Como evitar ataques de phishing por correio eletrónico - um guia rápido.
O phishing de correio eletrónico é uma das ameaças cibernéticas mais graves no nosso mundo digital. Eis como manter as suas contas online a salvo dos hackers.
Os ataques de phishing por correio eletrónico existem há quase 30 anos. A primeira utilização do termo foi em 1995 e, nessa altura, as tentativas de phishing eram muito fáceis de detetar. Mas à medida que estes ataques se tornam cada vez mais sofisticados, as pessoas caem cada vez mais em ataques de phishing e precisam de se manter informadas sobre as tendências e tácticas actuais dos atacantes para se protegerem a si próprias e às suas contas online. Um risco bastante novo são os e-mails de phishing direccionados, que são dirigidos a vítimas de alto perfil e criados especialmente para elas. Esta técnica torna ainda mais difícil reconhecer estes e-mails de phishing direccionados como sendo uma fraude. Ataques proeminentes, como o ataque de ransomware WannaCry, começaram com um ataque de phishing direcionado, antes de os hackers maliciosos tomarem outras medidas.
Mas o utilizador médio da Internet não precisa (ainda) de se preocupar com ataques direccionados, embora a inteligência artificial possa trazer esta ameaça para todos num futuro próximo. Atualmente, na maioria dos casos, os criminosos utilizam e-mails de phishing bastante comuns para obter acesso às suas contas online, o que lhes permite roubar a sua palavra-passe, o seu dinheiro ou instalar malware nos seus dispositivos.
O que é o phishing por correio eletrónico?
O phishing é uma das burlas em linha mais comuns: Agentes maliciosos fazem-se passar por empresas como a Amazon, o Facebook ou o Tuta Mail, enviando e-mails que fingem vir destas organizações para roubar palavras-passe ou outras informações sensíveis.
Por outras palavras: O phishing de e-mail é uma forma de engenharia social utilizada por criminosos que tentam obter acesso a contas ou sistemas aos quais não têm permissão para aceder. Uma mensagem de correio eletrónico de phishing é disfarçada para parecer uma mensagem de correio eletrónico legítima de um serviço ou plataforma que quase sempre inclui uma hiperligação na qual é pedido ao utilizador que inicie sessão na sua conta para realizar algum tipo de ação.
Estas mensagens de correio eletrónico vêm muitas vezes com um limite de tempo que induz o stress, como “Confirme a sua palavra-passe agora ou a sua conta será bloqueada dentro de 24 horas e todos os dados serão perdidos”. Este sentido de urgência explora uma fraqueza da nossa psicologia e o destinatário da mensagem de phishing tem mais probabilidades de clicar rapidamente na ligação para evitar qualquer problema, caindo assim na armadilha. Por vezes, em vez de uma ligação, a mensagem de correio eletrónico inclui um anexo que contém código malicioso que será executado se a vítima o descarregar e abrir.
Como o envio de e-mails é gratuito, o phishing é uma das tácticas de cibercrime mais utilizadas em todo o mundo. Enquanto o número de e-mails de phishing aumenta, o mesmo acontece com os métodos de proteção e prevenção. No entanto, algumas mensagens electrónicas de phishing conseguem sempre escapar e chegar à sua caixa de entrada, e você é a última linha de defesa. Continue a ler para saber porque é que a sua caixa de correio eletrónico é alvo de phishing e como evitar que os ataques de phishing sejam bem sucedidos!
Porque é que as contas de e-mail são alvo de e-mails de phishing?
A sua conta de correio eletrónico contém muita informação sensível e funciona como o centro da sua vida digital. Para se registar na maioria dos sítios como a Amazon, PayPal, eBay, etc., tem de fornecer um endereço de correio eletrónico, e instituições importantes como os bancos enviam-lhe informações por correio eletrónico. Isto faz da sua conta de correio eletrónico o alvo número um por duas razões.
- Muitas pessoas recebem e-mails de phishing que são falsificados de tal forma que parecem vir do Facebook, Google ou do seu banco, etc., pedindo-lhes que introduzam as suas informações de início de sessão depois de clicarem numa ligação fornecida.
- Os ataques de phishing também visam diretamente a sua caixa de correio, tentando obter acesso ao login da sua caixa de correio. Isto é ainda mais perigoso porque, quando os atacantes têm acesso à sua caixa de correio, podem utilizar uma simples redefinição de palavra-passe para todas as contas online ligadas ao seu endereço de correio eletrónico e, dessa forma, obter acesso às suas contas para abusar delas.
Como posso saber se uma mensagem de correio eletrónico é de phishing?
As mensagens de correio eletrónico de phishing tentam normalmente fazer-se passar por grandes organizações, algumas das quais podem ser suas. Isto torna as coisas complicadas porque, à primeira vista, pode pensar que este e-mail se refere à sua conta real na plataforma que o esquema está a fingir ser. Com apenas algumas dicas, pode certificar-se de que os e-mails de phishing não o podem enganar, levando-o a fornecer a sua palavra-passe ou a descarregar anexos maliciosos.
