Guias

Como evitar ataques de phishing por correio eletrónico - um guia rápido.

Os esquemas de phishing de correio eletrónico são uma das ameaças cibernéticas mais graves no nosso mundo digital. Eis como manter as suas contas online a salvo dos hackers.

Recognizing a phishing email is not always easy, but this guide will help.

Os e-mails de phishing são um dos vectores de ataque mais comuns na Internet e representam uma ameaça subestimada à sua segurança online. Ao fazer-se passar por grandes organizações com e-mails e páginas de destino falsos, os burlões tentam obter as suas informações sensíveis, por exemplo, as suas credenciais de início de sessão e palavras-passe. Mas com algumas dicas em mente, pode facilmente proteger-se de ataques de phishing.

Os ataques de phishing por correio eletrónico existem há quase 30 anos. A primeira utilização do termo foi em 1995 e, nessa altura, as tentativas de phishing eram muito fáceis de detetar. Mas à medida que estes ataques se tornam cada vez mais sofisticados, as pessoas caem cada vez mais em ataques de phishing e precisam de se manter informadas sobre as tendências e tácticas actuais dos atacantes para se protegerem a si próprias e às suas contas online. Estas incluem: Falsificação de e-mail, domínios semelhantes (typosquatting), spear phishing, smishing, vishing, anexos maliciosos, páginas de recolha de credenciais e muitos mais. Um risco bastante novo são os e-mails de phishing direcionados, que são dirigidos a vítimas de alto perfil e criados especialmente para elas. Esta técnica faz com que seja ainda mais difícil reconhecer esses e-mails de phishing direcionados como fraude. Vários ataques importantes, como o ataque do ransomware WannaCry, começaram com um e-mail de phishing direcionado que permitiu aos atacantes infiltrarem-se noutros sistemas.

Mas o utilizador médio da Internet não precisa (ainda) de se preocupar com ataques direcionados, embora a inteligência artificial possa trazer esta ameaça para todos num futuro próximo. Por enquanto, a tática de phishing mais comum consiste em enviar um e-mail de phishing que parece vir de outra pessoa, por exemplo, de uma empresa respeitável com a qual tenha uma conta. Os criminosos utilizam e-mails de phishing bastante comuns para obter acesso às suas contas online, o que lhes permite roubar a sua palavra-passe, o seu dinheiro ou instalar malware nos seus dispositivos. Uma vez que o correio eletrónico é - e continuará a ser - uma das principais ferramentas de comunicação, é importante que todos conheçam os meandros dos ataques de phishing.

Turn ON Privacy in one click.

Explicação dos esquemas de phishing de correio eletrónico

O phishing de e-mail é uma das fraudes online mais comuns: Agentes maliciosos fazem-se passar por empresas como a Amazon, Facebook ou Tuta Mail, enviando e-mails que fingem vir destas organizações para roubar palavras-passe ou outras informações sensíveis.

Por outras palavras: O phishing de e-mail é uma forma de engenharia social utilizada por criminosos que tentam obter acesso a contas ou sistemas aos quais não têm permissão para aceder. Uma mensagem de correio eletrónico de phishing é disfarçada para parecer uma mensagem de correio eletrónico legítima de um serviço ou plataforma que quase sempre inclui uma hiperligação na qual é pedido ao utilizador que inicie sessão na sua conta para realizar algum tipo de ação.

Estas mensagens de correio eletrónico vêm muitas vezes com um limite de tempo que induz o stress, como “Confirme a sua palavra-passe agora ou a sua conta será bloqueada dentro de 24 horas e todos os dados serão perdidos”. Este sentido de urgência explora uma fraqueza da nossa psicologia e o destinatário da mensagem de phishing tem mais probabilidades de clicar rapidamente na ligação para evitar qualquer problema, caindo assim na armadilha. Por vezes, em vez de uma ligação, a mensagem de correio eletrónico inclui um anexo que contém código malicioso que será executado se a vítima o descarregar e abrir.

So könnte eine betrügerische Website aussehen: Das a im zweiten Link wurde durch das kyrillische ɑ ersetzt. So könnte eine betrügerische Website aussehen: Das a im zweiten Link wurde durch das kyrillische ɑ ersetzt. Este é o aspeto de um sítio Web fraudulento: O a na segunda hiperligação foi substituído pelo cirílico ɑ.

