Como Fazer: Evitar ataques de phishing
Última revisão: June 21, 2024
No seu caminho para melhorar sua segurança digital, pode encontrar agentes mal-intencionados que tentam desviar-lhe das suas metas de segurança. Chamamos esses agentes mal-intencionados de adversários. Quando um adversário envia um e-mail (ou mensagem de texto ou mensagem em um aplicativo) ou link que parece inocente, mas na verdade é malicioso, isso é chamado de "phishing (peska)".
Um ataque de phishing geralmente vem na forma de uma mensagem destinada a convencê-lo a fazer algo:
- clicar em um link
- abrir um documento
- instalar software em seu dispositivo
- digitar seu nome de usuário e senha em um site feito para parecer legítimo
Os ataques de phishing geralmente são elaborados para induzi-lo a fornecer suas senhas ou a instalar malware no seu dispositivo. Os invasores podem então usar o malware para remotamente controlar o dispositivo, roubar informações ou espioná-lo.
Este guia lhe ajudará a identificar ataques de phishing quando vierem e descreverá algumas maneiras práticas de ajudar defender-se contra eles.
Embora falemos principalmente sobre phishing de e-mail neste guia, essas técnicas não se limitam ao e-mail; podem funcionar por telefone, por SMS ou em aplicativos com funções de bate-papo.
Tipos de ataques de phishing anchor link
Phishing de senhas (também conhecido como coleta de credenciais) anchor link
Os phishers (peskadores) tentam induzi-lo a fornecer suas senhas o enviando um link enganoso. Os endereços da Web em uma mensagem podem parecer ter um destino, mas levam a outro. No seu computador, geralmente é possível ver o URL de destino passando o mouse sobre o link. Mas os links podem ser ainda mais disfarçados com "letras parecidas" ou usando nomes de domínio que têm uma letra a menos em relação aos nomes de domínio legítimos e podem direcioná-lo a uma página da Web que parece ir para um serviço que usa, como o Gmail ou o Dropbox. Essas réplicas falsas de telas de login geralmente parecem tão legítimas que é tentador digitar seu nome de usuário e senha. Se fizer isso, você enviará suas credenciais de login para os invasores.
Portanto, antes de digitar qualquer senha, observe a barra de endereços do seu navegador da Web . Ela mostrará o nome de domínio real da página. Se ele não corresponder ao site no qual você acha que está se conectando, não continue! O fato de ver um logotipo corporativo na página não confirma que ele é real. Qualquer pessoa pode copiar um logotipo ou desenho em sua própria página para tentar enganá-lo.
Alguns phishers usam sites que se parecem com endereços populares da Web para enganar você: https://wwwpaypal.com/ é diferente de https://www.paypal.com/. Da mesma forma, https://www.paypaI.com/ (com uma letra "i" maiúscula em vez de um "L" minúsculo) é diferente de https://www.paypal.com/. Muitas pessoas usam encurtadores de URL para tornar URLs longos mais fáceis de ler ou digitar, mas eles podem ser usados para ocultar destinos mal-intencionados. Se você receber um URL encurtado, como um link t.co do Twitter, tente colocá-lo em https://www.checkshorturl.com/ para ver para onde ele realmente está indo.
Também não confie no remetente do e-mail. É fácil forjar e-mails para que eles exibam um endereço de retorno falso. Isso significa que verificar o endereço de e-mail aparente do remetente não é suficiente para confirmar que um e-mail foi realmente enviado pela pessoa de quem ele parece ser.
Spearphishing (phishing de voz, phishing de SMS, etc.) anchor link
A maioria dos ataques de phishing lança se numa rede ampla. Um invasor pode enviar e-mails para centenas ou milhares de pessoas alegando ter um vídeo interessante, um documento importante, um aviso de remessa ou uma disputa de cobrança.
