Seis dicas para não cair em golpes de phishing

Se antes as tentativas de phishing já eram altamente disseminadas e parte integrante do portefólio de hackers, com a pandemia, tais golpes se intensificaram. Na onda do pânico generalizado em relação ao coronavírus, com eleições a caminho e informações desencontradas, os e-mails fraudulentos se tornaram uma isca fácil e rápida para os criminosos, principalmente contra empresas que tiveram de adotar o home office de forma acelerada e sem as devidas precauções com a segurança neste processo.

• Mais de 47 milhões de tentativas de phishing foram registradas em 2020
• Golpes de phishing fizeram 208 vítimas por minuto no Brasil em junho desse ano
• Levantamento do dfndr lab aponta 3 bilhões de dados expostos em 8 meses

Prova disso aparece, por exemplo, em uma pesquisa da PSafe, que disse ter registrado mais de 47 milhões de golpes de phishing em 2020, com o alvo principal sendo, justamente, os funcionários de empresas em regime remoto. Os usuários comuns, entretanto, estão na mira, com dados dos mesmos especialistas em segurança apontando para mais de 200 vítimas de golpes desse tipo por minuto, apenas no Brasil.

A tendência é que a modalidade de golpe siga adiante mesmo com o final da pandemia, se tornando um vetor a ser considerado para outros tipos de ataques, que envolvem desde o sequestro de dados mediante resgate até o vazamento e divulgação de informações sigilosas ou sensíveis. São situações em que ninguém deseja se ver envolvido e que podem ser evitadas quando se seguem algumas boas práticas de segurança e proteção digital.

Desconfie sempre!

Os especialistas costumam dizer que, acima de qualquer plataforma de segurança ou software de proteção, está o usuário. E é ele, normalmente, quem abre as portas para os hackers que praticam os ataques de phishing, clicando em links recebidos por mensageiros instantâneos ou abrindo anexos de e-mails que dizem ser o que não são.

Essa atenção é a forma mais direta de evitar ser “pescado”, como indicou um guia de boas práticas divulgado pela Daryus Consultoria, especializada em conformidade, gestão de crise e educação sobre segurança digital. Prestar atenção a remetentes e garantir que eles são conhecidos e confiáveis são o primeiro passo para atestar a legitimidade de uma mensagem.

O ideal, apontam os especialistas, é não clicar em links ou abrir anexos que cheguem por e-mail ou sistemas de mensagens sem ter a certeza absoluta de que tudo está correto. Vale a pena usar ferramentas de pesquisa para buscar tentativas comuns de golpe, já que ataques de phishing costumam ser disseminados em massa, e até confirmar com o remetente se ele realmente foi o responsável pelo envio da suposta mensagem.

Em outras indicações, a Daryus Consultoria chama atenção para tratamentos genéricos, com mensagens que comecem com “Sr.”, “Sra.” ou “Prezado”, por exemplo, ou mensagens em nome de uma pessoa ou empresa, mas que cheguem de endereços de e-mail desconhecidos ou que não correspondam a elas. São características comuns de golpes de phishing que, também, ajudam a evitar os ataques.

Evite preencher cadastros ou enviar informações

E-mails de phishing não são apenas vetores de infecções ou invasões de sistemas, mas podem ser usados também para roubar dados pessoais e financeiros das vítimas. Por isso, as mesmas recomendações dadas acima também valem para o preenchimento de cadastros ou solicitações de envio de informações, que somente devem ser realizados quanto se tem a certeza de que o contato é legítimo.

Nomes de empresas e até a aparência de sites e comunicações oficiais são usadas com frequência para dar aparência de legitimidade a ações dessa categoria. Novamente, valem as dicas de prestar atenção a remetentes de e-mails e desconfiar de pedidos desse tipo enviados por mensageiros instantâneos, já que muitas companhias simplesmente não atuam dessa forma, nunca solicitando dados sensíveis por e-mail, WhatsApp e outros sistemas assim.

Na dúvida, procure meios oficiais de suporte, como o site oficial ou telefones de atendimento, para validar a solicitação. Somente forneça os dados após ter essa certeza, principalmente, quanto ao meio usado para entrega, que sempre deve ser seguro e protegido. Caso contrário, ignore as solicitações e, novamente, evite clicar em links ou baixar aplicativos ou anexos destes meios.

