Os ataques de phishing têm aumentado em número e sofisticação nos últimos anos. Apenas a formação em segurança informática dos funcionários não é suficiente para acompanhar esses ataques. Uma segurança mais robusta, com firewalls de nível profissional, por exemplo, é essencial para garantir a proteção online nos dias que correm.
Hoje a WhiteHat deixa-lhe algumas dicas para se proteger deste tipo de ataques.
Quando tem como objetivo burlar o utilizador final, o “phishing” é grave, mas o âmbito do seu dano acaba por ser restrito. No entanto, muitos destes ataques de phishing têm como alvo trabalhadores de grandes empresas e instituições, com o objetivo de obter dados e/ou credenciais para posterior acesso não autorizado à infraestrutura de TI.
5 conselhos para evitar ser a próxima vítima de phishing
#1 – Sensatez e inteligência
É possível reduzir significativamente a hipótese de cair vítima de ataques de phishing sendo apenas sensato e inteligente enquanto navega online e verifica os seus emails. Por exemplo, evite clicar em links, descarregar ficheiros ou abrir anexos em e-mails (ou em redes sociais), mesmo que pareça ser de uma fonte conhecida e de confiança.
Nunca deve clicar em ligações de um e-mail para um website, a menos que tenha a certeza absoluta de que é autêntico. Se tiver alguma dúvida, deve abrir uma nova janela do navegador e digitar o URL na barra de endereços.
Tenha também cuidado com as mensagens de correio eletrónico que solicitem informações confidenciais – especialmente se pedir dados pessoais ou informações bancárias.
#2 – Cuidado com os links abreviados
Deve prestar-se especial atenção aos links abreviados (shortcut link), especialmente nas redes sociais. Os cibercriminosos utilizam frequentemente o Bit.ly e outros serviços de encurtamento de links para levar a vítima a pensar que está a clicar num link legítimo, quando na realidade está a ser inadvertidamente direcionada para um site falso.
Deve sempre colocar o seu rato sobre uma ligação web num e-mail (sem clicar!) para ver se está realmente a ser enviado para o site certo – ou seja, certificar-se de o que aparece no texto do e-mail é o mesmo que vê quando passa o rato por cima.
#3 – Será que o e-mail é suspeito? Leia-o novamente
Muitos e-mails de phishing são bastante óbvios. Serão pontuados com muitos erros de digitação, palavras em maiúsculas e pontos de exclamação. Podem também ter uma saudação impessoal – pense nas saudações como “Caro Cliente” ou “Caro Senhor/Senhora” em vez do seu nome – ou apresentar um conteúdo implausível e geralmente surpreendente.
Os cibercriminosos cometerão frequentemente erros nestes emails… por vezes até intencionalmente, para ultrapassar filtros de spam, melhorar as respostas e eliminar os destinatários “inteligentes” que não cairão no golpe.
#3 – Desconfie de ameaças e prazos urgentes
Por vezes, uma empresa de renome precisa que se faça algo urgentemente. Por exemplo, em 2014, o eBay pediu aos seus clientes que alterassem rapidamente as suas palavras-passe após a violação dos seus dados.
Contudo, esta é uma exceção à regra; normalmente, as ameaças e a urgência – especialmente se vindas do que afirma ser uma empresa legítima – são um sinal de alarme.
Algumas destas ameaças de podem incluir avisos sobre uma multa, ou aconselhá-lo a fazer algo para impedir que a sua conta seja encerrada. Ignore as táticas de assustar e contacte a empresa separadamente através de um canal conhecido e de confiança (telefone ou email).
#5 – Navegue com segurança através de HTTPS
Deve sempre utilizar um website seguro (indicado por https:// e um ícone de “bloqueio” de segurança na barra de endereços do navegador) para navegar, e especialmente ao submeter informações sensíveis em linha, tais como detalhes de cartão de crédito.
Nunca deverá utilizar Wi-Fi público, sem segurança, para efetuar operações bancárias, compras ou introduzir informações pessoais online (a conveniência não deve ser um trunfo para a segurança). Em caso de dúvida, utilize a ligação de dados do seu telemóvel.
Em Portugal, o “phishing” começou por tomar formas facilmente identificáveis, designadamente pelas suas origens anglo-saxónicas, com emails e mensagens em inglês e, mais tarde, em português pouco correto, claramente gerado através de sistemas de tradução automática. No entanto, têm aumentado de forma exponencial ataques mais sofisticados e talhados especificamente para os utilizadores portugueses. Estejam atentos!