Tudo que analisamos anteriormente ao fazer considerações gerais sobre o phishing, como revisar suas falhas frequentes, aspectos fundamentais e, inclusive, quando vimos como se escondem em uma URL falsa, faz referência a indicadores de uma possível intenção maliciosa. No entanto, não constituem por si mesmos uma prova absoluta da culpa, nem da inocência por parte do remetente.
No entanto, se nos dão uma ideia de segurança pode ser sensato clicar em certas coisas sem uma maior pesquisa, em especial quando vários destes indicadores aparecem na mesma mensagem.
Confira 6 dicas para reconhecer emails de phishing.
Publicado originalmente no Blog da ESET
1) A mensagem realmente demonstra que o remetente sabe algo sobre você?
- Os fornecedores de serviços concorrentes não enviam mensagens direcionadas com “Estimado cliente”, sem nenhum tipo de personalização, para indicar que na realidade sabem quem é você.
- Você também não deve cair na armadilha da “falsa personalização” da mensagem, como um número de referência sem significado e que não seja possível verificar.
- E embora a mensagem inclua dados pessoais, lembre-se que não é uma prova inquestionável de que seja verdadeira.
2) Espere o pior dos anexos e links
- Os fornecedores de serviços concorrentes não enviam mensagens pedindo que você inicie uma sessão por meio de um link, inclusive mesmo quando a mensagem esteja perfeitamente personalizada. Caso receba uma mensagem com estas características, primeiro verifique o link de forma isolada com um a fonte conhecida e, em seguida, considere mudar seu fornecedor por outro que tenha alguma ideia sobre medidas de segurança.
- Não confie em arquivos não solicitados ou em links, embora sejam de empresas ou de amigos de confiança. Até um expert em segurança pode cometer o erro de deixar um link não desejado em uma mensagem ou em um texto. Também é fácil alterar os endereços de email, por exemplo, para que pareça de outra pessoa e não do remente real.
- A natureza da Internet do século XXI permite que as mensagens escondam ou disfarcem a identidade do remetente de muitas formas. Também é possível que um email seja enviado por meio de uma conta de uma pessoa inocente sem seu conhecimento. Caso você tenha alguma dúvida, verifique sempre com o suposto remetente (caso queira ligar ou enviar um email, nunca use o link ou números de telefone que aparecem na mensagem: use os detalhes de contato que você já conhece).
- Não presuma que os links, os números de telefone e os endereços que apareçam no email são corretas, nem mesmo presuma que um link te levará ao endereço que esteja mostrando. Há sempre formas de disfarçar um link malicioso para que pareça algo muito diferente, seja estando em um email, chat ou algo parecido.
- As formas sofisticadas em que os links maliciosos costumam se disfarçar nos emails de phishing para se fazer passar por um sitio legítimo obrigaram aos desenvolvedores a voltarem a projetar os navegadores para facilitar a detecção de tais imitações. Os primeiros emails de phishing se baseavam no aproveitamento de erros dos navegadores para esconder os links reais de destino.
3) Tome precauções básicas
- Não se esqueça de aplicar as precauções básicas como passar o mouse sobre o link para ver o verdadeiro endereço. No entanto, em certos casos, o link que se mostra é o primeiro de uma série de endereços, o que torna impossível validar o “destino final” sem primeiro atravessar toda a cadeia.
- De qualquer forma, nem sempre é fácil fazer a diferença entre um site verdadeiro e um falso apenas com a URL, embora apareça a URL real. O envenenamento de cache DNS, por exemplo, permite ao atacante redirecionar uma busca web a um endereço IP sob o controle do atacante.
- Seja extremamente preconceituoso com os links encurtados.
4) Não deixe que as ameaças cheguem até você
Não entre em pânico, nem reaja de forma imediata sem as precauções apropriadas contra a ameaça de que irão suspender ou eliminar sua conta em um prazo de 24 horas (por exemplo). A maioria das empresas não tem tanta pressa em perder um bom cliente.
5) Não se entusiasme com os cliques
Não esqueça que mesmos tendo um antivírus e outros programas de segurança não é aconselhável clicar indiscriminadamente, presumindo que seu software irá detectar todos os códigos e sites maliciosos. Nenhum investigador ou desenvolvedor de segurança respeitável irá garantir que seu produto detecta todos os códigos maliciosos, conhecidos e desconhecidos.
6) Não se convença apenas com apresentações bem elaboradas
As mensagens de phishing rudimentares, de apenas texto e muitas vezes com péssima ortografia, que eram bem comuns há alguns anos, hoje em dia são bastante inúteis, mas a forma básica do ataque não muda muito: apenas melhorou a qualidade da Engenharia Social utilizada e sua apresentação, que passou a ser mais profissional.
No entanto, a superfície do ataque e a variedade de vetores se ampliou consideravelmente: enquanto que a maioria dos ataques de phishing se distribuíam por meio de email, agora vemos o uso de outras formas de mensagem, como o SMS (mensagens de texto), mídias sociais como o Facebook e o Twitter e, inclusive, a mensagem de voz.
E embora o malware relacionado com o phishing continue atacando sobretudo ao Windows, os ataques que se baseiam puramente na Engenharia Social e no uso de sites podem atacar qualquer plataforma, incluindo smartphones e tablets.
Quanto mais precavido seja, quanto mais informado esteja e quanto mais pense antes de dar um clique, estará bem mais prevenido contra o phishing.
Autor: David Harley, da ESET.
Adaptação: Francisco de Assis Camurça, da ESET.
Fonte original: Blog ESET