Como o envio de e-mails é gratuito, o phishing é uma das tácticas de cibercrime mais utilizadas em todo o mundo. Enquanto o número de mensagens de correio eletrónico de phishing aumenta, o mesmo acontece com os métodos de proteção e prevenção. No entanto, alguns e-mails de phishing vão sempre passar despercebidos e chegar à sua caixa de entrada, e você é a última linha de defesa. Continue a ler para saber porque é que a sua caixa de correio eletrónico é alvo de phishing e como evitar que os ataques de phishing sejam bem sucedidos!

Porque é que as contas de e-mail são alvo de e-mails de phishing?

A sua conta de correio eletrónico contém muita informação sensível e funciona como o centro da sua vida digital. Para se registar na maioria dos sítios como a Amazon, PayPal, eBay, etc., tem de fornecer um endereço de correio eletrónico e instituições importantes como os bancos enviam-lhe informações por correio eletrónico. Isto faz com que a sua conta de correio eletrónico seja o alvo número um por duas razões.

  1. Muitas pessoas recebem e-mails de phishing que são falsificados de tal forma que parecem vir do Facebook, Google ou do seu banco, etc., pedindo-lhes que introduzam as suas informações de início de sessão depois de clicarem numa ligação fornecida.

  2. Os ataques de phishing também visam diretamente a sua caixa de correio, tentando obter acesso ao login da sua caixa de correio. Isto é ainda mais perigoso porque, quando os atacantes têm acesso à sua caixa de correio, podem utilizar uma simples redefinição de palavra-passe para todas as contas online associadas ao seu endereço de e-mail e, dessa forma, obter acesso a várias das suas contas online para abusar delas. É por isso que nós na Tuta recomendamos que proteja a sua caixa de correio com autenticação de dois factores, melhor com U2F.

Turn ON Privacy in one click.

Como posso saber se um e-mail é de phishing?

Os e-mails de phishing normalmente tentam fazer-se passar por grandes organizações, algumas das quais podem ser as suas contas. Isto torna as coisas complicadas porque, à primeira vista, pode pensar que este e-mail se refere à sua conta real na plataforma que o esquema está a fingir ser. Com apenas algumas dicas, pode certificar-se de que os e-mails de phishing não o podem enganar, levando-o a fornecer a sua palavra-passe ou a descarregar anexos maliciosos.

  1. Verifique sempre em pormenor o endereço de correio eletrónico do remetente. Muitas vezes, o remetente é diferente do remetente técnico, o que é um truque comum utilizado pelos burlões de correio eletrónico.

  2. Se lhe for pedido que introduza as credenciais de início de sessão através de uma hiperligação fornecida, deve começar a soar o alarme. Se acredita que uma mensagem de correio eletrónico pode ser legítima, utilize o seu motor de busca preferido - que, esperamos, seja uma alternativa ao Google - para localizar o sítio Web através de uma ligação oficial antes de iniciar sessão. Não utilize a ligação fornecida na mensagem de correio eletrónico! Atualmente, muitos serviços mantêm um registo das mensagens de segurança enviadas para a sua conta, pelo que pode verificar o estado de mensagens de correio eletrónico com um aspeto duvidoso.

  3. Verifique cuidadosamente a hiperligação: Se os atacantes tentarem roubar o seu início de sessão no Tuta, por exemplo, a hiperligação fornecida será semelhante, mas não corresponderá na perfeição. Em vez de Tuta.com, os atacantes podem usar 7uta.com.

Além disso, verifique os seguintes detalhes para decidir se um e-mail é ou não phishing. Os sinais típicos de phishing são

  • Exigência de ação imediata
  • Erros ortográficos e gramática incorrecta
  • Ofertas que parecem demasiado boas
  • Afirmações de que ganhou dinheiro
  • Dirigir-se à pessoa errada
  • Vindo de um domínio de envio estranho ou de um endereço do Gmail
  • Anexos suspeitos
  • Exigir que clique numa ligação e altere a sua palavra-passe

Detetar um e-mail de phishing pode não ser fácil em todos os casos, mas a lista acima de exemplos utilizados em e-mails de phishing típicos ajudá-lo-á. Em caso de dúvida: é melhor ignorar o e-mail do que realizar qualquer ação que possa colocar a sua conta real em apuros.

Turn ON Privacy in one click.