- Verifique sempre em pormenor o endereço de correio eletrónico do remetente. Muitas vezes, o remetente é diferente do remetente técnico, o que é um truque comum utilizado pelos burlões de correio eletrónico.
- Se lhe for pedido que introduza as credenciais de início de sessão através de uma hiperligação fornecida, deve começar a soar o alarme. Se acredita que uma mensagem de correio eletrónico pode ser legítima, utilize o seu motor de busca preferido - que, esperemos, não seja o Google - para localizar o sítio Web através de uma ligação oficial antes de iniciar sessão. Não utilize a ligação fornecida na mensagem de correio eletrónico! Atualmente, muitos serviços mantêm um registo das mensagens de segurança enviadas para a sua conta, pelo que pode verificar o estado de mensagens de correio eletrónico com um aspeto duvidoso.
- Verifique cuidadosamente a hiperligação: Se os atacantes tentarem roubar o seu login no Tuta, por exemplo, a hiperligação fornecida será semelhante, mas não corresponderá na perfeição. Em vez de Tuta.com, os atacantes podem usar 7uta.com.
Além disso, verifique os seguintes detalhes para decidir se um e-mail é ou não phishing. Os sinais típicos de phishing são
- Exigir ação imediata
- Erros ortográficos e gramática incorrecta
- Ofertas que parecem demasiado boas
- Afirmações de que ganhou dinheiro
- Dirigir-se à pessoa errada
- Vindo de um domínio de envio estranho ou de um endereço do Gmail
- Anexos suspeitos
- Exigir que clique numa ligação e altere a sua palavra-passe
Detetar um e-mail de phishing pode não ser fácil em todos os casos, mas a lista acima de exemplos utilizados em e-mails de phishing típicos ajudá-lo-á. Em caso de dúvida: é melhor ignorar o e-mail do que realizar qualquer ação que possa colocar a sua conta real em apuros.
Como paramos os e-mails maliciosos no Tuta
Nos últimos anos, temos assistido a um aumento do número de e-mails de phishing que tentam fazer-se passar por funcionários oficiais do Tuta para roubar credenciais de início de sessão. É por isso que melhorámos o Tuta para tornar ainda mais difícil para os atacantes maliciosos induzirem os nossos utilizadores a entregarem palavras-passe ou dados de início de sessão valiosos.
Introduzimos uma funcionalidade para ajudar os utilizadores que possam estar a pensar como denunciar e-mails de phishing e como evitar ataques de phishing. Sempre que e-mails de phishing forem relatados no Tuta Mail, todos os outros usuários que receberem e-mails semelhantes verão um banner de aviso exibido acima do e-mail suspeito de phishing. Isso ajudará todos a identificar e-mails de phishing e a não cair em ataques de phishing. Além disso, os e-mails de phishing serão analisados pela nossa equipa de segurança e os remetentes serão bloqueados manualmente para que não cheguem aos nossos servidores e, consequentemente, à sua caixa de correio.
Pode encontrar mais informações sobre a proteção reforçada contra phishing incorporada no Tuta aqui.
Recursos anti-abuso no Tuta Mail
- Nós sinalizamos e-mails se o endereço de e-mail do remetente estiver errado. Quando você está conectado no navegador, o cabeçalho da sua caixa de correio Tuta mostra o nome do remetente e o endereço de e-mail do remetente, para que você possa identificar facilmente quando um e-mail vem de um remetente errado. Na aplicação, o endereço de e-mail do remetente não é mostrado automaticamente, mas pode verificá-lo facilmente tocando no nome do remetente.
- O Tuta é um dos poucos serviços de webmail que avisa o utilizador se o “remetente técnico” for diferente do “remetente de”, para que possa detetar mensagens falsas.
- Os atacantes fingem frequentemente que existe uma urgência de tempo e pedem para introduzir as credenciais de início de sessão seguindo uma ligação fornecida. Nunca se deixe enganar por este tipo de e-mails, pois trata-se de uma estratégia típica de e-mails de phishing.
A nossa dica mais importante para evitar ataques de phishing é muito fácil:
Nunca altere a sua palavra-passe quando lhe é pedida do nada por correio eletrónico.
Como ver se alguém se faz passar pelo Tuta
Agora, gostaríamos de explicar como nos certificamos de que ninguém pode roubar o seu endereço de e-mail e a sua senha do Tuta fazendo-se passar por nós. Em primeiro lugar - e mais importante - quando recebe um e-mail da Equipa Tuta, nunca lhe pedimos para clicar num link para confirmar ou atualizar a sua palavra-passe ou outras credenciais de início de sessão.
Nunca pedimos a sua palavra-passe.
