Como evitar ataques de Phishing

Phishing é quando o atacante lhe envia uma mensagem eletrônica ou link de aparência inofensivalinks, mas que na verdade está mal-intencionado. Ataques de Phishing são uma forma comum de infecção por malware—programas que se escondem no seu computador e podem ser utilizados para controlá-lo(a) de forma remota, furtar informações ou espioná-lo(a).

Em uma mensagem eletrônica de phishing, o atacante pode pedir que clique ou abra um linklinks ou um arquivo anexo que contenha programa malicioso (malware). Phishing também pode ocorrer através de bate-papo na Internet. É muito importante verificar cuidadosamente linkslinkslinks enviados a você via e-mail ou chat.

Endereços da Web podem ser enganosos. Embora seus nomes pareçam fazer referência a certo destino, é possível saber para onde você será encaminhado(a) simplesmente passando o mouse por cima do link.

Web addresses in emails can be deceptive. Web addresses in mail may appear to say one thing, but if you mouse over them to see where they really point, they might show another destination address.

Uma técnica comum em phishing é usar sites que pareçam semelhantes a sites populares para enganá-lo: http://wwwcnn.com/ é diferente de http://www.cnn.com/ !  Muitas pessoas usam encurtadores de URL para deixar URLs compridos mais fáceis de ler ou digitar. No entanto,  links encurtados podem ser usados para ocultar destinos mal-intencionados. Se tiver um URL encurtado como um linklinks t.co de Twitter, tente colá-lo neste site http://www.checkshorturl.com/ para ver seu destino real.

Outra maneira de enganná-lo(a) é enviando um linklinks para arquivo supostamente hospedado em um serviço como Google Docs ou Dropbox. Clicando no linklinks, surge uma tela de login para o serviço pedindo para que você digite nome de usuário e senha. Contudo, o linkslink pode levar para um site falso com tela de login clonado. Assim, se seguir o linklinks,  verifique a barra de endereço do navegador antes de digitar a senha, pois ela mostrará o nome de domínio real de onde veio a página. Se não for igual ao site que você deveria acessar, não continue!

Lembre-se: mesmo que haja alogomarca de uma empresa na página, ainda é preciso confirmar se a mesma é real. Qualquer um pode copiar uma logomarca ou desenho em sua própria página para enganá-lo(a).

Como funciona o Phishing? Anchor link

Imagine que você recebeu um e-mail do seu tio Tiago que diz ter fotos dos filhos dele. Como Tiago realmente tem filhos e o endereço parece ser o dele, você abre o e-mail. Ao abrir o e-mail, há um documento Word anexo, e ao abrí-lo, uma janela estranha surge por alguns segundos e depois some. Agora a tela mostra um documento Word ilegível ou até mesmo a foto dos filhos do Tiago! 

Não foi o tio Tiago que enviou o e-mail, mas sim alguém que sabe que Tiago é seu tio (e que ele tem filhos). O documento Word no qual você clicou abriu o programa Word, porém aproveitou-se de um erro no software para rodar seu próprio programa. Além de mostrar o arquivo Word, também baixou um malware para seu computador. O malware é capaz de coletar seus contatos e gravar  tudo que for captado pela câmera e microfone do computador.

É fácil forjar e-mails para que mostrem um endereço de retorno falso. Dessa forma, não basta apenas verificar o aparente endereço de e-mail para confirmar que um e-mail realmente foi enviado pela pessoa que aparenta.

Outros ataques de phishing são menos específicos: alguém pode enviar e-mails para centenas ou milhares de pessoas dizendo que tem um vídeo interessante, documento importante, ou problema de conta, ou dizendo ser do departamento de suporte técnico da sua empresa. Às vezes, em vez de instalar software no computador, o e-mail pede dados pessoais, informações financeiras, ou senhas. Alguns recipientes serão enganados e entregarão seus dados sigilosos solicitados no e-mail.

Protegendo-se contra Ataques de Phishing Anchor link

A melhor forma de se proteger contra ataques de phishing é nunca clicar em linkslinks ou abrir anexos enviados via e-mail. Isto não é solução realista para a maioria das pessoas. Como então podemos diferenciar anexos e linkslinks mal-intencionados dos verdadeiros?