Como paramos os e-mails maliciosos no Tuta

Nos últimos anos, temos assistido a um aumento do número de e-mails de phishing que tentam fazer-se passar por funcionários oficiais do Tuta para roubar credenciais de início de sessão. É por isso que melhorámos o Tuta para tornar ainda mais difícil para os atacantes maliciosos induzirem os nossos utilizadores a entregarem palavras-passe ou dados de início de sessão valiosos.

Introduzimos uma funcionalidade para ajudar os utilizadores que possam estar a pensar como denunciar e-mails de phishing e como evitar ataques de phishing. Sempre que e-mails de phishing forem relatados no Tuta Mail, todos os outros usuários que receberem e-mails semelhantes verão um banner de aviso exibido acima do e-mail suspeito de phishing. Isso ajudará todos a identificar e-mails de phishing e a não cair em ataques de phishing. Além disso, os e-mails de phishing serão analisados pela nossa equipa de segurança e os remetentes serão bloqueados manualmente para que não cheguem aos nossos servidores e, consequentemente, à sua caixa de correio.

Warnbanner, das einer potenziellen Phishing-E-Mail in Tuta Mail hinzugefügt wird. Warnbanner, das einer potenziellen Phishing-E-Mail in Tuta Mail hinzugefügt wird. Banner de aviso que é adicionado a um potencial e-mail de phishing no Tuta Mail.

Pode encontrar mais informações sobre a proteção reforçada contra phishing incorporada no Tuta nas notas de lançamento aqui.

Recursos anti-abuso no Tuta Mail

  1. Sinalizamos e-mails se o endereço de e-mail do remetente estiver errado. Quando você está conectado com o navegador, o cabeçalho da sua caixa de correio Tuta mostra o nome do remetente e o endereço de e-mail do remetente, para que você possa identificar facilmente quando um e-mail vem de um remetente errado. Na aplicação, o endereço de e-mail do remetente não é mostrado automaticamente, mas pode verificá-lo facilmente tocando no nome do remetente.

  2. O Tuta é um dos poucos serviços de webmail que avisa o utilizador se o “remetente técnico” for diferente do “remetente de”, para que possa detetar mensagens falsas.

  3. Os atacantes fingem frequentemente que existe uma urgência de tempo e pedem para introduzir as credenciais de início de sessão seguindo uma ligação fornecida. Nunca se deixe enganar por este tipo de e-mails, pois trata-se de uma estratégia típica de e-mails de phishing.

A nossa dica mais importante para evitar ataques de phishing é muito fácil:

Nunca altere a sua palavra-passe quando lhe é pedida do nada por correio eletrónico.

Como ver se alguém se faz passar pelo Tuta

Agora, gostaríamos de explicar como nos certificamos de que ninguém pode roubar o seu endereço de e-mail e a sua palavra-passe do Tuta fazendo-se passar por nós. Em primeiro lugar - e mais importante - quando recebe um e-mail da Equipa Tuta, nunca lhe pedimos para clicar num link para confirmar ou atualizar a sua palavra-passe ou outras credenciais de início de sessão.

Nunca pedimos a sua palavra-passe.

No Tuta, tornámos muito fácil detetar um e-mail que tenta fazer-se passar pela equipa Tuta: Como mostra o exemplo de e-mail de phishing abaixo, esses e-mails NÃO contêm uma linha de tag vermelha (azul ao usar o tema azul). O exemplo abaixo mostra a diferença. A mensagem de correio eletrónico em baixo foi enviada por um utilizador aleatório do Tuta a tentar fazer-se passar por um dos membros da nossa equipa, enquanto a mensagem de correio eletrónico em cima vem efetivamente de um dos membros da nossa equipa - neste caso, da Hanna. Como os e-mails do Tuta só podem ser verificados nos clientes de e-mail do Tuta no Android, iPhones e PCs, é muito fácil para nós distinguir visualmente todos os e-mails oficiais vindos de nós - como pode ver pelo “Tuta Team” colorido.

Beispiel einer Phishing-E-Mail und Tuta-E-Mail im Vergleich. Beispiel einer Phishing-E-Mail und Tuta-E-Mail im Vergleich. Exemplo de e-mail de phishing e e-mail da Tuta em comparação.

Um e-mail da equipa oficial do Tuta apresenta sempre uma linha de etiqueta vermelha (linha de etiqueta azul quando se utiliza o tema azul) com “Equipa Tuta”.

