Saiba como se proteger de golpes que vêm simulando e-mails oficiais do governo

Prestar atenção a remetentes de e-mail costuma ser uma indicação comum quando o assunto é a prevenção contra ataques de phishing. Mas essa medida pode não ser plenamente eficaz quando os golpes chegam a partir de e-mails que simulam os oficiais ou, pior ainda, partem dos próprios endereços reais. Foi o que aconteceu na última semana com o domínio gov.br, usado pelo governo federal.

• Quais são as principais vítimas de ataques de phishing?
• Como identificar se um site é uma tentativa de phishing?

Em uma campanha de golpes de phishing, criminosos enviaram avisos sobre supostos processos em tramitação no Superior Tribunal de Justiça (STJ), com arquivos para download. Por trás da aparência oficial, com direito até mesmo a miniaturas de amostra do conteúdo, estavam trojans de acesso remoto, que eram instalados nos computadores das vítimas e poderiam levar ao download de mais pragas e ao roubo de dados sigilosos.

Os ataques foram revelados em apuração do site Tecnoblog e contém indícios comuns de se tratarem de um golpe, como erros de ortografia e inconsistências. O sinal de problema, porém, aparece ao final do e-mail fraudulento, tribunalsuperiordejustica@gov.br, com a escrita incorreta do nome do órgão, seguida de um domínio usado pelo governo federal.

“Neste caso específico, os criminosos se aproveitaram de um erro de configuração ou ausência de técnica [de segurança] para disparar um e-mail”, explica Eduardo Pires, diretor de customer success da Incognia, empresa especializada em prevenção de fraudes. A regra a que ele se refere é a Sender Policy Framework (SPF), que serve para evitar que terceiros utilizem um domínio que, neste caso, deveria ser de uso restrito ao governo federal. Listas de IPs também poderiam ser cadastradas para garantir que apenas computadores autorizados conseguissem utilizar o sistema.

O uso de domínios oficiais traz como principal consequência a passagem livre por sistemas antifraude. No caso apresentado pelo Tecnoblog, por exemplo, os sistemas de contas corporativas do Google não foram capazes de detectar que a mensagem era fraudulenta, com o mesmo também valendo para softwares de segurança e antivírus; se trata, também, de um endereço comum e usado em dezenas de milhares de contas oficiais, o que acaba ajudando a ocultar as mensagens de phishing enviadas em massa.

Ajuda, ainda, o fato de os malwares instalados estarem em servidores de hospedagem legítimos, pertencentes à empresa Linode. Em resposta à reportagem do Tecnoblog, a companhia disse que o uso de sua infraestrutura para crimes cibernéticos é investigado e proibido, mas não confirmou se a plataforma usada pelos criminosos para distribuição de pragas foi tirada do ar.

Enquanto isso, de acordo com Pires, o SPF acabou sendo implementado no domínio gov.br após a revelação da brecha, passando a impedir que terceiros enviem mensagens o utilizando. Isso, afirma o especialista, garante que servidores de e-mail rejeitem tentativas de contato a partir de tais origens, impedindo a utilização do sufixo oficial na realização de golpes.

Não clique, não baixe

Mesmo com o uso de um domínio legítimo, um pouco de atenção ao e-mail poderia evitar que as vítimas em potencial efetivamente fossem comprometidas. Além disso, em casos como estes, vale a lógica máxima contra ataques de phishing, que envolve evitar clicar em links recebidos por e-mail ou fazer download de soluções que cheguem por estes meios, seja no computador ou no celular.

“Os criminosos geralmente utilizam mensagens em redes sociais, e-mails e sites combinadas com informações como foto de perfil e logotipos para dar credibilidade à mensagem e convencer o usuário”, explica Pires. Ele aponta para a disseminação em massa de tais golpes como um indício de que há algo de errado, já que, muitas vezes, pessoas que não são clientes de uma determinada instituição podem acabar recebendo; do contrário, o nível de atenção deve ser incrementado.

O ideal, aponta o especialista, é que os usuários procurem meios oficiais de contato com bancos, lojas e empresas, em vez de responderem a contatos que cheguem por e-mail ou aplicativos. No caso da fraude envolvendo o domínio gov.br, por exemplo, um caminho seria a busca pelo suposto processo no site oficial do Superior Tribunal de Justiça, em vez do download do arquivo anexo malicioso. “Outro ponto importante é questionar a ação e se você estava esperando receber aquele conteúdo”, completa Pires.

Os alertas de proteção, inclusive, foram reproduzidos pela própria Serpro, o Serviço Federal de Processamento de Dados do governo federal. De acordo com o órgão, que disse não ser o responsável por todos os domínios estatais, que podem também ser gerenciados por setores do poder público, a cultura de segurança anti-spam é o principal caminho para se prevenir dos ataques.

Caso o usuário seja vítima de uma fraude desse tipo, a primeira atitude é interromper o uso do dispositivo comprometido até ter certeza de que ele foi adequadamente removido, seja por softwares antivírus ou por meio de uma reinicialização completa. Enquanto isso, utilize outro aparelho para trocar senhas de banco, serviços financeiros, redes sociais e outras plataformas que possam ter sido comprometidas pela intrusão, além de realizar contatos com as instituições para informar sobre o golpe e impedir que ações sejam executadas pelos bandidos.

Já para as empresas, Pires recomenda a adoção de melhores práticas de proteção de e-mail, como o uso de sistemas SPF e outros protocolos de segurança. Além disso, sistemas de monitoramento de usuários e verificações de autenticidade ajudam a impedir a ação de criminosos mesmo que eles consigam as credenciais dos clientes. Campanhas de informação e conscientização sobre fraudes, bem como alertas em caso de problemas ou campanhas em andamento, também ajudam na prevenção.

O especialista pede ainda que fintechs, bancos e demais empresas do setor financeiro assumam mais protagonismo no combate às fraudes, sem terceirizar para seus clientes a responsabilidade pela proteção. “Vivemos em um país que está se digitalizando e muitos usuários com pouco conhecimento em tecnologia são suscetíveis a tais golpes”, conclui.