Verificar o remetente do E-mail

Uma maneira de determinar se o e-mail constitui ataque de phishing é verificar diretamente com a pessoa que o enviou por outro meio. Se o e-mail supostamente foi enviado pelo seu banco, ligue para o banco ou abra o navegador e digite o URL do site do seu banco em vez de clicar no links do e-mail.  Da mesma forma, em vez de abrir o anexo do tio Tiago, telefone para ele e pergunte se foi ele que enviou as fotos das crianças.

Colocar Arquivos no seu Site ou Serviço Compartilhado

Se você envia arquivos a alguém com frequência, como um colega de trabalho, considere fazê-lo por outros meios, mas facilmente verificados, em vez de como anexo de e-mail. Transfira os arquivos para servidor particular para que os dois tenham acesso, ou use serviços como Google Drive, SpiderOak, ou Dropbox para compartilhar arquivos. Se criar o hábito de a compartilhar arquivos transferindo-os para seu site ou um servidor de arquivos de uma empresa, o recipiente passará a considerar imediatamente suspeito qualquer e-mail com anexo. Invadir e trocar dados em um servidor (esperamos) é mais difícil do que forjar um e-mail.

Abrir Documentos Suspeitos em um Leitor On-line de Documentos

Algumas pessoas estão acostumadas a receber anexos de pessoas desconhecidas. Especialmente, por exemplo, se for jornalista que recebe documentos de fontes, ou se lida com o público em uma organização. Nesses casos, é difícil verificar se o documento ou link que vai abrir não é mal-intencionado.

Para documentos assim, tente a abrí-los em Google Docs, Etherpad, ou outro leitor on-line de documentos. Isso frequentemente impede muitos ataques embutidos em documentos mal-intencionados.

Se não tiver dificuldade em usar ou aprender um novo software, e estiver disposto a gastar bastante tempo configurando um novo ambiente para ler correio ou documentos estranhos, existem sistemas operacionais dedicados que limitam o efeito de malware. TAILS é um sistema operacional baseado em Linux que se auto-deleta depois de ser usado. Qubes é outro sistema baseado em Linux que cuidadosamente isola aplicativos para que não possam interferir um no outro, assim limitando o efeito de malware. Os dois são projetados para rodar em desktops e laptops.

Você também pode enviar links e arquivos suspeitos para o VirusTotal, um serviço on-line que verifica os arquivos e links com diferentes serviços antivírus e publica os resultados. Não é 100% seguro, pois antivirus às vezes não detectam programas mal-intencionados novos ou ataques personalizados,  porém é melhor do que não usar antivirus, caso não tenha.

Qualquer arquivo ou link que você enviar a um site público como VirusTotal ou Google Docs pode ser visualizado por um funcionário daquela empresa ou talvez por outro(a)s com acesso ao site. Se a informação contida no arquivo for sigilosa ou sensível, considere outra alternativa.

Cuidado com Instruções recebidas via E-mail

Alguns e-mails de phishing alegam ser do departamento de suporte de informática ou empresa de tecnologia, e pedem que você responda com sua senha ou forneça acesso remoto ao seu computador a algum “técnico de informática” para desligar um recurso de segurança no seu dispositivo, ou para instalar um aplicativo novo. Talvez dêem alguma suposta explicação da necessidade, por exemplo, alegando que sua caixa de entrada está cheia ou que seu computador está avariado ou comprometido. Infelizmente, as consequências são péssimas para sua segurança se seguir tais instruções fraudulentas. Tenha cuidado extra ao fornecer dados técnicos ou seguir instruções técnicas, ao menos que esteja com absoluta certeza que a fonte do pedido seja genuína.

Usar Autenticação de E-mail

Uma técnica mais difícil, porém eficaz, de impedir phishing, é usar software que  ajude a assegurar que o e-mail seja realmente da pessoa anunciada e que não foi comprometido. Você pode fazer isso usando o PGP para criptografar e assinar seus e-mails. Se você acessar seu e-mail usando PGP, ele informa o recipiente que o conteúdo assinado somente pode ter vindo de alguém que possua sua chave particular PGP, tornando assim improvável que a mensagem seja de natureza mal-intencionada. A desvantagem deste método é que as duas partes têm que ter instalado o PGP e saber usá-lo.

Se tiver alguma suspeita sobre um e-mail ou link que lhe tenha sido enviado, não abra nem clique nele sem antes seguir as dicas acima e ter plena confiança de que não é mal-intencionado.

Last reviewed: 
2015-11-04
A versão em Inglês pode estar mais atualizada.
JavaScript license information