O que os e-mails com os títulos “Você ganhou um milhão de dólares” e “Sua conta está bloqueada” têm em comum? Quase sempre são sinais de um golpe. O objetivo é convencer o destinatário a clicar em um link que leva a um site de phishing e inserir informações confidenciais: login e senha ou detalhes da conta bancária. Veja como identificar esse golpe e se proteger.
1. Verifique os e-mails com atenção
Ao receber um e-mail, não se apresse em responder ou seguir suas instruções. A primeira coisa que você deve fazer é procurar sinais reveladores de phishing. Quais são os pontos de atenção?
● dinheiro, compensação financeira, contas hackeadas ou bloqueadas e transações fraudulentas – tópicos que chamam a atenção, provavelmente para desencadear uma resposta emocional, muitas vezes jogando com ganância ou medo.
● Aqueles que enfatizam a gravidade da situação. Frases como “Aviso final!” ou “Restam apenas 3 horas”, bem como o uso excessivo de pontos de exclamação, têm como objetivo fazer você se apressar, entrar em pânico e baixar a guarda.
● Erros, erros de digitação e caracteres estranhos no texto. Alguns criminosos realmente têm dificuldade com o português, embora os invasores às vezes cometam erros propositalmente como “milhoes” ou usem letras de diferentes alfabetos para tentar contornar os filtros de spam.
● Endereço do remetente inconsistente. Um endereço de e-mail com um monte de letras e números aleatórios ou o nome de domínio errado são sinais evidentes de falsificação quando um remetente afirma estar escrevendo de uma grande organização.
● Links no e-mail, se os contiver – ou no site ao qual levam, para ser mais preciso. Você pode verificar um link passando o cursor sobre ele e lendo o endereço com atenção. Os criminosos apostam que as vítimas não prestam atenção suficiente para detectar pequenas alterações feitas nos nomes de empresas ou marcas conhecidas – pense em sumsung.com ou qoogle.com . Analise cada link com atenção.
Essas verificações devem ser suficientes na maioria dos casos para detectar um e-mail enviado como parte de um golpe de phishing em massa. No entanto, os nomes e endereços dos remetentes podem ser falsificados, os links podem ser encurtados para torná-los ilegíveis e cadeias de redirecionamentos automáticos ainda podem estar configuradas para conduzir de endereços menos suspeitos ao site de phishing real. É por isso que é melhor evitar clicar em links enviados por e-mail, se possível – a menos que seja um que você tenha solicitado. Por exemplo, se você receber um aviso que parece ser de um banco ou loja online, ligue para o banco ou loja para confirmar.
Você também pode verificar se um prêmio é real usando um mecanismo de busca para pesquisar o site oficial da empresa que supostamente o premiou. Em seguida, é fundamental analisar as informações da premiação. Esses são apenas alguns exemplos, mas nosso conselho se resume: ao decidir clicar em link de um e-mail não solicitado, tente fazer isso de forma indireta.
2. Mantenha seus olhos abertos em aplicativos de mensagens ou em redes sociais
O e-mail não é a única coisa com que você precisa ter cuidado. As mensagens que recebe em aplicativos de mensagens e em redes sociais têm o mesmo potencial de perigo; é possível encontrar links maliciosos em posts de amigos no Facebook, em comentários postados por embaixadores de marcas falsas no Twitter ou em DMs no Discord.
Fique atento aos banners. As imagens que exibem podem não ter nada a ver com o site para o qual o direcionam. As plataformas nas quais os banners são postados geralmente não controlam o que os usuários veem ou para onde são redirecionados. Até mesmo um site de boa reputação pode veicular anúncios que levam a sites de phishing.
O que você pode fazer? Tal como acontece com os e-mails, verifique cada link com atenção e, se possível, não clique neles.
3. Pare e pense antes de inserir as informações da conta bancária
Os detalhes do cartão bancário são particularmente confidenciais porque fornecem acesso direto ao seu dinheiro. É por isso que, independentemente de como você acessou um site, deve verificar com cuidado onde realmente está uma última vez antes de inserir esses detalhes.
Primeiro, dê uma olhada no endereço. Você está procurando os pontos de alerta: erros de digitação, números em vez de letras, hífens em lugares inesperados e nomes de domínio estranhos. Se você vir algo assim, saia do site e tente inserir o endereço manualmente.
Em seguida, permanecendo na barra de endereço, clique no ícone do cadeado à esquerda. O cadeado não é garantia de segurança, mas com ele você pode aprender mais sobre quem é o proprietário do site (os navegadores têm nomes diferentes para as guias relevantes, como Certificado ou Conexão segura ) .
Se você faz muitas compras online, inclusive em empresas menores e vendedores particulares, recomendamos o uso de um cartão separado para isso. Guarde uma pequena quantia de dinheiro nele e transfira dinheiro para ele antes de usá-lo. Dessa forma, mesmo que os detalhes do cartão sejam roubados, você não perderá uma grande quantidade de dinheiro.
4. Use senhas diferentes
Se você usar a mesma senha para contas diferentes, apesar de uma complexidade para torná-la forte, você corre o risco de ter todas as suas contas comprometidas se inseri-la em um site de phishing em algum momento. É importante usar uma senha exclusiva para cada site e aplicativo.
Se você achar difícil criar e lembrar dezenas de novas senhas para cada pizzaria e loja online, use um gerenciador de senhas para criá-las, organizá-las e usá-las.
Um gerenciador de senhas também atua como uma verificação adicional para evitar phishing. Se você abrir um aplicativo ou site e descobrir que ele não preencheu automaticamente seu login e senha, provavelmente está olhando para um site falso. Pode parecer o mesmo que o site real para uma pessoa, mas se tiver um endereço diferente, o gerenciador de senhas não preencherá as credenciais da conta.
Em segundo lugar, os gerenciadores podem gerar senhas difíceis de hackear.
Terceiro, alguns gerenciadores de senhas possuem recursos adicionais úteis. Por exemplo, Kaspersky Password Manager verifica suas senhas e notifica se elas são fracas, usadas para contas diferentes ou já estão em um banco de dados de senhas comprometidas.
5. Configure a autenticação de dois fatores para proteger as contas
Muitos ataques de phishing visam roubar contas, mas mesmo se os invasores obtiverem seu login e senha, você ainda pode impedi-los de fazer login em sua conta, configurando a autenticação de dois fatores sempre que possível. Depois de fazer isso, será necessário um código de verificação temporário adicional para fazer login. Você o receberá por e-mail, mensagem de texto ou em um aplicativo autenticador. Os golpistas não vão ter um.
Lembre-se, no entanto, de que os phishers também podem criar páginas de login falsas que também solicitam códigos de autenticação únicos de dois fatores. É por isso que é melhor proteger contas importantes usando autenticação baseada em hardware com uma chave USB, como YubiKey ou Titan Security Key do Google.
Alguns autenticadores usam NFC e Bluetooth para se conectar a dispositivos móveis. A vantagem de usar uma chave de segurança baseada em hardware é que ela nunca divulgará o segredo em um site falso. Um site precisa enviar a solicitação certa para obter a resposta certa do autenticador, e isso é algo que apenas o site real sabe fazer.
6. Use uma proteção confiável
É difícil estar constantemente à procura de alertas de perigo e verificar cada endereço, link e assim por diante. Mas é uma tarefa que você pode automatizar e contar com soluções de segurança como Kaspersky Security Cloud para se proteger contra phishing. A solução baseada em nuvem notificará a tempo se você tentar acessar uma página maliciosa e bloqueará a ameaça.