destinatário para que este tome uma ação prejudicial para si próprio. Esta ação pode incluir a introdução de dados sensíveis, clicar em ligações prejudiciais ou instalar software malicioso. Um exemplo pode ser um SMS do tipo "A sua encomenda está atrasada - clique aqui!" SMS, em que o destinatário é convidado a clicar numa hiperligação potencialmente maliciosa. 

Phishing social

O phishing nas redes sociais é um ataque realizado através de plataformas de redes sociais como o Facebook, Instagram, LinkedIn, X ou outras. A mensagem pode ser muito amigável, assumindo a forma de brindes gratuitos. Em alternativa, pode provocar medo, como por exemplo "A sua conta foi bloqueada". Em todos os casos, é muitas vezes difícil distinguir entre estas mensagens falsas e as verdadeiras. 

Vishing (chamadas de voz)

O vishing (ou seja, phishing de voz) refere-se ao ataque de phishing em que os cibercriminosos utilizam as chamadas telefónicas para manipular a vítima de modo a que esta forneça informações pessoais ou comerciais importantes. Um exemplo comum de vishing é a frase "O seu SSN está suspenso", que provoca imediatamente medo e leva a vítima a agir o mais rapidamente possível. 

10 sinais de alerta: O que pode ser uma mensagem de phishing? 

Há sinais de alerta a que deve estar sempre atento se quiser proteger-se de ataques de phishing. 

1. Ameaças urgentes 

Exemplos de ameaças urgentes incluem: "A sua conta será encerrada dentro de 24 horas!" "A sua conta foi violada." "Pague agora para manter a sua conta empresarial". O sentido de urgência é um dos elementos mais comuns encontrados nas tentativas de phishing. Mas por muito urgente que a situação pareça, dê sempre um passo atrás, reflicta e veja se é realmente tão urgente como parece à primeira vista. 

2. Saudações genéricas ("Caro cliente" em vez do seu nome)

Os piratas informáticos visam frequentemente vários destinatários em simultâneo. Como resultado, a mensagem pode muitas vezes parecer genérica e não conter quaisquer elementos personalizados. Por exemplo, em vez do seu nome, pode ver um "Caro cliente" ou um "Sr.", sem qualquer identificador. Aborde sempre estas mensagens genéricas com precaução.

3. Endereços de remetente não coincidentes 

Preste atenção ao endereço do remetente e veja se corresponde ao endereço legítimo. Por exemplo, veja este: "[email protected]." Se não estiver suficientemente atento, pode verificar que a letra "o" foi substituída pelo número "0". Estes truques são bastante comuns entre os hackers. Para os detetar, basta ser mais cuidadoso e atento, e verificar tudo duas vezes antes de agir.

Pode verificar se uma ligação é legítima passando o cursor do rato sobre o URL. Embora isto não lhe forneça uma imagem completa, terá pelo menos uma ideia básica do padrão. Também pode utilizar um verificador de URL online para obter resultados mais precisos. 

5. Pedidos de dados sensíveis (palavras-passe, SSN, cartões de crédito)

Daria o seu filho a um estranho só porque ele lhe pediu? Muito provavelmente, não o faria. Então, porque é que confiamos tão facilmente a estranhos as nossas palavras-passe, SSN, cartões de crédito e outras informações sensíveis? Sempre que lhe pedirem informações sensíveis, tenha cuidado redobrado; caso contrário, as consequências podem ser prejudiciais para a sua empresa. 

6. Má gramática/ortografia

Detectou vários erros estilísticos, gramaticais ou ortográficos num único parágrafo? Ou será que a mensagem não soa bem na sua língua materna? Este é um bom sinal para verificar novamente a fonte antes de clicar em qualquer ligação. 

7. Anexos invulgares

Procure sempre anexos invulgares, como ficheiros.exe ou .zip. Se os detetar, saiba que a mensagem pode muito bem ser um esquema de phishing. 

8. Ofertas demasiado boas para serem verdadeiras 

Muitos de nós já vimos a mensagem "Ganhou um iPhone grátis!". Uma mensagem destas é bastante tentadora para clicar. Foi o caso da minha irmã mais nova, que estava tão convencida de que tinha ganho um iPhone que a minha mãe e eu demorámos várias horas a convencê-la do contrário. Mas, na verdade, porque é que alguém nos daria um presente caro, como um iPhone, sem motivo? A menos que acredite na história do "Pai Natal vai recompensá-lo se se portar bem ao longo do ano", deve compreender que as ofertas "demasiado boas para serem verdadeiras" muitas vezes não são verdadeiras. 

9. Falsificação de marcas de confiança 

Recebeu uma mensagem da Microsoft, PayPal, Amazon ou do seu banco de confiança? Pede-lhe que introduza informações sensíveis ou clique numa ligação? Verifique duas vezes para ver se se trata realmente da sua entidade de confiança ou apenas de um ator de ameaças que se faz passar por si. 

10. Cancelar a subscrição de ameaças 

Os links de cancelamento de subscrição são um terreno frutífero e fácil de aproveitar para os hackers. As pessoas confiam normalmente nos links de cancelamento de subscrição e os agentes de ameaças sabem-no bem. Podem incluir links e ficheiros maliciosos neste campo. Outro exemplo é uma mensagem do tipo "Click here or be charged $50/month" (Clique aqui ou será cobrado $50/mês), em que o utilizador é solicitado a tomar medidas para evitar pagar dinheiro. Na realidade, o utilizador acaba por pagar mais se clicar na ligação. 

