O outono é uma grande época do ano para fugir e passar algum tempo ao ar livre, especialmente com pontes e feriados na Espanha. No entanto, os criminosos, por sua vez, parecem intensificar suas campanhas de phishing, já que a rotina diária de apagar mensagens de E-mail e SMS indesejadas e mal-intencionadas, se prolonga durante as escapadas de outono.
Em outubro passado, realizou-se o mês da conscientização sobre segurança cibernética e a ESET, empresa pioneira em proteção antivírus e especialista em segurança cibernética, dedicou parte da campanha ao tema “Fight The Phish” e coletou as melhores dicas para que não sejamos vítimas de phishing.
As duras verdades
A ESET fez um teste com os usuários que gostariam de verificar seus conhecimentos sobre phishing. Durante o teste, uma porcentagem surpreendente dos participantes falhou na identificação correta de campanhas deste tipo: mais de 60% dos usuários não acertaram esses casos nas quatro imagens de mensagens reais e de phishing incluídas neste teste.
Chamada ESET phishing Derby e organizada pela equipe da ESET nos Estados Unidos, a competição, de participação gratuita, foi projetada para demonstrar como somos competentes na hora de identificar mensagens falsas contra as reais. O sistema de pontuação é baseado na velocidade e na distinção correta das mensagens, e pouco menos de 40% dos participantes identificaram corretamente três das quatro amostras em um tempo muito curto. Então, na verdade, é provável que o número de pessoas que identificam os quatro corretamente seja menor. O questionário não foi projetado para gerar estatísticas, mas para aumentar a conscientização e ajudar a educar os participantes sobre como identificar e-mails falsos.
Curiosamente, os resultados mostram uma diferença acentuada na forma como os participantes mais jovens, entre 18 e 24 anos, identificaram corretamente as amostras: 47%, contra apenas 28% dos maiores de 65 anos. Aqueles com idade entre 25 e 44 anos atingem 45% e aqueles com idade entre 45 e 64 anos 36%. O número de participantes no teste foi de 4.292 pessoas, e os dados coletados são um subproduto e não um estudo acadêmico. Um resultado semelhante foi apresentado quando o mesmo teste foi realizado pela ESET Canadá no final de 2020, com 68% de participantes que não identificaram corretamente as quatro amostras. O teste está disponível neste link.
A este respeito, que medidas devemos tomar a partir dos resultados deste teste?
Os especialistas da ESET recomendam, em primeiro lugar, ser cautelosos com e-mails e mensagens recebidas, bem como adotar outras boas práticas para ter certeza on-line. Além disso, é importante transferir as boas práticas para amigos e familiares, com especial cuidado para os mais velhos, pois os dados mostram que podem precisar de um pouco mais de Ajuda.
Por outro lado, pode-se pensar que, com campanhas contínuas de conscientização de organizações financeiras, empresas de segurança cibernética, governos e outras entidades similares que transmitem mensagens de conscientização sobre segurança cibernética, esse número deve ser muito menor. No entanto, alguns e-mails de phishing que chegam às caixas de entrada são muito bem elaborados e se parecem com e-mails autênticos, por isso é muito mais difícil identificá-los como falsos. Esse desafio se tornará cada vez mais difícil à medida que os cibercriminosos aperfeiçoarem sua técnica.
Além disso, a ESET alerta também para o facto de o aumento dos recursos informáticos à disposição dos cibercriminosos constituir já um desafio importante. Alguns exemplos disso são, o aluguel do poder da computação em nuvem, as enormes quantidades de informações pessoais disponíveis a partir de vazamentos de dados e, até certo ponto, os recentes ataques cibernéticos bem-sucedidos que estão reinvestindo seus benefícios para aumentar o cibercrime.
Outros indicadores que alertam sobre ataques de phishing
Abaixo, a ESET revela mais algumas dicas sobre como identificar um e-mail de phishing:
O e-mail não é direcionado para você pessoalmente: quando o remetente se faz passar por uma empresa que deve saber perfeitamente quem você é e geralmente envia e-mails direcionados pessoalmente e não genericamente.
Erros gramaticais e ortográficos: embora os e-mails de phishing sejam sofisticados a cada dia que passa e você deve ter certeza de lê-los duas vezes, pois os erros podem ser mais difíceis de detectar
Empresas desconhecidas: e-mails enviados por empresas com as quais você não costuma se comunicar ou que são desconhecidas para você.
Um e-mail para executar uma ação com urgência: e-mails que convidam você a clicar em um link e fazer login para revisar transações pendentes ou algo semelhante
O endereço de E-mail: é importante passar o mouse sobre o endereço de E-mail e verificar se o endereço real do remetente e o domínio do qual ele foi enviado correspondem.
E-mails com anexos: por exemplo, que afirmam ser uma fatura ou uma notificação de algum tipo e que muitas vezes contêm malware.
Josep Albors, diretor de pesquisa e conscientização da ESET Espanha, conclui: “minha recomendação nos casos em que você não sabe se um e-mail é real ou falso é visitar o site real do suposto remetente através de um navegador, entrar em sua conta e procurar qualquer mensagem que possa ter sido enviada. Qualquer coisa importante estará na seção de mensagens da sua conta ou na caixa de entrada e, se necessário, recomendo também entrar em contato com a empresa e confirmar a veracidade do email.”.