No Tuta, tornámos muito fácil detetar um e-mail que tenta fazer-se passar pela equipa Tuta: Como mostra o exemplo de e-mail de phishing abaixo, esses e-mails NÃO contêm uma linha de tag vermelha (verde menta ao usar o tema escuro). O exemplo abaixo mostra a diferença. O primeiro e-mail foi enviado por um utilizador aleatório do Tuta a tentar fazer-se passar por um dos membros da nossa equipa, enquanto o segundo vem efetivamente de um dos membros da nossa equipa - neste caso, de Brandon. Como os e-mails do Tuta só podem ser verificados nos clientes de e-mail do Tuta no Android, iPhones e PCs, é muito fácil para nós distinguir visualmente todos os e-mails oficiais vindos de nós - como pode ver pela cor “Equipa Tuta”.
Um e-mail da equipa oficial do Tuta apresentará sempre uma linha de etiqueta vermelha (linha de etiqueta verde quando se utiliza o tema escuro) com “Equipa Tuta”.
Se o nosso e-mail for um anúncio - como na captura de ecrã abaixo - não existe nenhum nome ou endereço de e-mail junto à linha de etiqueta. Se este e-mail for enviado pela nossa equipa de apoio ou por um dos membros da nossa equipa, o endereço de e-mail é escrito junto à linha de etiqueta vermelha (ou verde menta) da Equipa Tuta.
Esta linha de etiqueta não pode ser adicionada por alguém que se faça passar por nós e que esteja a tentar roubar a sua palavra-passe Tuta. Esta linha de etiqueta está incorporada no código dos nossos clientes de e-mail para Android, iOS, Windows, Linux e macOS e só é exibida para e-mails oficiais da Equipa Tuta.
Domínio de e-mail oficial da Equipa Tuta: @tutao.de
Quando começámos a construir o Tuta, sabíamos que, para um serviço de e-mail, é de importância crucial que ninguém se possa fazer passar por nós ou por membros da nossa equipa. No entanto, qualquer pessoa pode registar-se em qualquer endereço de e-mail de Tuta ou Tutanota.
Para resolver este dilema, usámos o domínio da nossa empresa em vez dos domínios Tuta / Tutanota como endereços de e-mail oficiais desde o início. A nossa empresa, que está por detrás de Tuta, chama-se Tutao GmbH. Se receber um e-mail da equipa Tuta, o endereço de e-mail terminará sempre em @tutao.de.
Não podemos redefinir a sua palavra-passe para proteger a sua conta Tuta.
Os criminosos adoram abusar da função de redefinição de palavra-passe por e-mail para obter acesso a contas online com e-mails de phishing. Assim, para proteger ao máximo a sua caixa de correio encriptada, não existe a opção de solicitar a reposição da sua palavra-passe do Tuta por correio eletrónico. Em vez disso, geramos um código de recuperação único durante o processo de criação da conta que pode utilizar para redefinir a sua palavra-passe em qualquer altura.
Se não puder pedir uma redefinição de palavra-passe, nenhum criminoso que se faça passar por si o poderá fazer. Lembre-se de guardar a sua palavra-passe e o seu código de recuperação num local seguro. Só o próprio utilizador pode redefinir a sua palavra-passe com a ajuda do seu código de recuperação.
Reconhecer mensagens electrónicas suspeitas
Como identificar e-mails de phishing de outros serviços também é fácil quando se usa o Tuta. Quando receber um e-mail suspeito, pode clicar no ícone ”…” no canto superior direito da sua caixa de correio e escolher “Mostrar cabeçalhos de e-mail”. Isto abrirá uma pequena janela que mostra as informações técnicas do remetente do correio eletrónico em questão. Aqui pode verificar o estado das verificações DKIM, DMARC e SPF para confirmar se este e-mail está a falsificar o remetente ou não.
Além disso, a maioria dos e-mails falsificados já estará marcada com o aviso de phishing, como mostra a captura de ecrã acima com o título: “Banner de aviso que é adicionado a um potencial e-mail de phishing no Tuta Mail”. Isto pode ser apresentado graças a todos os utilizadores do Tuta que denunciam e-mails de phishing, ajudando assim outros utilizadores a manterem-se seguros!
Se parece errado, provavelmente é errado
Sempre que receber um e-mail que pareça suspeito, é muito provável que se trate de um e-mail de phishing. Em caso de dúvida, basta perguntar. Pode encontrar-nos facilmente no Twitter, Mastodon, Facebook ou Instagram e, claro, por correio eletrónico.
Se receber um potencial e-mail de phishing de um domínio Tuta, reencaminhe-o para abuse@tutao.de.
Obrigado e mantenha-se seguro!
Recomendado para leitura adicional: Guia de segurança de e-mail: 3 passos fáceis para manter os seus e-mails a salvo dos hackers, bem como o Guia de segurança da palavra-passe: Como escolher uma palavra-passe segura.