Anatomia do phishing: Como identificar um e-mail falso

A arte de enganar usuários para coletar dados sensíveis, como senhas e informações bancárias, tem um nome para chamar de seu: phishing.

• O que é phishing e como se proteger?
• Smishing e Vishing: o phishing que chega por SMS e ligação de voz

Identificado originalmente na época da internet discada, lá nos anos 1990, esse tipo de ataque digital se fortaleceu ao longo das últimas décadas graças aos avanços tecnológicos, como a popularidade de ferramentas de inteligência artificial (IA), por exemplo, mas sua essência sempre permaneceu a mesma.

Em termos gerais, um phishing funciona como uma espécie de pescaria virtual em que o cibercriminoso joga uma “isca” para o usuário, torcendo para que ele seja fisgado. Caso isso ocorra, o hacker consegue roubar informações confidenciais da vítima para cometer uma fraude usando e-mails e mensagens falsas. Tudo que você precisa é abrir a porta, permitindo que ele entre.

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

“Mas por que alguém faria isso?”, você deve estar se perguntando. A resposta é simples: os hackers são verdadeiros mestres na arte da engenharia social, além de também receberem um apoio especializado de ferramentas tecnológicas que tornam as operações mais personalizadas, automatizadas e difíceis de serem detectadas.

Parece um cenário apocalíptico, mas é perfeitamente possível se proteger de ataques de phishing no universo online. Saber como identificar um e-mail falso, por exemplo, é uma boa maneira de começar a se prevenir.

A psicologia do golpe

Embora possa parecer um golpe manjado diante de tantas inovações que aparecem diariamente no meio digital, um ataque de phishing funciona justamente pela simplicidade de seu modus operandi, que começa na mente da vítima.

Isso porque, ao usar engenharia social, os hackers conseguem manipular o usuário a partir de gatilhos mentais que despertam reações impulsivas e amedrontadoras, como a sensação de urgência e medo.

É difícil encontrar alguém que nunca tenha recebido pelo menos uma vez na vida um e-mail dizendo “sua conta será bloqueada em 24 horas”, ou “sua fatura está atrasada”. São duas táticas muito usadas pelos cibercriminosos pela maneira como implementam o pânico no usuário, que, com medo de que algo ruim aconteça, decide clicar no link suspeito para verificar a conta ou pagar um boleto falso.

A segunda tática mais comum encontrada em ataques de phishing são mensagens que despertam a curiosidade do usuário ou que ofereçam algum tipo de oportunidade imperdível, como cupons de desconto, recebimento de prêmios ou até mesmo o rastreamento de uma encomenda.

Por fim, também é possível encontrar mensagens fraudulentas que se passam por autoridades legais, como órgãos do governo ou bancos. Aqui, é frequente encontrar casos de golpistas que usam logotipos ou sites dessas instituições para impor respeito usando a reputação e legitimidade das empresas.

Sinais básicos de que é um e-mail falso

Ataques de phishing sofisticados e difíceis de serem identificados são comuns, mas nem tudo está perdido no universo digital. Mesmo que os hackers tentem manipular a vítima para conseguir pescá-las, é possível ficar atento aos sinais básicos que o que você está vendo na tela do seu dispositivo é um e-mail falso.

Vamos, então, conhecer três táticas que podem ser usadas na hora de inspecionar um documento suspeito que chega à sua caixa de entrada:

1. Verifique o remetente. Pode parecer uma dica básica, mas diferenciar o endereço real do nome de exibição no e-mail faz toda a diferença. Isso porque, enquanto o nome pode aparecer como “Suporte Netflix”, o e-mail real é, na verdade, “contato@loja-de-pesca.com”. Golpe na certa.
2. Faça o teste do mouseover. Passar o mouse em cima do botão ou do link sem clicar é uma maneira de verificar qual é a URL verdadeira daquilo que você recebeu.
3. Repare em termos genéricos. Caso você veja um “prezado cliente” no começo do e-mail, suspeite na hora, porque saudações genéricas são comumente usadas em phishings, embora ataques mais sofisticados usem o nome real vazado da vítima.

Detalhes avançados para identificar um e-mail falso

Indo além do básico, vale também prestar atenção em alguns sinais mais avançados para identificar um e-mail falso. Considerando que os golpes continuam evoluindo, é fundamental ter em mente as principais táticas usadas pelos cibercriminosos no momento de emplacar o ataque de phishing.

Confira a seguir 4 detalhes para ligar o sinal vermelho na hora da inspeção:

1. Spoofing de domínio: também conhecido como typosquatting, o spoofing de domínio funciona como uma máscara. O hacker registra um domínio visualmente parecido com o real, trocando letras por números, por exemplo, para enganar a vítima. Um exemplo é receber um e-mail do “suporte@app1e.com”, onde o número 1 substitui o “L”.
2. Ataques Homográficos (IDN): quando hackers exploram a semelhança visual de caracteres para enganar os usuários. Nesse caso, é possível encontrar caracteres de outros alfabetos que são iguais aos latinos, por exemplo, mas o computador os identifica como diferentes.
3. Subdomínios enganosos: essa técnica consiste no uso da marca real como subdomínio de um site falso. Assim, se ver um e-mail “netflix.promocao-hoje.com”, você será redirecionado para o site “promocao-hoje” e não para a Netflix. É fundamental analisar tudo que vem antes do “.com” ou “.br”.
4. Campo “responder para”: antes de sair clicando em qualquer coisa, verifique o campo do e-mail que corresponde às respostas. Se a mensagem parece vir de “chefe@empresa.com”, mas quando você clica para responder aparece um “hacker@gmail.com”, é um golpe na certa.

Como não ser enganado?

Para além de saber como identificar um e-mail falso, também é importante saber o que fazer para não ser enganado pelos golpistas. Assim, é possível ter uma experiência mais positiva e segura na web, mantendo a integridade das suas informações.

Não interaja

A primeira coisa que você deve fazer quando detectar um e-mail falso é não interagir. Jamais responda às mensagens ou faça ações que possam informar os criminosos que você é um usuário ativo.

Isso porque até mesmo a simples ação de clicar para se “descadastrar” de um e-mail que vem de phishing pode ser perigoso, já que isso confirma que você, pelo menos, leu aquelas mensagens.

Nunca clique em links que parecem suspeitos

Se você recebeu um e-mail que parece ser phishing, nunca clique no link no corpo da mensagem. Mesmo que venha de um banco ou de uma instituição governamental, isso pode ser usado por golpistas para espalhar malware e outros softwares maliciosos.

Logo, sempre acesse o canal oficial de empresas ao invés de usar o link do e-mail. Opte por digitar o site no navegador ou abrir o aplicativo diretamente.

Use ferramentas de análise

A tecnologia pode ser usada para o mal, mas também oferece diversas possibilidades benéficas e seguras para os usuários, como ferramentas de análise para se proteger de ataques de phishing.

Aqui, vale apostar em sites como o VirusTotal, uma ferramenta que analisa se o link suspeito realmente contém um malware, ou o Header Analyzers, recurso que verifica cabeçalhos de e-mails.

Vale ressaltar ainda que a desconfiança é o melhor antídoto para se livrar de ataques de phishing antes que eles se concretizem. Sua melhor munição contra essas investidas é saber como identificá-las à primeira vista, usando táticas de proteção para se manter seguro no ambiente digital.

Leia também:

• Phishing com IA: como se proteger dos golpes digitais mais sofisticados
• O que é Engenharia Social? Aprenda a identificar e se proteger de golpes
• Como identificar se um site é uma tentativa de phishing?