Se o nosso e-mail for um anúncio - como na captura de ecrã abaixo - não há nome ou endereço de e-mail junto à linha de etiqueta. Se o e-mail for enviado pela nossa equipa de apoio ou por um dos membros da nossa equipa, o endereço de e-mail é escrito junto à linha de etiqueta vermelha (ou azul) da Equipa Tuta.

Esta linha de etiqueta não pode ser adicionada por alguém que se faça passar por nós e que esteja a tentar roubar a sua palavra-passe Tuta. Esta linha de etiqueta está incorporada no código dos nossos clientes de e-mail para Android, iOS, Windows, Linux e macOS e só é exibida para e-mails oficiais da Equipa Tuta.

Eine verschlüsselte Tuta-E-Mail-Ankündigung Eine verschlüsselte Tuta-E-Mail-Ankündigung Um anúncio de e-mail Tuta criptografado

Domínio de e-mail oficial da Equipa Tuta: @tutao.de

Quando começámos a construir o Tuta, sabíamos que, para um serviço de e-mail, é de importância crucial que ninguém se possa fazer passar por nós ou por membros da nossa equipa. No entanto, qualquer pessoa pode registar-se em qualquer endereço de e-mail de Tuta ou Tutanota.

Para resolver este dilema, usámos o domínio da nossa empresa em vez dos domínios Tuta / Tutanota como endereços de e-mail oficiais desde o início. A nossa empresa, que está por detrás de Tuta, chama-se Tutao GmbH. Se receber um e-mail da equipa Tuta, o endereço de e-mail terminará sempre em @tutao.de.

Turn ON Privacy in one click.

Não podemos redefinir a sua palavra-passe para proteger a sua conta Tuta.

Os criminosos adoram abusar da função de redefinição de palavra-passe por e-mail para obter acesso a contas online através de e-mails de phishing. Assim, para proteger ao máximo a sua caixa de correio encriptada, não existe a opção de solicitar a reposição da sua palavra-passe do Tuta por correio eletrónico. Em vez disso, geramos um código de recuperação único durante o processo de criação da conta, que pode utilizar para redefinir a sua palavra-passe em qualquer altura.

Se não puder pedir uma redefinição de palavra-passe, nenhum criminoso que se faça passar por si o poderá fazer. Lembre-se de guardar a sua palavra-passe e o seu código de recuperação num local seguro. Só o próprio utilizador pode redefinir a sua palavra-passe com a ajuda do seu código de recuperação.

Reconhecer mensagens electrónicas suspeitas

Como identificar e-mails de phishing de outros serviços também é fácil quando se usa o Tuta. Quando receber um e-mail suspeito, pode clicar no ícone ”…” no canto superior direito da sua caixa de correio e escolher “Mostrar cabeçalhos de e-mail”. Isto abrirá uma pequena janela que mostra as informações técnicas do remetente do correio eletrónico em questão. Aqui pode verificar o estado das verificações DKIM, DMARC e SPF para confirmar se este e-mail está a falsificar o remetente ou não.

Além disso, a maioria dos e-mails falsificados já estará marcada com o aviso de phishing, como mostra a captura de ecrã acima com o título: “Banner de aviso que é adicionado a um potencial e-mail de phishing no Tuta Mail”. Isto pode ser apresentado graças a todos os utilizadores do Tuta que denunciam e-mails de phishing, ajudando assim outros utilizadores a manterem-se seguros!

Se parece errado, provavelmente é errado

Sempre que receber um e-mail que pareça suspeito, é muito provável que se trate de um e-mail de phishing. Em caso de dúvida, basta perguntar. Pode encontrar-nos facilmente no Mastodon, BlueSky, Twitter, LinkedIn, Facebook ou Instagram e, claro, através de correio eletrónico.

Se receber um potencial e-mail de phishing de um domínio Tuta, reencaminhe-o para abuse@tutao.de.

Obrigado e mantenha-se seguro!

Illustration of a phone with Tuta logo on its screen, next to the phone is an enlarged shield with a check mark in it symbolizing the high level of security due to Tuta's encryption.

Recomendado para leitura adicional: Guia de segurança de e-mail: 3 passos fáceis para manter os seus e-mails a salvo dos hackers, bem como o Guia de segurança da palavra-passe: Como escolher uma palavra-passe segura.