Você está aqui: Página Inicial Documentos Mensagens Fraudulentas - phishing

Mensagens Fraudulentas - phishing

Desconfiando de uma mensagem recebida em sua conta @ufrgs? Encaminhe essa mensagem para o endereço fraudes@ufrgs.br com o conteúdo do cabeçalho completo.

 

É a versão eletrônica do "conto do vigário". É um tipo de ataque que busca "pescar" usuários, induzindo o mesmo, de várias formas, a efetuar alguma ação, fornecer seus dados pessoais, diretamente ou através de página web em um site malicioso, para roubar seus dados ou mesmo a sua conta bancária.
Informação e bom senso são as únicas formas de evitar esse tipo de golpe.

Elementos típicos encontrados nessas mensagens

Essas mensagens falsas podem ter uma ou mais das características abaixo:
  • São mensagens geralmente chamativas, apresentando-se como tendo sido enviada por instituições conhecidas tais como bancos, Serasa, Receita Federal, Universidades, etc.
  • Tentam persuadir o usuário de que é necessário recadastrar a senha para que a sua conta não seja encerrada, instalar atualizações de software ou ainda que recebeu (ou poderá receber) algum prêmio ou vantagem financeira, etc.
  • Solicita dados pessoais e/ou confidenciais, tais como username e senha, número da conta do banco, cpf, telefone e endereço, etc. Normalmente instituições não pedem dados desse tipo via email.
  • O texto dá um certo tom de urgência, possivelmente junto com ameaças de bloqueio, suspensão de serviços, etc.
  • Existência de links no email (coisa que sempre deve levantar suspeitas), que pode redirecionar o usuário para um site falso, com páginas muito parecidas com as de instituição à qual o remetente alega pertencer. É comum também encontrar texto dizendo ao usuário para clicar num determinado link, se não quiser receber mais emails, etc.
  • Existência de erros ortográficos no texto, muitas vezes grosseiros, indicando que o texto original foi possivelmente escrito em outra língua e traduzido para o português com alguma ferramenta.
  • Para dar maior veracidade à mensagem, o texto pode abordar assuntos relacionados a eventos atuais ou épocas específicas. Por exemplo, um email aparentemente tendo sido enviado pela Receita Federal, na época da entrega do imposto de renda.
  • Anatomia de uma mensagem falsa: Conheça uma típica mensagem de phishing e seus elementos.

Cuidados a serem tomados para se proteger

  • Nunca confie completamente no nome e endereço do remetente que aparece na mensagem de email. Essa informação pode ser facilmente modificada para mostrar um endereço falso.
  • Sempre verifique o endereço para onde a resposta está sendo enviada, ao responder um email,. Em mensagens falsas, é comum o remetente e o endereço de resposta serem diferentes. Exemplo:
From: Administrador do Webmail <webmail@ufrgs.br>  (esse endereço pode ser falso)
Reply-to: webmail_ufrgs@badguys.com  (endereço real para onde irão os dados)
  • Muito cuidado com os links nas mensagens. Os fraudadores utilizam técnicas para disfarçar o link verdadeiro para o arquivo ou site malicioso, e nem sempre é facil detectar isso. Muitas vezes ao passar o cursor do mouse sobre o link, será possível ver o endereço verdadeiro na barra de status do programa cliente de emails ou do navegador. É possível que este link seja diferente do apresentado na mensagem. Não clique diretamente no link. É preferível digitar à mão o endereço no navegador.
  • Fique atento às mensagens que solicitam a instalação ou execução de qualquer tipo de arquivo ou programa.
  • Lembre que sites de comércio eletrônico ou Internet Banking confiáveis sempre utilizam conexões seguras quando dados pessoais e financeiros de usuários são solicitados. Procure sempre o ícone com o cadeado fechado na barra de status do navegador, geralmente na parte inferior.
  • Na dúvida, entre em contato com a pessoa ou organização que supostamente enviou a mensagem e confirme o seu envio e as informações que ela contem.
  • Existem outras formas de phishing. Técnicas semelhantes às usadas pelo phishing em mensagens de  e-mail podem ser utilizadas também, por exemplo,  por telefone, salas de bate papo (chat), mensagens por celular, etc. Por exemplo,  um funcionário pode receber uma ligação, solicitando informações pessoais ou do seu departamento, usando nomes legítimos de um fornecedor, cliente ou colaborador, mencionando informações facilmente obtidas na internet para dar maior credibilidade.

Desafio - Você cairia nessa ?

Você consegue diferenciar entre uma página web maliciosa de uma genuína ?  Ou você é mais um dos que podem ser "fisgados"  ?   A  empresa VeriSign, uma das grandes empresas que emitem certificados digitais, disponibilizou no site abaixo um conjunto de testes que, além de testar os seus conhecimentos, ensina como reconhecer uma página maliciosa.