Como reconhecer e-mails de phishing

Se você recebeu um e-mail do Internal Revenue Service ou da Federal Deposit Insurance Corporation, é provável que tenha sido uma tentativa de phishing. Se você recebesse um e-mail do seu banco, PayPal ou Facebook pedindo que você verificasse imediatamente as informações ou corresse o risco de ter sua conta suspensa, isso era, sem dúvida, phishing.

Os ataques de phishing aumentaram este ano, de acordo com relatórios recentes. O Anti-Phishing Working Group informa que houve mais de 55.600 ataques de phishing somente no primeiro semestre de 2009. O phishing é particularmente perigoso porque, uma vez que os criminosos obtenham a senha de uma vítima para um site, eles podem usá-la para acessar outras contas em que as pessoas reutilizaram a senha.

E qualquer um pode estar em risco. A esposa do diretor do FBI, Robert Mueller, proibiu-o de fazer transações bancárias on-line depois que ele chegou perto de cair em uma tentativa de phishing.

Aqui estão algumas informações básicas que podem ajudar as pessoas a evitar serem enganadas por ataques de phishing.

O que é phishing?

O phishing é uma tentativa, geralmente por e-mail, de induzir as pessoas a revelarem informações confidenciais, como nomes de usuário, senhas e dados de cartão de crédito, fingindo ser um banco ou alguma outra entidade legítima. Os e-mails normalmente incluem um link para um site que parece ser legítimo e que solicita que os usuários forneçam informações. Às vezes, o e-mail de phishing incluirá um formulário em um anexo para preencher. Uma tática comum que os phishers usam é fingir ser do departamento de fraude de uma instituição financeira ou varejista on-line como o PayPal e pedir que sejam fornecidas informações para evitar fraudes de identidade. Em um caso, um e-mail de phishing supostamente proveniente de uma comissão de loteria estadual perguntou aos destinatários por suas informações bancárias para que seus "ganhos" fossem depositados em suas contas.

Os phishers também estão explorando cada vez mais o interesse em notícias e outros tópicos populares para enganar as pessoas e clicar nos links. Um e-mail supostamente sobre a gripe suína pediu às pessoas que fornecessem seu nome, endereço, número de telefone e outras informações como parte de uma pesquisa sobre a doença. E os usuários de redes sociais estão se tornando alvos populares. Os usuários do Twitter foram direcionados para páginas falsas de login.

Os atacantes também estão se voltando para mensagens instantâneas para atrair as pessoas para suas armadilhas. Em um golpe recente, uma janela de bate-papo ao vivo foi iniciada pelo navegador. O scammer comunicou às vítimas através da janela do chat, fingindo ser de um banco e pedindo informações adicionais.

Quais são os outros exemplos recentes de ataques de phishing?

  • Um golpe de e-mail recente solicita que os clientes do PayPal forneçam informações adicionais ou arrisquem a exclusão de sua conta devido a alterações no contrato de serviço. Os destinatários são convidados a clicar em um hiperlink que diz "Get Verified!"

  • Os e-mails que parecem vir do FDIC incluem uma linha de assunto que diz "verifique sua cobertura de depósito bancário" ou "FDIC nomeou oficialmente seu banco como um banco falido". Os e-mails incluem um link para um site FDIC falso, onde os visitantes são solicitados a abrir formulários para preencher. Clicar nos links do formulário faz o download do vírus Zeus, que é projetado para roubar senhas bancárias e outras informações.

  • E-mails que parecem vir do IRS dizem aos destinatários que eles são elegíveis para receber um reembolso de imposto e que o dinheiro pode ser reivindicado clicando em um link no e-mail. O link direciona os visitantes para um site falso do IRS que solicita informações pessoais e financeiras.

  • Um e-mail legítimo do Facebook pede que as pessoas forneçam informações para ajudar a rede social a atualizar seu sistema de login. Clicar no botão "atualizar" no e-mail leva os usuários a uma falsa tela de login do Facebook, onde o nome do usuário é preenchido e os visitantes são solicitados a fornecer sua senha. Quando a senha é digitada, as pessoas acabam em uma página que oferece uma "Ferramenta de atualização", mas que na verdade é o Trojan do banco Zeus.

Quais são alguns sinais reveladores de uma tentativa de phishing?

Muitas tentativas de phishing têm origem fora dos EUA, por isso, muitas vezes, têm erros ortográficos e gramaticais. Alguns têm um tom de urgência e buscam informações confidenciais que as empresas legítimas normalmente não solicitam por e-mail.

O que devo procurar em um e-mail?

Verifique as informações do remetente para ver se parece legítimo. Criminosos escolherão endereços semelhantes ao que estão falsificando. Por exemplo, os phishers usaram "[email protected]". No entanto, mensagens legítimas do PayPal nos EUA vêm de [email protected] "e incluem um ícone de chave. A maioria dos e-mails de phishing vem de fora dos EUA, portanto, um endereço que termina em" .uk "ou algo diferente de" .com " indique que é uma tentativa de phishing.

