Phishing é uma maneira que ladrões de identidade, golpistas e fraudadores roubam informações. Eles fazem isso através do uso de engenharia social ou engano. O objetivo é enganá-lo a divulgar informações confidenciais ou pessoais que podem ser usadas para fins fraudulentos, como roubo de identidade.

Eles precisam obter informações suficientes para se passar ou até mesmo substituí-lo, no mundo virtual da internet ou em um banco moderno. Essas informações podem ser tão básicas quanto seu nome legal completo, número de segurança social e endereço residencial. Ele também pode obter tão aprofundado quanto números de contas bancárias, credenciais de login bancário on-line, o nome de solteira de sua mãe e pode até incluir as perguntas e respostas secretas para o seu banco on-line ou contas de PayPal.

Conteúdo

  • Os diferentes tipos de Phishing
  • Quais são as táticas mais comuns para ataques de phishing?
  • Como evitar ficar viciado
  • Onde denunciar e-mails de phishing
  • Reparando o dano depois de ser fisgado
  • Estatística
  • Resumo

Os diferentes tipos de Phishing

Existem vários tipos diferentes de phishing que são destinados a diferentes grupos. O tipo mais comum de phishing é um simples e-mail que afirma ser de alguém que plausivelmente precisa de informações de você para realizar algo que é benéfico para você. Há reivindicações de fundos que precisam ser transferidos para sua conta bancária, multas que precisam ser pagas para mantê-lo fora da cadeia, pedidos de documentos fiscais e financeiros ou qualquer outra coisa que resultaria em você enviar o atacante o que eles estão pedindo. Além dos ataques gerais, aqui estão algumas variantes mais direcionadas de ataques de phishing.

Spear Phishing

Spear Phishing é uma forma direcionada de phishing. Em um ataque de phishing de lança, o atacante tem algumas informações sobre você antes de enviar qualquer coisa. Eles monitoram sua presença nas redes sociais para ver se você posta algo sobre compras recentes. Eles ficam de olho em qualquer menção de varejistas online que você comprou, produtos comprados online ou até mesmo sites de namoro.

Se você tweetar que acabou de comprar o mais novo iWatch da Best Buy, eles têm isca para sua armadilha. Porque eles já estão assistindo a sua presença nas redes sociais, eles sabem um pouco sobre você, como seu nome e provavelmente a cidade em que você vive para começar.

Eles podem então usar seu conhecimento de você para criar um e-mail afirmando ser da Best Buy. Este e-mail pode alegar que houve um problema com seu cartão de crédito para sua compra recente e que você precisa preencher seu formulário online para verificar as informações do seu cartão. Ou, eles podem alegar ser um amigo seu querendo saber se você instalou este aplicativo muito legal para o seu novo iWatch. Caso não, eles têm um formulário de inscrição simples pronto para você preencher para obter o aplicativo. Eles podem até fingir ser alguém do site de namoro alegando que seu perfil precisa ser concluído antes que você possa obter mais visualizações.

As possibilidades são praticamente infinitas aqui e podem, como relatamos no início deste ano, incluir chantagem.

Baleeiro, ou CEO Phishing

Como o objetivo do phishing é obter acesso não autorizado às informações, por que não phish aqueles que possuem as chaves para a maioria das informações. Atacantes que visam executivos de alto nível em corporações fazem isso para obter acesso à conta de e-mail de alguém com autoridade. Com acesso total a essa conta, eles podem ter acesso às informações de qualquer funcionário, iniciar transferências bancárias fraudulentas ou causar estragos em quase qualquer departamento da empresa.

Poucas pessoas vão verificar duas vezes para ter certeza de que o VP de vendas realmente precisa de todos os arquivos de RH em toda a equipe de vendas. Realisticamente, quando foi a última vez que respondeu a uma diretiva do seu chefe com “Realmente? Tem certeza de que precisa disso? Isso simplesmente não acontece.

Relacionado: Fraude de CEO e como evitá-la.

W2 Phishing

Uma versão ainda mais direcionada da caça à baleia é quando um invasor usa ou falsifica a conta de e-mail de um executivo apenas para obter os W2s dos funcionários, ou os W9s de empreiteiros. A temporada de impostos é o pior momento para esses tipos de ataques, já que a maioria dos departamentos de folha de pagamento da empresa estão acostumados a receber esse tipo de pedidos.

