O phishing continua sendo uma das maiores ameaças enfrentadas pelas empresas e um e-mail malicioso é apenas o ponto de partida para um ataque cibernético. Depois que conseguem entrar, os agentes de ameaças podem implantar o próximo estágio de um ataque, como ransomware ou roubo de dados. Felizmente, instruir o usuário pode ajudar bastante a reduzir o risco desses golpes. Quanto mais usuários estiverem cientes de que esses tipos de ataques existem, mais exemplos eles verão e quanto mais dicas receberem sobre como identificá-los, menor será a probabilidade de serem vítimas.
Apresentamos 11 dicas para identificar e-mails maliciosos:
- O endereço de e-mail parece suspeito?
- Qual é o conteúdo do e-mail?
- Qual é a linha de assunto?
- Existem erros gramaticais e ortográficos?
- Já verificou os links?
- Há falta de personalização?
- Quantos detalhes estão incluídos no e-mail?
- Qual o nome do arquivo recebido?
- A assinatura de e-mail corresponde aos detalhes do remetente?
- Desconfie de 'falsos legitimadores'
- O e-mail está assinado digitalmente?
1. O endereço de e-mail parece suspeito?
Essa é uma das etapas mais importantes que você pode seguir ao identificar e-mails de phishing. Antes de mergulhar no conteúdo do e-mail, dê um passo para trás e olhe para a origem. Quem enviou o e-mail? É alguém que você conhece?
Se não conhecer o remetente, dê uma olhada no endereço do remetente. Isso não significa apenas o nome de exibição; observe também o endereço de e-mail e o domínio reais. Parece suspeito? É claro que “suspeito” pode ser bastante objetivo, mas alguns sinais de alerta comuns incluem palavras com erros ortográficos, sequências desconexas de letras e números e nomes de exibição que não correspondem ao endereço de envio do e-mail.
2. Qual é o conteúdo do e-mail?
Digamos que você recebeu um e-mail de alguém desconhecido, mas o endereço do remetente não ativa o sinal de alerta? Dependendo de sua função e do tipo de empresa para a qual trabalha, talvez não seja tão incomum receber e-mails legítimos de novos contatos. Há algumas coisas que podem ser feitas nesse caso:
- Faça uma pesquisa sobre a empresa – saia do e-mail e faça uma pesquisa no Google sobre a empresa. Eles são quem afirmam ser? Eles estão vendendo o que está descrito no e-mail que você recebeu?
- Pergunte-se, 'eu estava esperando este e-mail?' – talvez você tenha tido contato recentemente com alguém em uma exposição ou conferência; portanto, receber um e-mail de alguém com quem você não tiver interagido antes por e-mail não é incomum.
- Não clique em nenhum link ou anexo sem antes fazer verificações – parece óbvio, mas convém saber um pouco mais sobre o e-mail que recebeu antes de clicar em algum link ou anexo contido nele (falaremos mais sobre isso em breve).
3. Qual é a linha de assunto?
Se recentemente você fez um pedido de uma empresa ou fez alguma pergunta sobre um produto específico, isso geralmente estará descrito na linha de assunto do e-mail. É sabido que os invasores são bem vagos e misteriosos nas linhas de assunto. Não deixe a curiosidade tomar conta de você, realize as outras verificações mencionadas, ou melhor ainda, entre em contato direto com a empresa para saber se o e-mail foi mesmo enviado por ela. É provável que a empresa não esteja ciente dos e-mails enviados em nome dela pelos invasores.
4. Existem erros gramaticais e ortográficos?
Os e-mails de phishing geralmente não obedecem normas gramaticais e estão cheios de erros de ortografia, inclusive no endereço de e-mail de onde foram enviados. Repete-se “por favor” algumas vezes no corpo do e-mail e as frases são escritas de maneira desordenada.
5. Já conferiu os links?
SEMPRE verifique o link antes de clicar.
Os phishers adoram esconder links maliciosos em hipertexto. Verifique sempre o endereço de destino (passando o cursor sobre ele) antes de clicar em qualquer coisa. Ele é uma propriedade legítima da empresa da qual o e-mail foi recebido?
6. Há falta de personalização?
Existem diferentes tipos de ataques de e-mail, sendo que o mais comum não é nada personalizado e muitas vezes usa saudações como “Oi”, o que soa um pouco estranho para um e-mail tão específico (ou seja, não é um envio em massa).
