Como evitar ataques de Pesca (Phishing)

No seu caminho de melhorar a segurança digital, pode encontrar atores nocivos que tentam atrapalhar as suas metas de segurança. Chamamos tais atores de adversários ou atacantes. Quando o atacante lhe envia uma mensagem eletrônica ou link de aparência inofensiva, mas que na verdade está mal-intencionado, isso se chama phishing (que em inglês é uma trocadilho da palavra ‘pescar’).

Ataques de ‘pesca’ (phishing) normalmente vem na forma de uma mensagem cuja objetivo é de convencer você a:

• clicar num enlace (link);
• abrir um documento;
•  instalar software no seu dispositivo; ou
• registrar seu nome de usuário e senha num site que foi feito para aparecer legitimo.

Ataques de pesca podem enganar você para divulgar as suas senhas ou para instalar programas mal-intencionados (malware) no seu dispositivo. Atacantes podem usar tais programas para controlar o seu dispositivo de forma remota, furtar informações ou espioná-lo(a).

Esta guia irá ajuda-lo(a) a identificar ataques de pesca ao vê-los e oferecer algumas formas práticas de defender contra eles.

Tipos de Ataques de Pesca anchor link

Pescar Senhas (ou Ceifar Dados de Registro) anchor link

Phishers (atacantes que utilizam phishing ou ‘pescadores’) enviam links na tentativa de fazer você dar a eles as suas senhas. Parece que os endereços na mensagem remetam para um destino, mas, na verdade, remetam a outro. Normalmente, você pode averiguar os endereços no computador, passando o mouse em cima do URL de destino. Os links, contudo, podem ser disfarçados ainda mais com letras parecidas com as verdadeiras ou nomes de domínio mal soletrados e então levar você para uma página que parece ser o serviço que usa, como Gmail ou Dropbox. Estas telas falsas de registrar o login podem parecer tão genuínas que estejas tentando a registrar o seu nome de usuário e senha. Se fizer, irá enviar seus dados de registro para os atacantes.

Assim, antes de digitar qualquer senha, verifique na barra de endereços do seu navegador. Mostrara o verdadeiro nome de domínio da página. Se não for igual ao website que pensa que esteja fazendo o registro, não continue! Lembre-se que só vendo o logotipo da empresa na página não significa que seja a pagina verdadeira. Qualquer pessoa pode copiar o logotipo ou desenho e embutir na sua própria página com o intuito de te enganar.

Alguns “pescadores” (phishers) usam sites que tem a aparência de endereços populares da Internet para enganar: https://wwwpaypal.com/ é diferente de https://www.paypal.com/. Da mesma forma https://www.paypaI.com/ (com a letra “i” maiúscula em vez da “L”) é diferente de https://www.paypal.com/.  Embora muitas pessoas utilizam serviços de encurtar URLs para deixar URLs longos mais fáceis de ler ou digitar, estes também podem ser usados para esconder destinos mal-intencionados. Se receber um URL encurtado, tipo enlace t.co de Twitter, pode copiar e cola-lo no site https://www.checkshorturl.com/ para ver qual é o destino verdadeiro.

Lembre-se, é muito fácil forjar e-mails para que mostram um endereço falso de remetente. Por isso, só verificando o aparente endereço de e-mail do remetente não é suficiente para confirmar se o e-mail é da pessoa que aparenta ser.

“Pescar com Lança” (Spearphishing) anchor link

A maioria dos ataques de “pesca” são como jogar rede e ver o que cair dentro dela. O atacante pode mandar e-mails para centenas ou milhares de pessoas, dizendo ter um vídeo interessante, um documento importante ou problema com uma conta.

Alguns ataques de pesca, porém, são orientados com base de alguma informação que o atacante já possui sobre o indivíduo. Isto se chama “spearphishing” em inglês, ou “pescar com lança”. Imagine receber um e-mail do seu Tio Rui que diz que contem fotos dos filhos dele. Sabendo que o Rui realmente tem filhos e aparenta ser do endereço dele, você abre-o. Ao abrir o e-mail, há um documento PDF em anexo. Ao abrir o PDF, pode até mostrar fotos dos filhos do tio Rui, mas ele também silenciosamente instala um programa mal-intencionado ou malware no seu dispositivo, que pode ser usado para espionar em você. Não foi o tio Rui que mandou o e-mail, mas alguém que sabe que tens um tio chamado Rui (e que ele tem filhos). O documento PDF que clicou abriu no programa de leitura de PDF, mas aproveitou de um defeito no programa para rodar um outro programa. Além de te mostrar o PDF, também baixou malware para seu computador. Tal malware pode copiar seus contatos e gravar tudo em volta do dispositivo com o microfone e câmera do tal dispositivo.

Nunca clicar em enlaces (links) ou abrir anexos é a melhor forma de se proteger contra ataques de pesca ou phishing. Entretanto, este conselho não é realista para a maioria das pessoas. Seguem algumas formas práticas de se defender contra ataques de phishing.

Como Defender-se contra Ataques de Pesca (“Phishing”) anchor link

Mantenha o seu software atualizado anchor link

Ataques de pesca que utilizam programas mal-intencionados frequentemente dependem de erros no software para poder introduzir o programa mal-intencionado dentro do seu telefone ou computador. Normalmente, uma vez que o erro for descoberto, o fabricante do software lançara uma atualização para corrigi-lo. Isto significa que os softwares mais antigos tem mais erros conhecidos que podem ser utilizados para instalar programas mal-intencionados. Portanto, manter seu software atualizado reduz o risco dos programas mal-intencionados.