Esses pedidos nem precisam vir de um executivo da empresa. Eles podem ser falsificados de modo a parecer vir da Receita Federal, fabricante de uma determinada marca de software fiscal popular ou mesmo de um escritório do CPA. Os mais eficazes parecem vir de um executivo de alto nível dentro da empresa, mas parecer vir da Receita Federal pode incutir medo suficiente para evitar o escrutínio.

Phishing para fornecer ransomware

Em 2016, estima-se que noventa por cento dos e-mails de phishing carregavam algum tipo de ransomware. Embora o objetivo do phishing seja obter acesso às informações, os atacantes estão começando a empacotar um pacote de ransomware para aumentar sua renda com esses ataques.

A parte verdadeiramente insidiosa aqui é a crença entre esses atacantes de que qualquer um que seja ingênuo o suficiente para ser vítima de phishing também é provável que pague o resgate quando seus arquivos e fotos foram bloqueados. Infelizmente, as estatísticas no final deste artigo apoiam essa crença.

Vishing

Com o aumento da popularidade das tecnologias De Voz sobre IP (VoIP), alguns phishers passaram a simplesmente ligar para as pessoas para tentar phish para suas informações. Um servidor VoIP pode ser configurado para imitar qualquer entidade que um phisher queira se passar, de um banco a uma agência do governo. O céu é realmente o limite aqui.

A capacidade de alterar as informações de identificação do chamador fornecidas pelo servidor combinada com a capacidade de selecionar qual código de área o servidor está ligando para torná-lo brincadeira de criança para um golpista fingir ser outra pessoa pelo telefone. Fator na quantidade de terceirização nos dias de hoje e eles nem sequer têm que ter o inglês como sua primeira língua para ser marginalmente bem sucedido nisso.

Veja também: O que é vishing e como evitá-lo.

SMiShing

De acordo com um relatório de 2010, 90% das mensagens de texto são lidas dentro de três minutos após o recebimento, e 99% das mensagens de texto são lidas. Não é à toa que as mensagens sms se tornaram mais um vetor para os golpistas atingirem as vítimas.

Assim como qualquer outra campanha de phishing, o golpista envia uma mensagem de texto em massa para centenas ou mesmo milhares de números de telefone com reclamações como “Seu cartão de crédito/débito foi desativado devido a atividades suspeitas. Por favor, ligue para o nosso número gratuito para verificar seus detalhes.” ou “Você foi selecionado para ganhar uma farra de compras de US $ 1.000. Basta ser um dos primeiros 100 visitantes nesta página web a reivindicar o seu prêmio.” Mais uma vez, as táticas visam obter uma resposta rápida e coletar o máximo de informações sobre a vítima possível.

Relacionado: O que é SMiShing e como ele pode ser evitado.

Quais são as táticas mais comuns para ataques de phishing?

As táticas mais comuns empregadas são entregues por e-mail, com os e-mails fingindo ser de PayPal, um dos grandes bancos, ou mesmo do FBI, CIA ou Departamento de Segurança Interna, para citar alguns. Os e-mails conterão todos os logotipos oficiais para a entidade que está sendo personificada, mas conterão dois brindes muito importantes:

  • Haverá um forte senso de urgência exigindo que você tome medidas imediatamente para evitar que algo terrível aconteça com você, como apreensão de bens, bloqueio de contas ou até mesmo prisão
  • Eles terão um arquivo anexado que você precisa preencher ou um link para um site com campos de informações pessoais para você preencher

Tenha em mente que o objetivo de um phisher é coletar informações que você não entregaria a qualquer um. Para fazer isso, eles precisam que você pense que você está lidando com alguém com autoridade e que eles têm uma razão válida para coletar essas informações.

Exemplos:

  1. PayPal lhe enviaram um e-mail dizendo que detectaram atividades suspeitas em sua conta. Como cortesia, eles bloquearam sua conta até que você forneça informações suficientes para provar que você é o legítimo proprietário da conta em questão. A maneira como você faz isso é preenchendo o formulário anexado e clicando no botão “Enviar” ou respondendo ao seu e-mail com respostas para uma lista de perguntas, como “qual é o nome de solteira de sua mãe?” e “qual banco você usa para sua verificação pessoal?” e até mesmo “quais são os números de sua conta bancária para todas as suas contas correntes?”
  2. Wells Fargo notou alguma atividade suspeita com seu cartão de crédito e trancou sua conta. Para desbloquear seus fundos, você precisará preencher o documento anexado e enviar de volta para eles usando o link fornecido no documento
  3. O FBI rastreou atividades ilegais até o endereço IP do seu computador. Se você não preencher o formulário anexado e cumprir a fiança (geralmente um bitcoin) um mandado será emitido à sua agência local de aplicação da lei para prendê-lo e mantê-lo até o seu julgamento.
  4. Você ganhou uma loteria pela qual nunca comprou um bilhete.

