É importante saber como identificar um site de phishing para evitar cair vítima de esquemas que podem resultar em perda financeira, roubo de identidade, ou outras formas de cibercrime. Os ataques de phishing continuam a provar ser uma das formas mais bem sucedidas e eficazes para os cibercriminosos lançarem ataques informáticos que nos defraudam e roubam as nossas informações pessoais, incluindo palavras-passe, credenciais e dados financeiros.
A nossa crescente dependência da Internet para realizar grande parte das nossas operações quotidianas proporcionou aos autores de fraudes o ambiente perfeito para lançar ataques de phishing direccionados.
Os e-mails de phishing são uma forma sofisticada de ataque cibernético que é cada vez mais difícil de detetar. Um estudo efectuado pela Intel revelou que 97% das pessoas não conseguem identificar os e-mails de phishing dos e-mails genuínos na sua caixa de entrada.
Mas não são apenas os e-mails de phishing que são utilizados para enganar os destinatários, levando-os a clicar em hiperligações, descarregar malware ou divulgar informações sensíveis. Outra tática comum utilizada pelos cibercriminosos envolve a criação de sites de phishing comprometidos para enganar as vítimas e levá-las a introduzir informações sensíveis.
As fraudes de phishing incluem muitas vezes sítios Web falsos para enganar os utilizadores que pensam estar num sítio legítimo e comprometer a sua segurança. Os burlões passam muito tempo a fazer com que o sítio pareça o mais credível possível e muitos sítios parecem quase indistinguíveis dos verdadeiros.
Top Tips to Identify a Phishing Website
Para determinar se o site em que se encontra é legítimo, ou uma falsificação bem trabalhada, deve tomar as seguintes medidas:
1. Verificar o URL
O primeiro passo para identificar um ataque de phishing é passar o rato por cima do URL e verificar a validade do nome do domínio.
Deve procurar um ícone de cadeado na barra de endereço e verificar se o URL começa com 'https://' ou 'shttp://'. O 'S' indica que o endereço web foi encriptado e protegido com um certificado SSL. Sem HTTPS, quaisquer dados transmitidos no site são inseguros e poderiam ser interceptados por terceiros cibercriminosos.
Contudo, este sistema não é totalmente infalível e, no último ano, houve um aumento notável no número de sítios de phishing que utilizam certificados SSL. Aconselham-se os utilizadores a serem mais cautelosos e a procurarem mais provas de que o site é seguro.
Deve também prestar muita atenção à ortografia de um endereço web. Para enganar os utilizadores a pensar que estão num site oficial, os autores da fraude ficarão o mais próximo possível do endereço real e farão pequenas alterações à ortografia. Um endereço web que termina num .co.uk pode ser alterado para .org, ou a letra O pode ser substituída pelo número 0. Ex: www.yah00.org. O endereço web pode também conter caracteres e símbolos adicionais que os endereços oficiais não conterão.
2. Avaliar o conteúdo dentro de um site
Muito trabalho árduo e reflexão serão dedicados à elaboração de um site oficial. Os gráficos serão afiados, a ortografia e a gramática estarão no ponto, e toda a experiência se sentirá polida. Se estiver num site de phishing, apesar da semelhança da marca, toda a experiência se sentirá sub-padrão e poderá indicar que se desviou para um site de phishing.
Erros ortográficos simples, inglês quebrado, erros gramaticais, ou imagens de baixa resolução devem funcionar como uma bandeira vermelha que se encontra num site de phishing e devem sair imediatamente.
Outra área do website que pode indicar um ataque de phishing é a falta de uma secção "contacte-nos". Os sítios web oficiais terão normalmente uma página dedicada a fornecer detalhes completos de contacto para a sua empresa. Isto incluiria, endereço postal, número de telefone, endereço electrónico, e canais de comunicação social. Se nenhum destes detalhes for fornecido, isto é uma indicação de um site de phishing.
3. Verificar quem é o proprietário do sítio web
Todos os domínios terão de registar o seu endereço web, pelo que vale a pena fazer uma pesquisa WHOIS para ver quem é o proprietário do sítio web. Este é um serviço gratuito e permitir-lhe-á verificar quem é proprietário do sítio web quando este foi criado e fornecerá detalhes de contacto para o proprietário do sítio.
As suspeitas devem ser levantadas se o website estiver activo há menos de um ano ou se pensar que está no website de uma marca líder, mas o endereço web estiver registado em nome de um indivíduo noutro país. Se for este o caso, é mais provável que se trate de um ataque de phishing.
4. Ler resenhas em linha
Vale sempre a pena fazer um pouco de investigação sobre uma empresa para verificar se são respeitáveis e se são quem dizem ser. Há uma boa hipótese de que, se um site defraudou pessoas no passado, as vítimas irão em linha para partilhar a sua experiência e avisar outros utilizadores para evitarem o site de phishing. Se houver muitas revisões negativas de clientes, é uma boa indicação de que se trata de um ataque de phishing.
5. Métodos de pagamento fiáveis
Os websites legítimos aceitarão sempre cartões de crédito como método de pagamento ou poderão utilizar um portal como o PayPal para transacções online. Se a única opção de pagamento fornecida num website for através de uma transferência bancária, então os sinais de alarme devem estar a tocar. Os sites respeitáveis nunca irão pedir aos consumidores que paguem utilizando este método. Isto indica que nenhum banco disponibilizou facilidades de cartão de crédito para o website e o cenário mais provável é que esteja a lidar com um defraudador.
Artigos relacionados:
O que fazer se clicar num link de Phishing
Principais tendências emergentes em matéria de cibersegurança
