As pessoas caem em ataques de phishing o tempo todo. E esse é o ponto principal. Se o phishing não funcionasse, os invasores já o teriam abandonado há muito tempo. Em vez disso, está em todo lugar. Os golpes de phishing relacionados ao coronavírus surgiram rapidamente em todo o mundo em janeiro de 2020, logo após o início dos bloqueios pandêmicos na China. E a técnica é uma das favoritas de golpistas criminosos e também de hackers de estados-nação .
Os golpes de phishing funcionam enganando você, fazendo-o clicar em um link ou anexo que infecta sua máquina com malware ou leva você a uma página que parece totalmente legítima, mas não é. Em vez disso, ele tenta roubar suas informações privadas. De acordo com o Grupo de Trabalho Anti-Phishing, cerca de 200.000 novos sites de phishing surgem todos os meses e as campanhas personificam mais de 500 marcas e entidades diferentes por mês. O Centro de Reclamações de Crimes na Internet do FBI descobriu que as vítimas de phishing baseadas nos EUA perderam quase US$ 58 milhões somente em 2019 .
Em um estudo recente de mais de um bilhão de e-mails relacionados a phishing e malware, pesquisadores do Google e da Universidade de Stanford descobriram que certos fatores colocam as pessoas em maior risco de receber e-mails de phishing. Um é apenas a sua localização. Analisando os dados agregados do Gmail, os pesquisadores descobriram que os usuários nos Estados Unidos são os maiores alvos de ataques por e-mail em volume, resistindo a 42% desses ataques. Mas os utilizadores na Austrália, muito menos populosa, por exemplo, têm duas vezes mais probabilidades de receber um ataque de phishing do que os dos EUA. O estudo também descobriu que os usuários na faixa etária de 55 a 64 anos tinham 1,64 vezes mais probabilidade de sofrer um ataque em comparação com aqueles de 18 a 24 anos. vezes mais probabilidade de sofrer tentativas de ataques de phishing e malware.
Mas você é inteligente. Você pode aumentar suas chances de evitar golpes de phishing se seguir estes quatro passos e, acima de tudo, lembrar que quando se trata de seu e-mail você não pode realmente confiar em nada.
Sempre, sempre pense duas vezes antes de clicar
“No cerne do phishing está uma fraude”, diz Aaron Higbee, diretor de tecnologia da empresa de pesquisa e defesa de phishing Cofense. “As pessoas que enviam um e-mail de phishing precisam ser profissionais de marketing por e-mail inteligentes para atrair o envolvimento do usuário”. Freqüentemente, eles fazem isso atacando suas emoções.
É por isso que a coisa mais importante que os especialistas recomendam é ouvir o seu instinto. Quando algo parece errado, provavelmente está. Mas como o objetivo do phishing (e de sua contraparte mais personalizada e direcionada, o spear-phishing) é fazer com que você faça algo sem soar o alarme, você precisa praticar o ceticismo mesmo quando as coisas parecem bem. Em geral, você deve relutar em baixar anexos e clicar em links, não importa quão inócuos eles pareçam ou quem pareça tê-los enviado.
“Estamos condicionados a tentar ajudar as pessoas e ser legais. Você não quer parecer rude ou defensivo”, diz Trevor Hawthorn, diretor de tecnologia da Wombat Security, que trabalha com phishing e conscientização de segurança. “Mas uma das coisas mais importantes que as pessoas podem fazer é quando algo lhes é solicitado, quando há algum tipo de apelo à ação, pensar no contexto do que o remetente está a pedir-lhe para fazer. Se houver um sentido de urgência, isso é quando eu seria um cético inteligente e desaceleraria.”
Isso requer prática. Wombat descobriu que quando as pessoas participam de um treinamento antiphishing consistente – digamos, uma vez por mês – elas evitam melhor links de phishing do que quando não têm aulas há alguns meses. Seu trabalho pode não oferecer um programa de prevenção de phishing, mas você ainda pode trabalhar para permanecer vigilante e cético. É mais fácil falar do que fazer, mas manter essa atitude em mente só pode ajudar.