Use um gerenciador de senhas com preenchimento automático anchor link

Gerenciadores de Senhas que automaticamente preenchem as senhas rastreiam os sites correspondentes as senhas. Enquanto é fácil um ser humano ser enganados por páginas de registro (login) falsos, gerenciadores de senhas não são enganados assim. Se utilizar gerenciador de senhas (mesmo o gerenciador embutida no seu navegador), e ele recusa preencher automaticamente a senha, deve parar e verificar novamente o site que está visitando. Melhor ainda, use senhas aleatoriamente geradas para que seja obrigado a usar o preenchimento automático e assim menos apto a digitar a sua senha numa página de registro falsa.

Verificar E-mails com os Remetentes anchor link

Uma forma de determinar se um e-mail for um ataque de pesca é de verificar com a pessoa que o enviou através de via alternativa. Se o e-mail supostamente foi enviado pelo seu banco, não clique nos enlaces dentro do e-mail. Em vez disso, ligue para o seu banco ou abre seu navegador e digitar o URL do site do seu banco. Da mesma forma, se o seu Tio Rui te mandar um e-mail com anexo, ligue para ele no telefone e pergunte se ele te mandou fotos dos filhos dele antes de abri-lo.

Abrir Documentos Suspeitos em Google Drive anchor link

Tem pessoas que já esperam receber anexos de pessoas desconhecidas. Jornalistas, por exemplo, regularmente recebem documentos de fontes. Pode, contudo, ser difícil verificar se um documento em Word, uma planilha Excel, ou arquivo PDF é ou não é mal-intencionado.

Em tais casos, não clique duas vezes no arquivo baixado. Em vez disso, transfere-o para Google Drive ou outro leitor de documentos online. Isto transformara o documento em imagem ou HTML, que quase certamente impedira que instale algum programa mal-intencionado no seu telefone ou computador. Se estiver confortável em aprender sobre novos softwares e disposto gastar o tempo configurando um novo ambiente para leitura de e-mails ou documentos desconhecidos, existem sistemas operacionais desenhados para limitar os efeitos dos programas mal-intencionados. TAILS é um sistema operacional baseado em Linux que se auto deleta depois de ser usado. Qubes é outro sistema baseado em Linux que cuidadosamente separa aplicativos para que não possam interferir uns com os outros, limitando os efeitos de qualquer programa mal-intencionado. Ambos foram projetados para rodar em laptops ou computadores de mesa.

Também pode submeter enlaces e arquivos suspeitos para VirusTotal, um serviço online que verifica arquivos e enlaces com vários serviços de antivírus e manda um relatório dos resultados. Não está infalível – serviços de antivírus frequentemente não conseguem detectar novos programas mal-intencionados ou ataques direcionados – mas é melhor do que nada.

Qualquer arquivo ou enlace que enviar para um site público, como VirusTotal ou Google Drive, pode ser visto por pessoas que trabalham na empresa ou até que tenham acesso ao site. Se a informação contida no arquivo for comunicação sigilosa ou sensível, talvez considere outro alternativo.

Use uma chave universal de verificação em duas etapas (U2F) ao fazer login anchor link

Alguns sites permitem que você use um hardware em formato de token com capacidades avançadas para evitar tentativas de phishing. Esses tokens (ou “chaves”) se comunicam com o seu navegador para estabelecer credenciais específicas para logar em cada site. Isto é chamado de modelo universal de verificação em duas etapas (Universal 2nd Factor ou “U2F”) porque é uma maneira padronizada de exigir um segundo método de autenticação – para além da sua frase-chave – no momento do login. Você simplesmente faz o login como de costume, conecta a chave ao seu computador ou smartphone (quando for solicitado) e pressiona um botão para logar. Se você estiver num site de phishing, o navegador vai saber que não deve fazer seu login com as credenciais estabelecidas no site legítimo. Isto significa que, mesmo que um phisher te engane e roube sua frase-chave , sua conta não ficará comprometida. Yubico (um fabricante deste tipo de chave) oferece mais informações sobre o U2F.

Esta chave não deve ser confundida com a forma mais geral de autenticação de dois fatores, que pode ou não oferecer proteção contra phishing.

Cuidado com Instruções recebidas por E-mail anchor link

Alguns e-mails de pesca alegam ser do departamento de suporte técnico ou empresa de tecnologia e pedem que responde com senhas ou permitir um “técnico de suporte” ter acesso remoto ao seu computador, ou de desabilitar algum serviço de segurança no seu telefone ou computador. O e-mail pode alegar algum motivo porque é necessário, por exemplo, alegando que sua conta de e-mail está ultrapassando o limite ou que seu computador foi haqueado. Infelizmente, se obedecer estas instruções fraudulentas, pode prejudicar a sua segurança. Tenha cuidado especial antes de dar alguém dados técnicos ou seguir instruções técnicas ao menos que tenha certeza absoluta que o solicitante seja genuíno.

Se tiver qualquer suspeito de um e-mail ou enlace que alguém te mandou, não abre-o ou clicar nele até que tenha mitigada a situação com as dicas acima e que tenha confiança que não seja mal-intencionado.