Como identificar um email de phishing

Ameaças de segurança vêm em todas as formas e tamanhos. Você provavelmente já ouviu falar de vírus, trojans, keyloggers e, mais recentemente, ransomware. Quer saber o que todos eles têm em comum? Todos eles podem ser o resultado de phishing.

A palavra em si é um homófono; Os hackers usam a isca - geralmente na forma de um arquivo ou link aparentemente legítimo - para "phish" para as vítimas. E como essa isca geralmente é espalhada via e-mail, é difícil para o software de segurança, philter out. Isso é o que torna isso tão pernicioso.

Um triste exemplo de um negócio 'phished'

Verdadeira história: Alguns anos atrás, o negócio do meu cunhado foi violado pelo ransomware. Esse código horrível criptografou quase todos os arquivos de dados - documentos do Word, planilhas do Excel e assim por diante - e literalmente os manteve como resgate. Se ele quisesse seus dados de volta, o preço seria de US $ 700.

De acordo com um profissional de segurança contratado para ajudar, o ransomware entrou quando um dos proprietários abriu um anexo de e-mail com a mensagem "Meu currículo" - uma ação aparentemente inofensiva, especialmente considerando que a empresa estava, de fato, contratando ativamente.

O phishing também pode resultar em roubo de identidade e até bloqueá-lo fora do seu telefone. Mas espere, o software de segurança não deveria protegê-lo de tais ameaças? É, mas é isso que torna o phishing tão desonesto: ele chega como um e-mail aparentemente inofensivo e persegue ou o assusta em ação - geralmente clicando em um link ou abrindo um arquivo. E muitas vezes é tudo o que é preciso.

Enquanto muitas pessoas estão bem familiarizadas com esta prática e sabem o que procurar, eu suspeito que há muitas pessoas que ainda são vítimas. Heck, eu me considero um especialista em evitar phishing, mas eu tive ocasionais lapsos momentâneos que quase me fizeram clicar em um link fraudulento.

Como identificar um email falso

Abaixo, compartilhei um e-mail que mostra alguns sinais de fraude de phishing. Observe que, como sou usuário do PayPal, o email certamente chamou minha atenção - pelo menos inicialmente.

  1. Como muitas pessoas, tenho vários endereços de email. Mas esta mensagem chegou a um endereço que não está vinculado à minha conta do PayPal. Além do mais, o campo "Para" está em branco, um sinal óbvio de que ele não veio do PayPal.
  2. Má gramática e ortografia são sinais reveladores de phishing. Grandes empresas contratam redatores profissionais (e editores) para comunicação por e-mail.
  3. Meu nome está faltando. A saudação meramente diz: "Olá, [em branco]". Tenho certeza de que o PayPal se comunicaria comigo pelo nome.
  4. Outra pista forte é uma farsa: não me inscrevi apenas no PayPal. Agora, você pode pensar: "Ah, não, alguém criou uma conta do PayPal em meu nome!" Novamente, trata-se de uma tática de intimidação (e fraca) projetada para que você clique no botão azul convidativo. Se você fizer isso, provavelmente será direcionado a um site que parece bastante semelhante ao PayPal, com um formulário solicitando todos os tipos de informações pessoais, incluindo um número de cartão de crédito. Alternativamente, você poderia pousar em um site que stealth-instala um monte de spyware e / ou vírus.

Este foi um phishing desleixado. Mas há muitos mais criativos, como "sua conta foi comprometida!" ou "FedEx tem uma entrega esperando por você" e-mails que parecem indistinguíveis da coisa real.

Felizmente, é bastante fácil se proteger contra ataques como esses.

Como evitar ser pego em uma rede de phishing

Sempre desconfie. E-mails de phishing tentam assustá-lo com avisos de informações roubadas ou coisas piores e, em seguida, oferecem uma solução fácil se você "clica aqui". (Ou o contrário: "Você ganhou um prêmio! Clique aqui para reivindicá-lo!") Em caso de dúvida, não clique. Em vez disso, abra seu navegador, acesse o site da empresa e faça login normalmente para ver se há algum sinal de atividade estranha. Se você estiver preocupado, altere sua senha.

Verifique se há ortografia e gramática incorretas. A maioria das cartas que vêm de fora dos EUA está repleta de erros ortográficos e gramática ruim. Como observei anteriormente, as grandes empresas contratam profissionais para garantir que seus e-mails contenham uma prosa perfeita. Se você está olhando para um que não, é quase certamente uma farsa.

Reforce seu navegador. Um clique acidental de um link de phishing não precisa ser um desastre. O McAfee SiteAdvisor e o Web of Trust são complementos gratuitos do navegador que avisam se o site que você está prestes a visitar é suspeito de atividade maliciosa. Eles são como policiais de trânsito que te impedem antes que você desça uma rua perigosa.

Use seu telefone. Se você estiver verificando e-mails em seu telefone, pode ser mais difícil detectar uma tentativa de phishing. Você não pode "passar o mouse" sobre um link questionável, e a tela menor torna menos provável que você veja gafes óbvias. Embora muitos navegadores de telefone (e sistemas operacionais) estejam imunes a sites e downloads prejudiciais, ainda é bom ter cautela ao lidar com links suspeitos. (Obviamente, você ainda não deve preencher um formulário que solicite sua senha ou outras informações pessoais.) Os usuários do Android, em particular, devem estar cientes dos possíveis riscos.

Acima de tudo, confie no bom senso. Você não pode ganhar um concurso que não tenha entrado. Seu banco não entrará em contato com você usando um endereço de e-mail que você nunca registrou. A Microsoft não "detectou remotamente um vírus no seu PC". Conheça os sinais de aviso, pense antes de clicar e nunca forneça sua senha ou informações financeiras, a menos que esteja devidamente conectado à sua conta.

Tem alguma outra dica antiphishing para compartilhar? Carregue-os nos comentários.

Atualização, 5 de setembro: este artigo foi originalmente publicado em 22 de junho de 2015 e, desde então, foi atualizado.

 

Deixe O Seu Comentário