Exemplos reais de mensagens de phishing 

Eis alguns exemplos reais de mensagens electrónicas de phishing.

Pedido falso da DocuSign

Compreendendo a prevalência das preocupações de segurança, a DocuSign publicou um artigo com informações úteis sobre como detetar pedidos falsos enviados em seu nome. Eles recomendam que procure sempre o código de segurança exclusivo na parte inferior do e-mail de notificação do envelope da DocuSign.

Exemplo de pedido falso de DocuSign 

Fraude de "confirmação de encomenda" da Amazon

No exemplo de correio eletrónico abaixo, há muitos erros que pode detetar se ler o correio eletrónico com atenção. Por exemplo, a linha "Call our Toll-Free é cortada abruptamenteem termos de lógica e pontuação. Depois, a linha seguinte pede-lhe que ligue para um número. Além disso, o endereço da encomenda não inclui o nome da rua e está formatado de forma estranha. O e-mail também inclui erros de digitação que a própria empresa Amazon não permitiria. Em suma, há demasiados sinais de alerta nesta única mensagem de correio eletrónico.

Exemplo de fraude de confirmação de encomenda da Amazon 

Fraude no reembolso de impostos do IRS

O e-mail abaixo pretende convencê-lo a clicar no link "Check Your Refund" para verificar a sua declaração eletrónica de reembolso de impostos. Embora o e-mail pareça legítimo à primeira vista, o verdadeiro IRS nunca o contactaria por o contactaria por correio eletrónico, mensagem de texto ou redes sociais para pedir detalhes sensíveis. Isto é algo que apenas os hackers fariam em nome do IRS.

Exemplo de fraude no reembolso de impostos do IRS 

Como se proteger 

Há muitas medidas que pode tomar para se proteger de ataques de phishing. 

Dicas gerais

Eis alguns conselhos gerais que todos podem seguir:

Em vez de clicar numa hiperligação, visite diretamente o sítio Web correspondente. Desta forma, garante-se que se acede à fonte legítima de informação e não a uma fonte falsa e maliciosa. 

Utilizar a autenticação multi-fator 

A autenticação multi-fator e a 2FA englobam um processo de início de sessão em várias etapas. Com a MFA, é necessário introduzir outras informações (por exemplo, um código de acesso) para além da palavra-passe para aceder à sua conta. Isto acrescenta uma camada de segurança, dificultando o acesso dos hackers à sua conta. 

Manter o software e os browsers actualizados.

Software e browsers desactualizados criam um espaço aberto para os hackers explorarem e acederem a dados sensíveis. Manter os seus sistemas actualizados pode garantir a máxima segurança e afastar os piratas informáticos. 

Conselhos para as empresas 

Eis algumas dicas úteis especificamente para as empresas: 

Simulações regulares de phishing e formação de sensibilização

A prevenção é melhor do que a cura. A preparação é uma forma de prevenção. Prepare-se a si e aos seus colegas de trabalho para estas situações. Quer seja através de formação ou da realização de simulações regulares de phishing, a preparação da sua equipa pode ajudá-lo a evitar eficazmente ataques de phishing bem sucedidos. 

Ferramentas avançadas de proteção contra ameaças 

Plataformas online como o PowerDMARC oferecem uma gama de ferramentas avançadas de proteção contra ameaças para o ajudar a manter-se protegido online. Dada a integração do PowerDMARC com o SecLyticspode beneficiar de:

  • Inteligência abrangente e preditiva sobre ameaças 
  • Medir a pontuação de segurança de risco dos seus endereços IP
  • Obter informações sobre as suas actuais e potenciais ciberameaças
  • Rastrear padrões de ataque 

Autenticação de correio eletrónico (SPF, DKIM, DMARC)

Os protocolos SPF, DKIM, DMARC e outros protocolos de autenticação de correio eletrónico fornecem informações verificáveis sobre as origens de uma mensagem de correio eletrónico. Ajudam os fornecedores a verificar se uma determinada fonte é legítima e fiável. Como resultado, são um componente essencial e indispensável da segurança de correio eletrónico e devem ser aproveitados ao máximo. Se ainda não tiver configurado a autenticação de correio eletrónico, pode utilizar as ferramentas abaixo:

Se já os tem instalados, mas gostaria de verificar se estão corretamente configurados, PowerDMARC também tem verificadores correspondentes para cada um deles. Você pode encontrá-los em nossas Ferramentas secção.

O que fazer se clicar numa mensagem de phishing

Eis algumas medidas que pode tomar se já tiver clicado numa mensagem de phishing:

  1. Desligue-se da Internet.
  2. Alterar imediatamente as palavras-passe.
  3. Verificar a existência de malware.
  4. Relatório para Grupo de Trabalho Anti-Phishing.

Conclusão

As mensagens de phishing baseiam-se na confiança e na urgência. Muitos sinais de alerta podem ajudá-lo a perceber se uma mensagem de correio eletrónico é legítima ou apenas um esquema de phishing. Estes podem incluir ameaças urgentes, endereços de remetente incompatíveis, ligações suspeitas, anexos invulgares, etc. Sempre que tiver dúvidas, não clique. 

Proteja seu domínio contra phishing hoje mesmo com o PowerDMARC. Comece a usar com uma análise DMARC gratuita e veja como é fácil proteger o seu e-mail - não são necessárias competências técnicas!

CTA

Últimas mensagens de Milena Baghdasaryan (ver todas)
Requisitos de remetente da Microsoft reforçados - Como evitar a rejeição de 550 5.7.15...Todos os meus e-mails estão a ir para o spam - eis o que pode fazer