O endereço de e-mail também pode estar obscuro. Acertar "responder a todos" pode revelar o verdadeiro endereço de e-mail. Você também pode definir suas preferências de e-mail para mostrar "cabeçalho completo" para ver o endereço de e-mail completo e outras informações. Se você não tiver certeza se o e-mail é legítimo, acesse o site da empresa para ver o endereço listado.

As empresas legítimas tendem a usar nomes de clientes ou nomes de usuários no e-mail, e os bancos geralmente incluem parte de um número de conta. Os e-mails de phishing geralmente oferecem saudações genéricas, como "Caro cliente do PayPal".

Inspecione os hiperlinks dentro do corpo do e-mail. Os phishers geralmente usam subdomínios, letras ou números antes do nome da empresa e, às vezes, as palavras nos links estão incorretas. Por exemplo, o site www.BankA.security.com criaria um link para a seção 'BankA' do site de 'segurança'. Muitas vezes, é difícil dizer se o link é legítimo apenas olhando para ele. Passando o mouse pelo link, você pode ver o endereço real na parte inferior da maioria dos navegadores da Web.

Além disso, PayPal, Amazon, bancos e muitas outras empresas usam o protocolo SSL (Secure Sockets Layer), que é projetado para garantir que os clientes visitem o site real. Isso significa que // será visto na barra de endereços da URL, em vez de apenas // e, normalmente, haverá alguma outra alteração na barra de endereço. Por exemplo, o PayPal exibe um "P" e seu nome é destacado em verde na frente do URL. Os principais navegadores têm medidas antiphishing projetadas para detectar sites maliciosos. Alguns phishers também tentam esconder o verdadeiro endereço da Web para o qual estão enviando vítimas usando serviços de encurtamento de URL.

Se o email tiver um anexo, desconfie dos arquivos .exe. Os golpistas gostam de esconder vírus e outros tipos de malware para que sejam executados quando abertos.

Não se deixe enganar pela aparência do site para o qual você pode ser direcionado. O site pode ser parecido com um banco real ou uma página do PayPal, incluindo o uso de logotipos e marcas reais. Pode ser uma boa página falsa ou pode ser uma página legítima com uma janela pop-up de phishing no topo.

Como os ataques de phishing podem ser evitados?

  • Tente ficar de fora das listas de spam. Não poste seu endereço de e-mail em sites públicos. Crie um endereço de email com menor probabilidade de ser incluído em listas de spam. Por exemplo, em vez de [email protected], use [email protected].

  • Se um e-mail parecer razoável, entre em contato diretamente com a empresa se você receber um e-mail pedindo para verificar as informações. Digite o endereço da empresa na barra de endereços diretamente, em vez de clicar em um link. Ou ligue para eles, mas não use nenhum número de telefone fornecido no e-mail.

  • Não forneça informações pessoais solicitadas via e-mail. Empresas e agências legítimas usarão o correio regular para comunicações importantes e nunca pedirão aos clientes que confirmem o login ou as senhas clicando nos links em e-mail.

  • Observe atentamente o endereço da Web em que um link direciona e digita endereços no navegador para empresas se você não tiver certeza.

  • Não abra anexos de email que você não esperava receber. Não abra links de download em mensagens instantâneas. E não insira informações pessoais em uma janela pop-up ou e-mail.

  • Verifique se você está usando um site seguro ao enviar informações financeiras e confidenciais.

  • Altere as senhas com frequência. Não use a mesma senha em vários sites.

  • Registre-se regularmente em contas on-line para monitorar a atividade e verificar as declarações.

  • Use software antivírus, antispam e firewall e mantenha o sistema operacional e os aplicativos atualizados.

(Meu colega Larry Magid tem mais dicas e uma entrevista de podcast com a Symantec sobre como evitar ataques de phishing.)

O que posso fazer se achar que fui vítima de phishing?

O Anti-Phishing Working Group possui um site abrangente que explica exatamente quais etapas as pessoas devem seguir com base no tipo de informação que forneceram.

Onde posso denunciar tentativas de phishing?

Você pode encaminhar e-mails suspeitos de phishing para [email protected] e [email protected]. As empresas normalmente têm um endereço para encaminhar exemplos de phishing, como "[email protected]". Sempre inclua todo o e-mail de phishing. Reclamações podem ser apresentadas no Internet Crime Complaint Center no FBI.

Aqui estão recursos adicionais.

//apwg.org/consumer_recs.html

//www.irs.gov/newsroom/article/0,, id=154848, 00.html

//www.microsoft.com/mscorp/safety/technologies/antiphishing/guidance.mspx

 

Deixe O Seu Comentário