Prevenção

Análogo ao mundo real, há a isca e um gancho aguardando um peixe a ser fisgado, assim como há, geralmente, uma página Web ou e-mail falsificado à espera de um usuário desavisado para enviar informações confidenciais. Vários métodos, psicológicos e técnicos, são utilizados para fazer um usuário acreditar que o conteúdo é genuíno e enganá-lo ou persuadi-lo a fazer o que atacante quer, que normalmente se baseia em clicar em algum link ou fornecer algum tipo de informação confidencial.

Quanto a prevenção, há dois fatores primordiais que devem ser considerados na melhor proteção dos usuários e/ou funcionários de uma empresa contra golpes de phishing. A primeira delas é pautada em realizar as mudanças necessárias na política de TI e no cotidiano dos usuários. É necessário impor precauções fundamentais e educar as pessoas sobre como evitar tentativas de phishing. A segunda é a implementação de mecanismos técnicos para detectar e parar e-mails phishing e páginas da Web antes que eles atinjam os usuários.

Abaixo, algumas precauções que devem ser observadas para a obtenção de maior segurança nos principais meios de propagação do phishing:

Cuidado com informações pessoais

  • Nunca forneça informações confidenciais pessoais, financeiras ou outras para qualquer um que o solicite. Certifique-se de que você está usando um site seguro no momento da apresentação de informações sensíveis. Para certificar-se, verifique a URL na barra de endereços do seu navegador - deve começar com "https: //" em vez do típico "http: // ". Além disso, é importante que haja uma imagem de um cadeado fechado na barra de status do navegador. Para garantir que a imagem do cadeado não é falsa, clique duas vezes sobre ele e examine o certificado de segurança do site da Web.

  • Em telefonemas, certifique-se de que você esteja lidando com alguém confiável e desconfie do pedido de um número excessivo de informações. Na realidade, o recomendado, caso solicitem alguma informação confidencial, é que se desligue o telefone e ligue diretamente para a entidade responsável para confirmar a requisição desses dados.

  • Nunca ligue de volta para o número fornecido pelo atendente. Esse é um tipo de fraude bastante comum no meio telefônico e este número pode não ser legítimo. Ao ligar para o número, o pseudo atendente lhe fará perguntas ou pedirá que digite as suas informações pessoais fingindo que a intenção é apenas confirmá-las, como o CPF, o número do seu cartão de crédito, a senha, a data de vencimento e inclusive o seu código de verificação. Dados que o permitiria realizar compras em seu nome. Quando necessitar fazer algum contato com a organização desejada, novamente, utilize apenas os números exclusivos de atendimento ao cliente.

  • Desconfie de e-mail que solicite dados pessoais. A maioria das organizações responsáveis não usam um formulário de e-mail para este fim, pois o e-mail não é um meio seguro. Apresente tais informações somente em sites confiáveis.

  • Digite uma senha falsa. Quando solicitado para uma senha, dê uma incorreta em primeiro lugar. Um site legítimo não vai aceitar o falso, mas o site de phishing vai.

  • Ao realizar uma compra, pesquise sobre o histórico do vendedor. Há uma série de sites de compra e venda online, em que o atacante vende um produto falso. O usuário é comumente redirecionado a um website em que são oferecidos produtos ou serviços com custo muito inferior ao de mercado com o intuito de solicitar informações importantes do cliente no ato da compra e assim realizar o golpe. Existem sites hoje, como o ReclameAqui, em que os consumidores podem fazer reclamações e ter um diálogo com a empresa contratante, assim como verificar o nível de credibilidade da mesma. Se o site for avaliado muito negativamente ou caso não consiga comprovar o quão confiável é a empresa, não realize a compra.

  • Analise as informações que você está disponibilizando na Web. Verifique as configurações de privacidade e pense sobre quem você realmente quer que tenha acesso às suas informações pessoais nas redes sociais. Seja cuidadoso sobre quais dados que você deseja colocar na internet, porque os golpistas podem usar esses detalhes para adivinhar suas senhas ou para cometer fraudes.

