Por Laila Robak
Atualmente, o Phishing continua sendo uma das maiores ameaças enfrentadas pelas empresas, tanto em termos de segurança da rede (95% desses ataques são resultado de um spear phishing bem sucedido) e perdas financeiras (empresas têm tido prejuízos de mais de $2 bilhões nos últimos dois anos). Felizmente, a educação e informação do usuário pode contribuir para reduzir significativamente a taxa de sucesso desses ataques. Quanto mais usuários souberem sobre esse tipo de ataque, como eles acontencem e quais as suas principais características, menor será a probabilidade de que eles se tornem vítimas de e-mails maliciosos.
Para colocar a teoria em prática, vamos dar uma olhada em alguns tipos muito comuns de ataques de phishing.
Situação 1: Recebendo um e-mail de alguém que você não conhece
Esse endereço de e-maill parece suspeito?
Eu diria que o primeiro passo (e também o mais importante) para identificar um e-mail phishing é verificar a sua origem. Antes de você sair navegando pelos conteúdos do e-mail e baixando arquivos anexos, dê uma olhada em quem enviou esse e-mail.
Se você não conhece o nome que está no remetente, olhe o endereço do e-mail. Mais do que o nome que aparece no cabeçalho, é importante prestar atenção no endereço e domínio do e-mail. Eles parecem suspeitos? O que quero dizer com suspeitos são e-mails que, por exemplo, apresentam algum erro gramatical ou uma sequência sem sentido de palavras e números ou, ainda, nomes que não batem com o remetente da mensagem.
Veja um exemplo abaixo. Ambos nome do remetente e endereço de e-mail não têm sentido e nem batem um com o outro. Isso parece muito suspeito para mim e, sendo assim, não clicaria em nada nesse e-mail. No entanto, se eu não tivesse verificado o endereço da mensagem, eu poderia ter sido facilmente pega pelo tom de urgência da mensagem, a qual diz que meu computador foi infectado e, por isso, todas as minhas informações poderão ser destruídas caso eu não tome uma atitude imediata. E é exatamente isso que os hackers querem que você pense. Eles brincam com suas emoções, para que você não perceba os indicadores que tornam essa mensagem falsa.
O que esse e-mail contém? Você estava esperando por isso?
Bom, mas e se esse e-mail que você recebeu, ainda que de uma pessoa que você não conhece, apresenta um endereço de e-mail aparentemente normal ou real? Dependendo do tipo de departamento e empresa em que você trabalha, pode ser muito comum para você receber e-mails de novos contatos.
Nesse caso, ao invés de tentar listar uma série de formas para identificar a legitimidade da mensagem, já que isso dependeria de cada situação, seria mais útil pontuar alguns aspectos em que você deve prestar atenção, para agir com cautela. Veja o exemplo a seguir.
Esse e-mail me chamou atenção imediatamente, pois em nenhum momento eu solicitei para essa empresa uma nota fiscal para pagamento (“invoice” anexo). Eu nem mesmo conheço a empresa e nunca fiz qualquer solicitação ou transação com ela. Por isso, eu não faria o download do anexo enviado.
Tudo isso parece óbvio e facilmente identificável, mas lembre-se de que esses ataques têm se tornado cada vez mais sofisticados, se assemelhando muito com mensagens reais. Por isso, para que você possa identificar esses ataques e se prevenir, antes de qualquer ação, sempre se pergunte “Eu estava esperando por esse e-mail?”
Outras dicas para identificar e-mails phishing de remetentes desconhecidos
O exemplo anterior contem uma série de indicativos de um ataque de phishing. Preste atenção nesse indicadores para se prevenir contra esses ataques.
- Título da mensagem vago: não há referência do número do pedido, produto, etc.
- Gramática: a repetição da palavra “please” na mesma frase é feita de forma estranha. Aqui, vemos um exemplo em inglês, mas a mesma lógica se aplica a qualquer idioma; ou seja, se você encontrar erros ou formas estranhas de escrita, pode ser um indicativo de phising.
- Falta de personalização: a saudação diz apenas “Hi”, que não é algo comum quando se envia um e-mail específico como esse. Para o envio de uma nota fiscal para pagamento, é comum vermos algum tipo de personalização e, em alguns casos, certa formalidade na escrita (ex.: Boa tarde, Sr. José Ramos).
- Falta de detalhes: a mensagem é escrita de forma muito genérica; não há qualquer detalhe sobre produto, serviço ou referência de um contrato existente.
