A quantidade de fraudes que chegam por e-mail obrigam os utilizadores a estar super atentos. Os objetivos das fraudes são semelhantes, pois visam ao roubo de dados e até ao roubo de dinheiro. Se recebeu um e-mail do Universo, apague… é burla!
Como é normal, os bancos não solicitam por e-mail a atualização de dados de acesso a contas, onde se incluem utilizadores e passwords. Em Portugal circula um e-mail em nome do Universo com o assunto “Atualização Dados – aviso BdP“. Trata-se de um e-mail fraudulento com o objetivo de roubar dados pessoais e dinheiro.
Atenção ao e-mail (e não só): o que é um ataque de phishing?
De acordo com informações do Centro Nacional de Cibersergurança, o phishing é um tipo de ataque em que se usam técnicas de engenharia social para capturar informação sensível de uma vítima através de email.
Um agente de ameaça que utilize este tipo de ataque procura enganar os recetores de emails para que estes disponibilizem informação sensível através do clique em anexos e/ou URL maliciosos ou da partilha de dados em páginas fraudulentas. Para o efeito, o atacante simula uma marca credível ou personifica alguém de confiança.
Quando esta técnica é utilizada através de SMS, dá pelo nome de smishing e, por telefone (voz), de vishing. Esta técnica também pode ser usada através de mensagens instantâneas em aplicações de redes sociais.
O que fazer?
- Não clicar em anexos ou links de emails, de mensagens instantâneas ou de SMS suspeitos;
- Quando se é contactado, confirmar a veracidade do endereço de email, do perfil ou do número de telefone de origem;
- Avaliar sempre a oportunidade dos conteúdos de emails, de mensagens instantâneas, de SMS ou de telefonemas;
- Não partilhar dados pessoais ou seguir instruções sem verificar noutras fontes a veracidade do pedido – por exemplo, junto do gestor de conta do Banco ou de um superior hierárquico;
- Desconfiar de mensagens com erros formais de linguagem, mas também não confiar em todas as mensagens apenas porque não apresentam erros formais de linguagem;
- Nas organizações, realizar simulações de ataques de phishing e smishing, e eventualmente de vishing, de modo a aumentar a sensibilização e os níveis de atenção a estes meios;
- Não partilhar dados sensíveis nas redes sociais porque essa prática pode fornecer informação a possíveis atacantes que queiram realizar spear phishing (phishing dirigido a uma pessoa específica);
- Denunciar junto dos responsáveis de segurança informática da organização ou junto das autoridades sempre que se é alvo ou vítima de um ataque deste tipo;
- Estar atento e não se deixar persuadir sem reflexão por solicitações autoritárias, promessas ou pedidos urgentes.
O phishing e o smishing têm sido os tipos de incidentes mais registados pelo CERT.PT