Sites de phishing também são uma maneira eficaz de fazer com que usuários desavisados enviem informações que normalmente não dariam. Estas podem ser páginas de login falsas projetadas para se assemelhar exatamente a uma empresa popular ou comum. De acordo com a Symantec, os usuários de um popular serviço de armazenamento de arquivos em nuvem, o Dropbox, foram presenteados com uma página de login falsa que estava sendo hospedada pelo mesmo serviço de armazenamento de arquivos em nuvem.

Uma versão realmente complexa dessa tática é usada para obter as credenciais de login do usuário, que são gravadas pela página de login falsa em texto simples para o invasor usar mais tarde. O navegador do usuário é então redirecionado para a página de login do site real com as credenciais enviadas. O efeito geral é que o usuário está logado sem qualquer sinal de que suas informações acabaram de ser roubadas.

O invasor pode então, em seu lazer, fazer login na conta do usuário e ter seu caminho com ele. Eles também podem testar essas mesmas credenciais contra outros serviços online para ver se o usuário em questão usou o mesmo nome de usuário e combinação de senha em qualquer outro lugar, como Gmail, Yahoo!, eBay ou todos os principais sites bancários on-line.

A internet não é o único meio de phishing. Com o aumento da popularidade dos smartphones, o uso de mensagens SMS e chamadas telefônicas para números de celular com pedidos de informações também aumentou. É possível que um invasor altere o ID do chamador para apresentar informações falsas ou até mesmo usar um número de telefone VoIP com um código de área local para a vítima em potencial.

Eles podem então alegar ser um banco, seu processador de cartão de crédito ou até mesmo a aplicação da lei local. Como eles estão no negócio de enganar as pessoas, nenhuma reivindicação é muito ultrajante, desde que funcione.

Como evitar ficar viciado

Primeiro, não entre em pânico. Não importa o que esse e-mail, telefonema ou site diga, nunca é tão ruim. Se fosse, você não estaria recebendo aviso dele através de mensagem pré-gravada em uma chamada telefônica, e-mail ou de um anúncio pop-up enquanto estiver online.

Quando a Wells Fargo vê atividades suspeitas em sua conta, sua política normal é recusar a transação suspeita e fazer com que sua equipe de prevenção de fraudes lhe dê uma ligação, por telefone, para descobrir se é uma compra legítima.

PayPal ocasionalmente congela contas quando há problemas, mas eles nunca lhe enviarão um anexo para preencher e retornar a elas. Eles também nunca pedirão detalhes como o nome de solteira de sua mãe, exceto talvez como uma pergunta secreta para quando você esquecer sua senha.

O FBI tem a reputação de fechar sites ilegais e substituir sua página inicial por uma página de aviso própria. No entanto, visitar um desses sites não é uma atividade ilegal, então você não pode ser multado por visitar um site.

Se o e-mail contiver um link, ele será para sua página inicial principal ou talvez para uma página de login. Para verificar o link, basta colocar a seta do mouse sobre o link, mas não clique nele. Quando a seta do mouse “paira” sobre um link, um pequeno pop-up aparece na parte inferior da janela mostrando para onde esse link vai.

Só porque você vê PayPal em letras azuis com um sublinhado no corpo do e-mail, isso não significa que o site que abrirá será de PayPal. Pode ser “Bob’s Famous Rip Offs and Scams, Inc.”

image

Em dispositivos móveis, ao ler o e-mail você pode pressionar e manter um link dentro do e-mail para ver onde ele vai. Em seguida, você terá a opção de copiar a URL, abri-la no navegador padrão do seu dispositivo ou cancelar a seleção.

image

Às vezes, a URL será ofuscada usando sites como bit.ly. Sites como este são destinados a encurtar URLs para se encaixar em tweets ou postagens de micro-blog onde você tem uma quantidade limitada de caracteres para o seu post. Não há razão para ocultar a URL de destino para uma correspondência legítima entregue por e-mail.