Considere a fonte
Os phishers sempre tentarão fazer com que suas mensagens pareçam vir de uma entidade legítima, seja emulando a aparência de um e-mail familiar de recuperação de conta da Amazon ou fingindo ser um novo serviço nacional de testes Covid-19.
“E-mails e mensagens de texto de phishing podem parecer ser de uma empresa que você conhece ou confia”, alerta a Federal Trade Commission em suas orientações sobre phishing . “Eles podem parecer provenientes de um banco, de uma administradora de cartão de crédito, de um site de rede social, de um site ou aplicativo de pagamento on-line ou de uma loja on-line. E-mails e mensagens de texto de phishing geralmente contam uma história para induzi-lo a clicar em um link ou abrir um anexo.”
Saber de onde veio uma mensagem é particularmente importante e difícil quando os invasores enviam e-mails de spearphishing que realmente parecem ser do seu amigo ou do seu banco. E as coisas ficam ainda mais complicadas nos casos em que um endereço de e-mail aparentemente legítimo está sendo falsificado ou as mensagens realmente são da entidade reivindicada, porque os invasores assumiram o controle de uma conta de e-mail ou número de telefone real e estão fazendo phishing a partir dele.
“Há anos que me dizem para não clicar em e-mails de alguém que não conheço”, diz Higbee, da Cofense. “Mas os invasores podem realmente começar a originar seus e-mails de phishing de pessoas que você conhece. Por que eu não clicaria em um e-mail de alguém que conheço? Os invasores usam essa técnica para propagar coisas como malware e ransomware.”
Então o que você pode fazer? Primeiro, examine o endereço de onde um e-mail diz ter vindo e o texto de quaisquer URLs que ele contenha para eliminar mom@apple.com de mom@app1e.com. Se a fonte for legítima, mas o texto estiver fora do personagem, pergunte-se: “Minha mãe realmente me enviaria este e-mail?” Novamente, se algo parecer estranho em uma mensagem enviada por alguém que você conhece – especialmente se contiver uma solicitação – há uma possibilidade real de que essa pessoa esteja se passando por uma pessoa ou tenha sido hackeada. Entre em contato com eles em uma plataforma diferente – ou pegue o telefone e ligue – e pergunte se eles enviaram uma mensagem para você.
Bloqueie suas contas
Você provavelmente já ouviu falar sobre proteções básicas de segurança cibernética pessoal, como usar um gerenciador de senhas para controlar senhas fortes e exclusivas para todas as suas contas. Por mais irritante que seja ouvir isso, essas proteções realmente ajudam, especialmente contra phishing. Quando se trata de gerenciadores de senhas, se todas as suas senhas forem exclusivas e um phisher roubar uma delas, ele só poderá obter acesso a essa conta e será mais fácil mitigar as consequências.
Em muitas de suas contas, você pode fazer melhor, habilitando a autenticação de dois fatores . Se você precisar de um código extra ou chave física além do seu nome de usuário e senha para fazer login com sucesso, será mais difícil para os phishers simplesmente pegarem as credenciais da sua conta e entrarem pela porta da frente. Isso não anula o risco de ataques de phishing baseados em malware, e também existem ataques de phishing que são especialmente criados para fazer com que você forneça sua senha e código de segurança de dois fatores aos invasores. No geral, porém, dois fatores reduzem significativamente o risco de ter contas comprometidas por ataques de phishing comuns.
Para contas que você realmente deseja proteger contra ataques remotos, os tokens de autenticação física são uma boa escolha. Algumas empresas também começaram a oferecer programas especializados, como a Proteção Avançada do Google e o “Facebook Protect” do Facebook, nos quais você pode se inscrever se achar que está particularmente em risco de segmentação de conta. Os serviços orientam você na configuração de dois fatores e fornecem monitoramento adicional para sua conta.
“Se houvesse uma solução mágica, se houvesse aquela tecnologia, um plugin, algum filtro de e-mail que pudesse realmente impedir ataques de phishing, estaríamos fora do mercado”, diz Higbee. “Mas o cerne deste problema é a intuição e o insight humanos.” A chave para se proteger é estar alerta. Os golpistas de phishing são astutos, mas você também. Fique atento.