5 dicas úteis para detetar e evitar ataques de “phishing”

Rui Bacelar
Rui Bacelar
Tempo de leitura: 5 min.

A eficácia dos maiores ciberataques de sempre a instituições e empresas não foram fruto de sofisticados vírus ou de modernas ferramentas de cibercrime. Foram fruto de um conjunto de técnicas designadas por “engenharia social”. Táticas que acabam por contar com a ajuda involuntária do elo mais fraco em qualquer rede informática: o utilizador.

Neste contexto, o chamado “phishing” desempenha um papel importante e infelizmente atual. Posto isto, é crucial estarmos atentos e preparados para este tipo de ataque. Só assim o podermos identificar e, dessa forma, evitar as suas consequências.

Phishing

1. Sensatez e inteligência ao navegar na Web

É possível reduzir significativamente a hipótese de cair vítima de ataques de phishing sendo apenas sensato e inteligente enquanto navegamos online, ou verificamos os emails.

Por exemplo, é melhor evitar clicar em links, descarregar ficheiros ou abrir anexos em e-mails (ou em redes sociais). Isto mesmo que pareça ser de uma fonte conhecida e de confiança.

Nunca devemos clicar em ligações de um e-mail para um website, a menos que tenha a certeza de que é autêntico. Se tiver alguma dúvida, devemos abrir uma nova janela do navegador e digitar o URL na barra de endereços.

Importa ter também cuidado com as mensagens de correio eletrónico que solicitem informações confidenciais. Aqui especialmente se pedir dados pessoais ou informações bancárias. As organizações legítimas, incluindo (e especialmente) o banco, nunca solicitarão informações sensíveis através de correio eletrónico.

2. Cuidado com os links abreviados

Devemos prestar especial atenção às ligações encurtadas, especialmente nas redes sociais. Os hackers utilizam frequentemente o Bit.ly e outros serviços de encurtamento de links para levar a vítima a pensar que clicamos num link legítimo. Isto quando na realidade somos inadvertidamente direcionados para um site falso.

Aqui devemos sempre colocar o rato sobre uma ligação web num e-mail (sem clicar!). Isto para ver se é realmente enviado para o site certo. Ou seja, certificar-se de o que aparece no texto do e-mail é o mesmo que vê quando passa o rato por cima.

Os hackers podem usar estes sites falsos para roubar os dados pessoais introduzidos ou para realizar um ataque drive-by-download, infestando assim o seu dispositivo com malware.

3. Será que o e-mail é suspeito? O melhor é ler novamente

phishing

Muitos e-mails de phishing são bastante óbvios. Serão pontuados com muitos erros de digitação, palavras em maiúsculas e pontos de exclamação. Podem também ter uma saudação impessoal. Por exemplo, com saudações como “Caro Cliente” ou “Caro Senhor/Senhora” em vez do nome. Podem também apresentar um conteúdo implausível e geralmente surpreendente.

Os hackers cometerão frequentemente erros nestes emails, por vezes até intencionalmente, para ultrapassar filtros de spam, melhorar as respostas e eliminar os destinatários “inteligentes” que não cairão no golpe.

4. Desconfiar de ameaças e prazos urgentes

Por vezes, uma empresa de renome precisa que se faça algo urgentemente. Por exemplo, em 2014, o eBay pediu aos seus clientes que alterassem rapidamente as suas palavras-passe após a violação dos seus dados.

Contudo, esta é uma exceção à regra; normalmente, as ameaças e a urgência. Isto especialmente se vindas do que afirma ser uma empresa legítima – são um sinal de alarme.

Algumas destas ameaças podem incluir avisos sobre uma multa, ou aconselhar a fazer algo para impedir que a conta seja encerrada. O conselho passa por ignorar as táticas de assustar. Em seguida, devemos contactar a empresa separadamente através de um canal conhecido e de confiança (telefone ou email).

5. Navegar com segurança através de HTTPS

Devemos sempre utilizar um website seguro (indicado por https:// e um ícone de "bloqueio" de segurança na barra de endereços do navegador) para navegar. Aqui especialmente ao submeter informações sensíveis em linha, tais como detalhes de cartão de crédito.

Nunca deverá utilizar Wi-Fi público, sem segurança, para efetuar operações bancárias, compras ou introduzir informações pessoais online (a conveniência não deve ser um trunfo para a segurança). Em caso de dúvida, o melhor é usar a ligação celular do smartphone.

O “phishing” descreve uma tática de engodo

phishing

O “phishing” consiste numa série de técnicas utilizadas para obter dados valiosos dos utilizadores. Dados que podem depois ser vendidos ou mal utilizados por criminosos para os mais variados propósitos – como extorsão ou roubo de identidade. Também podem ser usados de forma a obter credenciais de acesso para a penetração não autorizada em sistemas informáticos.

Em Portugal, o “phishing” começou por tomar formas facilmente identificáveis, designadamente pelas suas origens anglo-saxónicas, com emails e mensagens em inglês. Já mais tarde, em português pouco correto, claramente gerado através de sistemas de tradução automática. No entanto, têm aumentado de forma exponencial ataques mais sofisticados e talhados especificamente para os utilizadores portugueses.

Estes são ataques que tanto podem sugerir que o destinatário da mensagem ganhou um prémio que será entregue por uma grande e conhecida empresa de retalho portuguesa. Também podem imitar emails “oficiais” de entidades bancárias, empresas de correios e/ou transportes e até da Autoridade Tributária.

Quando tem como objetivo burlar o utilizador final, o “phishing” é grave, mas o âmbito do seu dano acaba por ser restrito. No entanto, muitos destes ataques de phishing têm como alvo trabalhadores de grandes empresas e instituições, com o objetivo de obter dados e/ou credenciais para posterior acesso não autorizado à infraestrutura de TI.

Os ataques de phishing têm aumentado em número e sofisticação nos últimos anos. Apenas a formação em segurança informática dos funcionários não é suficiente para acompanhar esses ataques. Uma segurança mais robusta, com firewalls de nível profissional, por exemplo, é essencial para garantir a proteção online nos dias que correm.

Editores 4gnews recomendam:

Rui Bacelar
Rui Bacelar
O Rui ajudou a fundar o 4gnews em 2014 e desde então tornou-se especialista em Android. Para além de já contar com mais de 12 mil conteúdos escritos, também espalhou o seu conhecimento em mais de 300 podcasts e dezenas de vídeos e reviews no canal do YouTube.