Para sites fraudulentos, as principais coisas a serem checados são o endereço real do site, a existência de um certificado de segurança e a validade de qualquer certificado.

image

O ícone de cadeado verde no exemplo acima mostra que a URL exibida na barra de endereços corresponde à URL incorporada no certificado de segurança e que o certificado de segurança vem de um emissor de certificado respeitável. Você pode ler mais sobre como reconhecer sites seguros aqui.

No caso de e-mails especificamente, ajuda a aprender como verificar os detalhes do cabeçalho de e-mail, especialmente em qualquer e-mail que pede ação imediata. Até as coisas do seu chefe devem ser checadas duas vezes, só por segurança. Você ficaria surpreso com o quão fácil é para um phisher “falsificar” um endereço de e-mail que pertence a alguém que você conhece e confia. Este é mais um ataque de phishing de lança, mas ainda é bastante fácil de conseguir.

Se o e-mail contiver um link que pareça legítimo, você ainda vai querer evitar clicar nele ou abrir quaisquer anexos. Grandes empresas como PayPal e grandes bancos não enviam e-mails com anexos. Em vez disso, quaisquer documentos importantes são enviados via correio de caracol ou são anexados à sua conta on-line. Seus e-mails simplesmente avisarão que há uma mensagem para você e o encorajarão a entrar em sua conta para descobrir o que essa mensagem contém.

Além disso, tome nota de quem é o e-mail endereçado. Se for legitimamente do seu banco ou de alguém com quem você realmente tenha uma conta, ela será endereçada a você. Não para “Querido Cliente Valorizado” ou “Caro Senhor ou Senhora” ou mesmo “Caro Titular da Conta”.

Embora seja verdade que houve vazamentos maciços de dados de contas, a maioria dos phishers e golpistas não se preocupam em comprar esses bancos de dados. Eles dependem de métodos mais ultrapassados porque, o triste fato da questão é que eles ainda funcionam.

A exceção a isso é no caso de phishing de lança. Esses e-mails serão endereçados a você porque o phisher de lança tem como alvo especificamente. Não fique muito paranoico com isso. Eles provavelmente estão monitorando várias centenas de pessoas apenas esperando por eles para postar algo, em algum lugar que pode ser usado como isca.

Mesmo que eles só obtenham um retorno de 1%, que ainda são centenas de identidades ou mesmo cartões de crédito roubados que agora podem ser vendidos na dark web, usados para abrir linhas de crédito, executar taxas ultrajantes em linhas de crédito existentes ou mesmo apenas alcançá-los para outros golpes como o agora infame nigeriano 419.