Cuidado com textos sensacionalistas e ofertas incríveis demais

Temas como as vacinas para o coronavírus, informações alarmistas sobre o processo eleitoral ou revelações bombásticas sobre celebridades e políticos costumam ser armas comuns dos hackers em tentativas de phishing. O ideal, em vez de clicar em links de supostas notícias ou até mesmo repassar informações desse tipo adiante é checar se o que foi reportado está correto por meio de sites renomados ou perfis oficiais.

Ofertas mirabolantes, entrega de itens de graça e até preços muito abaixo do normal também costumam ser armadilhas para roubo de dados pessoais ou informações bancárias. Desconfie se receber propostas de venda de produtos do momento, como um iPhone 12 ou o PlayStation 5, a valores muito menores que os praticados oficialmente nos grandes varejistas. São grandes as chances de que você perca o dinheiro e também exponha seus dados pessoais e bancários a criminosos, mas jamais receba o item.

Use autenticação em duas etapas e não repita senhas

Aqui, estamos falando de uma etapa posterior à própria utilização dos serviços, que podem receber uma camada extra de segurança que dificulta uma intrusão caso os dados sejam, efetivamente, obtidos por terceiros. A autenticação em duas etapas adiciona uma senha a mais, além da original, que deve ser conhecida apenas pelo usuário e impede que terceiros acessem a partir das credenciais originais.

A maioria dos serviços online conta com recursos de proteção desse tipo, desde redes sociais como o Facebook ou Twitter até mensageiros como o WhatsApp e o Telegram, além de sites, e-commerces, bancos e demais plataformas. Basta visitar as configurações de cada um deles para ativar a senha adicional, que não deve ser passada a ninguém, mesmo pessoas de confiança, já que representa a última barreira contra intrusões não-autorizadas.

Além disso, boas práticas de utilização de senhas envolve o uso de sequências aleatórias e criadas de forma randômica, sem que envolvam termos facilmente identificáveis como datas de nascimento, ídolos ou nomes de pets, cônjuges ou familiares. Muitas vezes, o vazamento ou obtenção de credenciais de um serviço, por terceiros, pode significar a invasão de vários outros devido à repetição das informações, por isso, o ideal é usar códigos diferentes para cada plataforma, adotando soluções como gerenciadores em navegadores ou aplicativos para manter tudo sob controle.

Use softwares de segurança e antivírus

A última ponta de segurança é sempre o usuário, mas isso não significa que softwares não ajudem nessa empreitada. Na visão da Daryus Consultoria, antivírus e firewalls são essenciais, pois adicionam um nível básico de proteção, sendo capazes de identificar as tentativas de phishing mais comuns. Tais aplicações devem ser mantidas sempre ativas e atualizadas, assim como o sistema operacional e demais softwares utilizados no dia a dia.

Soluções gratuitas desse tipo já ajudam, enquanto extensões para navegadores também podem auxiliar na filtragem de anúncios maliciosos ou downloads automatizados de malwares. Tais soluções também podem dar alertas ao usuário no acesso a páginas fraudulentas e auxiliar no gerenciamento de senhas, conforme citado na dica anterior.

Invista em segurança e educação

• Especialista sugere educação sobre cibersegurança desde o ensino médio no Brasil
• Executiva da Microsoft aponta os próximos rumos da segurança digital

Para as empresas, investimentos em soluções de segurança para proteger servidores e redes, principalmente durante o trabalho remoto, também são etapas essenciais, mas não as únicas. Iniciativas de educação e orientação dos funcionários para que não caiam em golpes, bem como sistemas de inteligência de ameaças que alertem sobre as tentativas mais comuns e, também, aquelas direcionadas à corporação, também ajudam a manter os ambientes seguros.

“As dicas dificultam ou anulam ações maliciosas, mas vulnerabilidades sempre irão existir. A chave para essa defesa é o fornecimento de uma arquitetura de segurança de ponta a ponta, [assim como] gestão de risco”, aponta Claudio Dodt, evangelista de proteção de dados na Daryus Consultoria. Orientar colaboradores sobre os perigos e manter sistemas robustos de proteção são o caminho ideal para evitar problemas e garantir a integridade de sistemas e dados de funcionários e clientes.