- Nome do arquivo anexo: muito genérico, sem conter o nome da empresa, número da nota ou qualquer outro detalhe pertinente.
- Assinatura de e-mail não bate com as informações do remetente: no cabeçalho da mensagem, você verá o nome Robert Black e e-mail robert@…; já na assinatura o e-mail começa com sempurna….@….
Situação 2: Recebendo um e-mail de alguém que você “conhece”
Coloquei “conhece” entre aspas, pois atualmente é muito fácil falsificar um endereço de e-mail (spoofing e-mail). Assim, ainda que o e-mail pareça vindo de alguém que você já trocou e-mails, é sempre bom tomar cuidado com links e anexos.
Por exemplo, eu recebi o e-mail abaixo de “security@globalsign.com”, ainda que não enviado diretamente por alguém da GlobalSign. À primeira vista, parece algo verdadeiro, certo? Mas sabemos que não podemos confiar apenas no endereço do remetente para garantir a legitimidade de um e-mail. Então, o que devemos fazer?
Verifique se existe uma assinatura digital
Não é segredo que nós sempre recomendamos a todas as empresas, clientes e parceiros que assinem digitalmente todos os e-mails corporativos. Assinar digitalmente um e-mail significa que a identidade de uma pessoa foi verificada por uma terceira parte e, portanto, todas as comunicações online feitass por essa pessoa estarão associadas a essa identidade verificada. Em outras palavras, se você receber um e-mail digitalmente assinado de alguém que você conhece, você pode ter certeza de que esse e-mail realmente veio do real remetente e não de um phisher.
Como é possível saber se um e-mail foi digitalmente assinado?
E-mails assinados aparecerão com uma fita vermelha. Clicando nessa fita, você poderá ver mais detalhes, incluindo quem assinou e mais informações sobre o autor e o certificado digital utilizado, legitimando, assim, a identidade do autor.
SEMPRE verifique o link antes de clicar
Phishers adoram esconder links maliciosos ao longo da mensagem. Por isso, sempre verifique o destino do endereço (e.x.: passando o mouse sobre ele), antes de clicar em qualquer coisa. No exemplo usado sobre o aviso de vírus pelo remetente security@globalsign.com, você verá que o link usado direciona os usuários para uma URL suspeita – “http://globalsign.uk.virus-control.com/…”, que não é uma página online legítima da GlobalSign.
Atenção com anexos
Da mesma forma, é importante ter bom senso na hora de verificar anexos nas mensagens, se perguntando se faz sentido essa pessoa te enviar algum tipo de arquivo. Por exemplo, você recebe um e-mail do “RH” com um PDF anexo, contendo a explicação do novo plano de saúde da empresa…mas você acabou de trocar de plano. Ou ainda, o “departamento Financeiro” te envia uma planilha anexa detalhando os resultados do primeiro semestre, quando eles nunca mandaram uma comunicação como essa usando esse formato. Essa é a lógica que você deve utilizar para avaliar as suas mensagens recebidas e, assim, combater ataques de phising.
Atenção para “Falsos Legitimados”
Como já comentei, os ataques de phishing têm se tornado cada vez mais frequentes e sofisticados nos últimos anos. Falando novamente sobre o e-mail do vírus, além do endereço falsificado da empresa, existem outros fatores que maqueiam a mensagem para fazê-la se passar por legítima:
- Um domínio foi registrado (virus-control.com) para indicar que a URL mailiciosa pertence à uma empresa real de anti-vírus.
- Um nome de marca para a empresa de anti-vírus, Kaspersky, foi incorporada na URL para transmitir falsa segurança.
- A urgência da mensagem, configurada como de alta importância e contendo a expressão “o quanto antes” (“at the earliest”) ao longo do texto.
Esses detalhes tornam ainda mais difícil a identificação de e-mails phishing e ressaltam a importância de avaliarmos a mensagem antes de clicar em links ou fazer o download de qualquer coisa.
Na dúvida, não clique!
Se você ainda tiver dúvidas quanto à legitimidade do e-mail, muita cautela. Algumas tentativas de phishing podem ser muito sofisticadas, involvendo conhecimento detalhado sobre a vítima e a empresa e, assim, sendo muito difíceis de serem identificadas à primeira vista. Não custa nada, por exemplo, confirmar com o remetente o envio de mensagens com links ou anexos. Seu departamento de TI pode te ajudar a determinar se o e-mail é seguro ou não. Na dúvida, encaminhe qualquer e-mail suspeito ao seu departamento de IT, para que eles possam verificar se a mensagem representa uma tentativa de phishing.