Um resumo de Bandeiras Vermelhas/Sinais de Perigo

  • Uma das maiores bandeiras vermelhas que podem indicar um possível ataque de phishing é uma palavra mal escrito ou gramática ruim. Todas as entidades que esses golpistas imitam empregam escritores e editores profissionais para garantir que sua correspondência e presença na web esteja livre de erros de digitação e seja gramaticalmente correta. Se você pode detectar um erro, as chances são muito boas de que o e-mail não veio da empresa de que afirma ser ou que o site realmente não representa a empresa listada. Se você não pode detectar erros de digitação ou gramatical, isso não significa necessariamente que as informações podem ser confiáveis. Qualquer empresa que tenha você em seu banco de dados também abordará quaisquer e-mails diretamente para você e não para um destinatário genérico ou vago. Se você tiver uma conta PayPal, qualquer e-mail que você receber de PayPal começará com uma saudação contendo seu nome. Se ele diz “Caro Senhor ou Senhora”, “Caro PayPal titular da conta” ou mesmo “A quem possa interessar” então você pode ter certeza de que ele não veio de PayPal. Novamente, no caso do phishing de lança, só porque tem seu nome na saudação, não significa que seja legítimo.
  • Se o e-mail tiver um anexo, exclua-o e passe para outras coisas. Bancos, PayPal e o FBI sabem melhor do que incluir um anexo em qualquer correspondência oficial. Não abra, não responda ao e-mail e definitivamente não clique em nenhum link no e-mail. É um golpe e pode ser destruído com segurança. As únicas exceções a esta regra são as assinaturas digitais, que às vezes podem aparecer como anexos. Além disso, os anexos devem ser tratados como os mais desatados.
  • Os cabeçalhos de e-mail são um registro de onde um e-mail veio, para onde foram enviados e para qual endereço usar para respostas. Há muito mais informações armazenadas no cabeçalho, mas essas três são as importantes para identificar um golpe em potencial. Na verdade, é muito fácil fazer um e-mail parecer que veio de PayPal ou do Bank of America, mas é muito mais difícil esconder o endereço de e-mail real de onde veio. No Hotmail, quando um e-mail foi sinalizado pela Microsoft como lixo, o endereço de e-mail completo do remetente é exibido automaticamente na parte superior do e-mail quando aberto. Se o e-mail não tiver sido sinalizado como lixo, então você pode verificar o endereço de e-mail abrindo o e-mail e colocando sua seta do mouse sobre o nome do remetente. caixa de endereço de e-mail completaUma pequena caixa aparecerá contendo o endereço de e-mail completo do remetente. Se for realmente da empresa que afirma ser, você deve ver o nome da empresa após o símbolo ‘@’.
  • O mesmo se aplica a quaisquer links dentro de um e-mail. Se você colocar a seta do mouse sobre o link, mas não clicar nela, você verá uma pequena linha na parte inferior da janela do seu navegador com a URL de destino do link. Se essa URL não contiver o nome da empresa de onde o e-mail afirma ser, não clique nela. Feche esse e-mail, abra seu navegador e digite o endereço web da empresa você mesmo.
  • Qualquer alegação de que você tem dinheiro vindo de qualquer pessoa fora do seu país de origem é quase 100% garantido ser fraudulento. Ninguém é pago para vasculhar arquivos antigos para encontrar destinatários de dinheiro. Nenhum banqueiro ou funcionário do governo tentará tirar dinheiro de seu país entrando em contato com um indivíduo aleatório pela internet e fazendo um acordo. Nenhum banco com o qual você nunca lidou terá uma conta em seu nome apenas esperando você tomar posse.
  • Um site que afirma ter encontrado vírus no seu computador. Não há sites que tenham a capacidade de digitalizar seu computador em busca de vírus. Vírus de computador são pequenas coisas insidiosas que requerem muito mais acesso ao seu computador, então uma mera página da Web pode gerenciar. Um verdadeiro programa antivírus não só olha através dos arquivos em seu disco rígido para sinais de infecção, mas também pesquisa através de programas de execução, serviços ativos, utilitários ocultos e qualquer outra área onde esses bugs são suspeitos de espreitar. Verificar todas essas áreas leva tempo e recursos como poder de processamento. Não é algo que possa ser feito a partir de um site.
  • Um pop-up do FBI está multando você por atividade ilegal on-line. O FBI não usa popups para multar criminosos online. Eles vão fechar sites que traficam mercadorias ilegais ou estão envolvidos em pirataria, mas não podem multar as pessoas por visitarem tais sites. Só um juiz tem autoridade para emitir uma multa contra um criminoso suspeito. O FBI pode reunir provas, construir um caso, pedir um mandado de prisão para um suspeito e conduzir a prisão real quando um mandado for assinado por um juiz. Eles não têm autoridade para aplicar multas contra ninguém.
  • Um site que você visita regularmente aparece e solicita um login, mas não exibe o cadeado verde é altamente suspeito. Um login legítimo da empresa terá um certificado de segurança que corresponda à URL do site que pode ser verificada pelo seu navegador exibindo o ícone de cadeado verde mencionado anteriormente. Sua aposta mais segura para essas páginas é fechar a página, abrir uma nova guia e digitar a URL real você mesmo. Alternativamente, você pode passar pela sua lista de favoritos ou marcadores e clicar no link que você salvou lá.
  • Sub-domínios falsificados. Esta é uma tática inteligente onde o golpista cria um site que se parece exatamente com a página inicial da empresa ou agência que eles desejam se passar. Infelizmente, a URL dessa entidade já está tomada. Por exemplo, eles não podem registrar atualmente o nome de domínio paypal.com porque PayPal já tem esse domínio bloqueado. Mas, vamos supor que o então phisher já tem iamascammer.com registrado como seu próprio domínio pessoal. Ele pode então tentar registrar o sub-domínio de paypal.iamascammer.com. Em seguida, eles criam uma página web para esse sub-domínio que se parece exatamente com PayPal, mas com uma torção adicional. Sempre que um usuário digita em suas informações de login, ele é apresentado com uma página que pede que ele confirme sua identidade. O golpista pode literalmente pedir qualquer informação que quiser e pessoas suficientes cairão no truque para justificar o esforço. Depois de inserirem suas informações, o site falsificado então redireciona para o site real da PayPal fornecendo as informações de login do usuário e eles não são mais sábios, mas provavelmente ficarão um pouco mais pobres assim que o golpista limpar sua conta PayPal.