    • Atenção ao Checar E-mails, Mensagens e Anúncios

  • Não clique em links embutidos em um e-mail que pareça vir de um banco, instituição financeira ou fornecedor de e-commerce. Scammers podem ocultar URLs usando hiperlinks que pareçam estar ligados a um site confiável. Passe o mouse sobre os links suspeitos para ver o endereço do link desconhecido e confira sua autenticidade.

  • Fique atento a saudações genéricas. Os fraudadores costumam enviar milhares de e-mails de phishing ao mesmo tempo. Eles podem ter o seu endereço de e-mail, mas eles raramente têm o seu nome. Seja cético em relação a um e-mail enviado com uma saudação genérica, como "Caro cliente" ou "Caro Membro".

  • E-mails em massa. Se você possui um e-mail dizendo que você foi selecionado para ganhar um prêmio e há vários outros destinatários listados nos campos "Para" ou "CC", há chances altas de que o e-mail seja falso.

  • Ver mais detalhes. Muitas vezes você pode descobrir o verdadeiro endereço do remetente de e-mail clicando em "Mostrar mais detalhes", ou algum botão semelhante, no cabeçalho do e-mail. Verifique se não há nenhuma irregularidade no endereço do remetente.

  • Verificar ortografia e gramática. Isso geralmente é a primeira e melhor dica de que algo é falso. Se você está olhando para um e-mail com vários erros de ortografia ou gramática, é provável que seja uma fraude.

  • ATENÇÃO A E-MAILS EM CAIXA ALTA E/OU COM !!! NO FIM. Tome cuidado com e-mails que tentam obter a sua atenção usando todas as letras maiúsculas, especialmente no campo de assunto, ou que tentam assustá-lo com vários pontos de exclamação. Os autores de e-mails fraudulentos tendem a escrever em letras maiúsculas e enviar um texto de conteúdo altamente emocional. Além disso, mantenha-se atento para terríveis advertências, tais como "Urgente!" ou "Perigo!".

  • Notícias que chamam a atenção e frases publicitárias conhecidas como "Clickbait" muito utilizadas em redes sociais, que em geral possuem uma manchete chamativa e induz o leitor a clicar no link, como por exemplo, "Você não vai acreditar nesse vídeo", ou anúncios sensacionalistas, por vezes, podem estar associados a fraudes.

  • Não responda a um e-mail spam. Ao fazer isso, você confirma que a sua conta de e-mail está ativa, e, provavelmente, você vai ser inundado com ainda mais spams e tentativas de phishing.

  • Em caso de dúvida, verificar. Se você duvidar da autenticidade de uma mensagem, verifique diretamente com a instituição.

    • Softwares Anti-Spam

  • Sempre use antivírus atualizado e software de firewall. Alguns e-mails fraudulentos incluem links ou anexos que, uma vez clicados, realizam o download de um software malicioso no seu computador. Outros e-mails, assim como o click em anúncios, também podem instalar keyloggers que registram a atividade do usuário. É importante a utilização de programas de segurança para se proteger de tentativas de phishing que tentam instalar secretamente esses softwares maliciosos.

  • Mantenha seu navegador e sistema operacional atualizados com os patches mais atuais disponíveis. Tentativas de phishing exploram vulnerabilidades do navegador para enganar os usuários e instalar algum tipo de código malicioso. Utilize preferencialmente um navegador que possua detecção de phishing, como as versões mais recentes do Google Chrome e do Mozilla Firefox. Há também alguns plug-ins gratuitos para os navegadores, que podem contribuir para aumentar a segurança na navegação Web.



    • Se você acha que foi vítima de um ataque de phishing notifique imediatamente o seu banco, empresas de cartão de crédito e outras partes interessadas, além disso, procure uma organização especializada em phishing e denuncie. Há diversos sites que possuem essa finalidade, como o Internet Crime Complaint Center e o Anti-Phishing Working Group (APWG), que promovem uma investigação acerca da URL e/ou e-mail suspeitos. É importante também enviar um "report" à compania responsável pelo meio onde se realizou o ataque, pois é comum que softwares presentes nestes meios já possuam algoritmos para prevenir ataques de usuários com alto índice de reclamações. Ao relatar qualquer contato suspeito para organizações apropriadas, você pode contribuir para redução de tais atividades ilícitas no futuro.