Mas, às vezes, os ataques de phishing são direcionados com base em algo que o invasor já sabe sobre um indivíduo. Isso é chamado de "spearphishing (peska individualizada)". Imagine que você receba um e-mail do seu tio Boris que diz conter fotos dos filhos dele. Como Boris realmente tem filhos e parece que o e-mail é do endereço dele, você o abre. Quando você abre o e-mail, há um documento PDF anexado a ele. Quando você abre o PDF, ele pode até exibir fotos dos filhos de Boris, mas também instala silenciosamente um malware em seu dispositivo que pode ser usado para espionar você. O tio Boris não enviou esse e-mail, mas alguém que sabe que você tem um tio Boris (e que ele tem filhos) o fez. O documento PDF em que você clicou iniciou seu leitor de PDF, mas aproveitou um defeito nesse software para executar seu próprio código. Além de mostrar um PDF, ele também baixou um malware em seu computador. Esse malware pode recuperar seus contatos e gravar o que a câmera e o microfone do seu dispositivo veem e ouvem.
Outra forma de spearphishing é o phishing de voz, em que um invasor se faz passar por um alvo específico, possivelmente chegando ao ponto de fazer um clone de IA da voz dele. Se a voz soar estranha ou estiver pedindo coisas incomuns, como dinheiro, peça que ele verifique a identidade de outra forma (por exemplo, dizendo algo que só vocês dois saibam ou enviando uma mensagem de outra conta).
A melhor maneira de se proteger de ataques de phishing é nunca clicar em nenhum link ou abrir nenhum anexo. Mas esse conselho não é realista para a maioria das pessoas. Veja a seguir algumas maneiras práticas de se defender contra phishing.
Como ajudar a se defender contra um ataque de phishing anchor link
Mantenha seu software atualizado anchor link
Os ataques de phishing que usam malware geralmente dependem de defeitos de software para colocar o malware em seu computador. Normalmente, quando uma falha se torna conhecida, o fabricante do software lança uma atualização para corrigi-la. Isso significa que os softwares mais antigos têm mais erros conhecidos publicamente que podem ser usados para ajudar a instalar malware. Manter seu software atualizado reduz os riscos de malware.
Use um gerenciador de senhas com preenchimento automático anchor link
Os gerenciadores de senhas que preenchem automaticamente as senhas registram a quais sites essas senhas pertencem. Embora seja fácil para um ser humano ser enganado por páginas de login falsas, os gerenciadores de senhas não são enganados da mesma forma. Se você usar um gerenciador de senhas (inclusive o gerenciador de senhas integrado ao navegador) e ele se recusar a preencher automaticamente uma senha, pare e verifique novamente o site em que está. Melhor ainda, use senhas geradas aleatoriamente para que você seja forçado a confiar no preenchimento automático e tenha menos probabilidade de digitar sua senha em uma página de login falsa. No entanto, observe que os sites podem mudar (e mudam) suas páginas de login e, às vezes, isso pode interferir no funcionamento correto do preenchimento automático, mesmo em sites legítimos. Em caso de dúvida, vá diretamente para a página de login de um site pelo navegador, não clicando em um link em uma mensagem.
Verificar e-mails e mensagens de texto com remetentes anchor link
Uma maneira de determinar se um e-mail ou texto é um ataque de phishing é verificar por meio de um canal diferente com a pessoa que supostamente o enviou. Se o e-mail ou texto foi supostamente enviado por seu banco, não clique nos links. Em vez disso, ligue para seu banco ou abra o navegador e digite o URL do site do banco. Da mesma forma, se o seu tio Boris lhe enviar um anexo de e-mail de aparência estranha, envie uma mensagem de texto e pergunte se ele lhe enviou fotos dos filhos antes de abrir o anexo.
Abrir documentos suspeitos no Google Drive anchor link
Algumas pessoas esperam receber anexos de pessoas desconhecidas. Por exemplo, jornalistas geralmente recebem documentos de fontes. Mas pode ser difícil saber se um documento do Word, uma planilha do Excel ou um arquivo PDF não é mal-intencionado.
Nesses casos, não clique duas vezes no arquivo baixado. Em vez disso, carregue-o no Google Drive ou em outro leitor de documentos on-line. Isso transformará o documento em uma imagem ou HTML, o que quase certamente impedirá que ele instale malware em seu dispositivo.
Se você se sentir confortável em aprender um novo software, estiver disposto a gastar tempo configurando um novo ambiente para ler e-mails ou documentos estrangeiros e receber um número suficiente desses tipos de e-mails para justificar o tempo extra necessário, considere o uso de um sistema operacional dedicado projetado para limitar o efeito do malware. O Tails é um sistema operacional baseado em Linux que se exclui depois de ser usado. O Qubes é outro sistema baseado em Linux que separa cuidadosamente os aplicativos para que não possam interferir uns nos outros, limitando o efeito de qualquer malware. Ambos foram projetados para funcionar em laptops ou computadores de mesa.