7. Quantos detalhes estão incluídos no e-mail?
E-mails maliciosos contém declarações bem simples e normalmente não incluem detalhes de produtos ou serviços, nem fazem referência a um contato mútuo.
8. Qual o nome do arquivo recebido?
Digamos que você tenha recebido um e-mail com uma fatura que não estava sendo esperada, mas nenhum outro sinal de alerta foi identificado até agora. Antes de abrir o anexo para visualizar a fatura, ligou para a empresa em questão para conferir se realmente foram eles que enviaram? Em caso negativo, dê uma olhada no nome do arquivo. Verifique se o nome da fatura é ou não específico de um projeto ou empresa e se há ou não outros detalhes.
Outra coisa que você pode fazer se for uma empresa para a qual faz pedidos regularmente é comparar o nome do arquivo com as faturas/arquivos anteriores que recebeu. É improvável que usem a mesma estrutura de nomenclatura ou referências exclusivas.
Verifique a idoneidade dos anexos, mesmo que sejam internos
Recomendamos recuar e se perguntar se faz algum sentido essa pessoa ter lhe enviado esse tipo de arquivo. Você recebeu um e-mail do RH com um PDF anexo descrevendo o novo plano de seguro saúde de empresa; contudo, sabe que acabaram de trocar de plano alguns meses atrás. O departamento Financeiro envia uma planilha detalhando os resultados do primeiro trimestre; contudo, nunca tinham enviado nesse formato antes. Esse tipo de verificação lógica pode ajudar bastante no combate a alguns tipos de ataques direcionados.
9. A assinatura de e-mail corresponde aos detalhes do remetente?
Pode parecer algo óbvio, mas facilmente se esquece de fazer isso. Se a assinatura do e-mail não corresponder aos detalhes do remetente, é um sinal de alerta quanto à legitimidade do e-mail.
10. Desconfie de 'falsos legitimadores'
Os ataques de phishing tornaram-se cada vez mais sofisticados nos últimos anos, e vários elementos foram desenvolvidos para tornar o e-mail mais legítimo:
- Um domínio registrado (virus-control.com) para indicar que o URL malicioso pertence a uma empresa de antivírus autêntica;
- Um nome de marca real de uma empresa de antivírus incorporado ao URL para transmitir uma falsa garantia;
- A urgência da mensagem – sinalizando-a como de alta importância, uso de “o quanto antes” dentro da mensagem.
Esses recursos adicionais tornam ainda mais difícil identificar e-mails de phishing e destacam a importância de se pensar um minuto antes de clicar ou baixar qualquer coisa.
11. O e-mail está assinado digitalmente?
É de conhecimento de todos recomendarmos assinar digitalmente todos os e-mails da empresa. A assinatura digital de um e-mail vincula a identidade on-line de um indivíduo verificada por terceiros às suas comunicações por e-mail. Isso significa que, se você receber um e-mail assinado digitalmente de alguém que conhece, tem certeza de que o e-mail realmente veio dele e não de um phisher.
Como saber se um e-mail foi assinado digitalmente?
A maioria dos clientes de e-mail corporativo indica claramente se um e-mail foi assinado digitalmente. Por exemplo, o Microsoft Outlook inclui uma faixa de opções. Clicar na faixa de opções traz informações adicionais sobre o assinante e o certificado usado para aplicar a assinatura, para que você possa validar ainda mais a identidade do assinante.
Saiba mais como proteger os e-mails de sua empresa
Em caso de dúvida – não clique!
Se ainda não tiver certeza quanto à legitimidade do e-mail, recomendamos agir com cautela. Algumas tentativas de phishing são bastante sofisticadas, envolvendo conhecimento detalhado do alvo e da empresa e podem ser difíceis de detectar. Nunca é demais verificar com o remetente antes de clicar em um link ou baixar um anexo. Seu departamento de TI também pode ajudá-lo a determinar se um e-mail é seguro. Em caso de dúvida, encaminhe o e-mail suspeito para o departamento de TI, para que verifiquem se o e-mail é válido e saber se trata-se de uma tentativa de phishing.
Nota do editor – este blog foi publicado originalmente em 2016, mas foi atualizado em outubro de 2022
