Detetar um esquema de phishing pode ser difícil, a menos que saibas quais os sinais a que deves estar atento. Os e-mails de phishing estão a tornar-se tão convincentes e realistas que, por vezes, é difícil saber o que é genuíno e o que é uma fraude. Muitas vezes, os hackers criam um sentido de urgência nos ataques de phishing para encorajar os utilizadores a reagir antes de pensar.

Os ataques de phishing são uma séria ameaça à segurança cibernética que pode levar a violações de dados, perdas financeiras, malware e roubo de identidade.

Alguns e-mails de phishing podem ser fáceis de detetar, um e-mail estranho, talvez até estrangeiro, pedindo-te para transferires dinheiro para uma conta bancária, ou podem parecer legítimos, com logótipos e credenciais de empresas como a PayPal ou a Amazon, pedindo-te para iniciares sessão na tua conta ou forneceres informações confidenciais. Se encontrares um esquema de phishing, aprende a denunciá-lo.

Então, como é que distingues um e-mail de phishing de um legítimo? Infelizmente, não existe uma técnica única que funcione em todas as situações, mas há vários aspectos que podes procurar e que listamos abaixo.

A mensagem contém um URL incompatível

Uma das primeiras coisas que deves verificar numa mensagem de e-mail suspeita é qualquer um dos URLs incorporados. Muitas vezes, o URL de uma mensagem de phishing parece ser perfeitamente válido. No entanto, se passares o rato sobre a parte superior do URL, deves ver o endereço real com hiperligação e se este endereço com hiperligação for diferente do endereço de e-mail apresentado, a mensagem é provavelmente fraudulenta ou maliciosa. É importante lembrar que os endereços de correio eletrónico e os nomes de domínio podem ser facilmente falsificados.

Neste caso, não cliques na ligação, denuncia-a, se possível, ou não tomes mais nenhuma medida.

Os URLs contêm um nome de domínio enganador

Os burlões que estão por detrás de esquemas de phishing dependem normalmente do facto de as suas vítimas não saberem como funciona a estrutura de nomes DNS dos domínios para as enganar.

A última parte de um nome de domínio é a forma de saberes se se trata de um e-mail de phishing ou não. Por exemplo, o nome de domínio info.cybersecurity.com seria um domínio filho de cybersecurity.com porque cybersecurity.com aparece no final do nome de domínio completo (do lado direito).

Por outro lado, cybersecurity.com.maliciousdomain.com não teria tido origem em cybersecurity.com porque a referência a cybersecurity.com está no lado esquerdo do nome de domínio.

Esta é uma forma comum de tentar convencer as vítimas de que uma mensagem veio de uma empresa como a Microsoft ou a Apple. O cibercriminoso simplesmente cria um domínio filho usando o nome da Microsoft ou da Apple. O nome de domínio resultante seria algo parecido com isto: Microsoft.maliciousdomainname.com.

Ortografia e gramática incorrectas

Este é um dos principais indicadores de que o e-mail pode ser falso. Se uma empresa ou negócio legítimo enviar uma mensagem de correio eletrónico, esta será normalmente corrigida e verificada quanto a erros ortográficos ou gramaticais, por isso, se reparares em alguns erros na mensagem, pode tratar-se de um fraudador.

Lê sempre a mensagem de correio eletrónico e verifica se não há erros, e lembra-te de que se não parecer bem, provavelmente não está bem!

Pedirs informações pessoais

Por muito realista e oficial que um e-mail possa parecer, é sempre um mau sinal se o remetente pedir informações pessoais. O teu banco não precisa que lhe envies o número da tua conta, o código de identificação ou qualquer outra informação sobre a tua conta, pois ele já sabe quais são.

Uma empresa com boa reputação nunca deve enviar um e-mail a pedir a tua palavra-passe, o número do cartão de crédito ou a resposta a uma pergunta de segurança. Se não tiveres a certeza, podes sempre telefonar diretamente para a empresa ou para o banco para obteres as informações de que dizem precisar.

Uma oferta que parece demasiado boa para ser verdade

Há uma crença de que se algo parece bom demais para ser verdade, então provavelmente é. Se receberes um e-mail com uma grande oferta ou com alguém a fazer grandes promessas, é provável que seja uma burla.

Também circulam muitos e-mails de phishing que afirmam que ganhaste uma lotaria em que não participaste ou um concurso a que não te candidataste. Tudo o que o burlão precisa que faças é clicar na ligação e introduzir as tuas informações sensíveis online. Este tipo de e-mails é enviado a vítimas de todo o mundo todos os dias, por isso, independentemente do número de zeros do prémio em dinheiro, não caias nessa.

Pedir um donativo

Por mais inacreditável que possa parecer, os burlões enviam frequentemente ataques de phishing convidando os destinatários a fazer um donativo para uma causa digna após uma tragédia natural ou outra, e muitas pessoas caem nessa. Nunca deves enviar dinheiro a alguém que não conheças ou em quem não confies, nem dar os teus dados a alguém que não conheças ou que não seja de uma fonte respeitável.

Quando pensamos em e-mails de phishing, a conclusão é que deves sempre verificar duas vezes e nunca clicar em quaisquer ligações ou anexos, nem fornecer informações confidenciais ou palavras-passe, se tiveres dúvidas ou considerares a mensagem suspeita. É sempre melhor prevenir do que remediar.

Conhecer os principais componentes das tentativas de phishing pode proteger as tuas contas de ficarem comprometidas, por isso mantém-te sempre atento.

Para mais informações sobre ataques de phishing, lê o nosso outro blogue sobre phishing aqui.