Você também pode enviar links e arquivos não confiáveis para o VirusTotal, um serviço on-line que verifica arquivos e links em vários mecanismos antivírus diferentes e relata os resultados. Isso não é infalível - os antivírus geralmente não detectam novos malwares ou ataques direcionados - mas é melhor do que nada. No entanto, observe que qualquer arquivo ou link enviado para um site público, como o VirusTotal ou o Google Drive, pode ser visualizado por qualquer pessoa que trabalhe para essa empresa ou, possivelmente, por qualquer pessoa com acesso a esse site, como no caso do VirusTotal. Se as informações contidas no arquivo forem comunicações confidenciais ou privilegiadas, talvez você deva considerar outra alternativa.
Use uma chave universal de segundo fator (U2F) no login anchor link
Alguns sites permitem que você use um token de hardware especial com recursos avançados para evitar tentativas de phishing. Esses tokens (ou "chaves") se comunicam com seu navegador para estabelecer credenciais por site para fazer login. Isso é chamado de Universal 2nd Factor ou "U2F", porque é uma maneira padrão de exigir um segundo método de autenticação - além da sua senha - no login. Basta fazer login normalmente e (quando solicitado) conectar a chave ao seu computador ou smartphone e pressionar um botão para fazer login. Se você estiver em um site de phishing, o navegador saberá que não deve fazer login com as credenciais estabelecidas no site legítimo. Isso significa que, mesmo que um phisher o engane e roube sua frase secreta, ele não comprometerá sua conta. A Yubico (um fabricante dessas chaves) fornece mais informações sobre o U2F.
Isso não deve ser confundido com a autenticação de dois fatores em geral, que pode ou não oferecer proteção contra phishing. As chaves de acesso são uma opção mais recente de login que pode oferecer proteção contra phishing, e você deve considerar usá-las quando oferecidas. Com as chaves de acesso, seu navegador sabe exatamente qual site corresponde a qual chave de acesso e não é enganado por sites falsos.
Cuidado com as instruções enviadas por e-mail anchor link
Alguns e-mails de phishing alegam ser de um departamento de suporte de computadores ou de uma empresa de tecnologia e pedem que você responda com suas senhas, permita que uma "pessoa que conserta computadores" tenha acesso remoto ao seu computador ou desative algum recurso de segurança do seu dispositivo. Esses e-mails geralmente têm um tom insistente e tentam usar o medo para induzi-lo a fazer algo.
Por exemplo, um e-mail pode dar uma suposta explicação do motivo pelo qual isso é necessário, alegando que sua caixa de e-mail está cheia ou que seu computador foi invadido. Infelizmente, obedecer a essas instruções fraudulentas pode ser ruim para sua segurança. Seja especialmente cuidadoso antes de fornecer dados técnicos a alguém ou de seguir instruções técnicas, a menos que você tenha certeza absoluta de que a fonte da solicitação é genuína. A maioria das empresas não entrará em contato para solucionar problemas para você. No máximo, elas o podem enviar uma notificação sobre uma alteração futura ou excesso de dados, juntamente com um link para a documentação pública.
Se alguém lhe enviar um e-mail ou link suspeito, não abra nem clique nele até que você tenha atenuado a situação com as dicas acima e tenha certeza de que não é mal-intencionado.
Desativar imagens externas em seu software de e-mail anchor link
As imagens dentro de um e-mail podem ser usadas para rastrear quem abriu um e-mail e quando. Você provavelmente já encontrou muitas dessas imagens em e-mails de marketing, mas elas também podem ser utilizadas em phishing. Portanto, em vez de permitir que todas as imagens sejam carregadas em todos os e-mails o tempo todo, é melhor configurar seu cliente de e-mail, seja ele um aplicativo como o Outlook ou um serviço como o Gmail, para "Perguntar antes de exibir imagens externas". Com essa opção definida, você precisará clicar em uma opção em cada e-mail para carregar as imagens. Alguns aplicativos de e-mail também podem oferecer outras medidas de privacidade, como o aplicativo Mail da Apple, que carrega todas as imagens remotamente por padrão.