Onde denunciar e-mails de phishing

A maioria das pessoas que recebem e-mails de phishing simplesmente os excluirão, e tudo bem. Mas se alguém escorregar pelo filtro de spam e parecer particularmente eficaz ou perigoso, ou se você está apenas farto e quer assumir um papel mais proativo na interrupção do phishing, você pode relatar e-mails de phishing às autoridades.

Nos EUA, você tem alguns lugares para denunciar phishing. Encaminhe o e-mail para:

  • a FTC em spam@uce.gov
  • o Grupo de Trabalho Anti-Phishing na reportphishing@antiphishing.org
  • a Equipe de Prontidão de Emergência de Computador dos Estados Unidos (US CERT) em phishing-report@us-cert.gov
  • e a entidade personificada, seja um banco ou alguma outra empresa

A FTC observa que é útil incluir o cabeçalho completo de e-mail, que inclui os nomes de exibição e endereços de e-mail do remetente e destinatário, da data e do assunto. Algumas dessas informações estão ocultas por padrão em alguns clientes de e-mail, então você pode precisar pesquisar como exibir essas informações.

Os residentes do Reino Unido podem denunciar golpes de phishing no site action fraud. Os usuários só precisam responder algumas perguntas sobre a tentativa de phishing e a quem ela se passou para obter o endereço de e-mail apropriado para encaminhá-lo.

Reparando o dano depois de ser fisgado

Se você foi fisgado por algum phishing inteligente, então você precisa fazer algum controle de dano. Comece tratando isso como um caso de roubo de identidade, principalmente porque é isso que pode levar se você não agir.

Desatar seu computador imediatamente apenas no caso de haver um pacote de ransomware incluído no ataque de phishing. Se você acha que uma infecção por ransomware é provável, obtenha alguma ajuda profissional. Se o PC for um computador de trabalho, informe sua equipe de TI imediatamente. Não hesite em um presente. Uma infecção desse tipo pode se espalhar rapidamente para os servidores da empresa e lojas de dados de rede causando estragos reais.

Se for um computador pessoal, ainda vai precisar de ajuda. Pergunte à sua equipe de TI de trabalho se eles podem ajudar. As chances são de que eles podem não, mas pergunte de qualquer maneira. Se eles não podem ajudar, eles podem conhecer alguém na sua área que pode, como um freelancer local ou empreiteiro. O objetivo aqui é obter a ajuda de alguém que pode restaurar seus dados importantes ou proteger o que ainda não foi bloqueado.

Sua segunda ação precisa ser tão imediata quanto. Você precisa ficar online, usando um computador diferente, e começar a mudar suas senhas. Comece com seu banco online e passe por todos os sites que tenham algo a ver com suas finanças. Uma vez que suas finanças estejam seguras, passe para suas contas de e-mail, serviços de armazenamento de arquivos, contas de mídia social e quaisquer outros sites que exijam um login. Se você não se lembra de todos os sites que requerem um login, não ligue seu computador para verificar, não até que ele tenha sido passado por um técnico competente.

Você também vai querer entrar em contato com as principais agências de crédito e colocar um alerta de fraude em sua conta de crédito como uma potencial vítima de roubo de identidade. Isso não impede um ladrão de identidade de fazer uso de sua identidade, mas torna mais fácil limpar o dano ao seu crédito após o fato. Você também vai querer começar a monitorar seu crédito muito de perto ao longo dos próximos anos. Quanto mais rápido você reagir a um caso de roubo de identidade, mais fácil é recuperar o controle de sua identidade quando as coisas dão errado.

Se você deu as informações do seu cartão de débito ou crédito, ligue para o seu banco e informe o cartão como roubado. Você também vai querer monitorar cuidadosamente a conta a que o cartão foi anexado. Se o número da conta em si foi dado ao invasor, então tenha seu banco fechando essa conta e abra uma nova, transferindo seus fundos para a nova conta no processo. Fique de olho nas declarações de sua conta de olho em compras suspeitas ou não autorizadas.

Se o login do seu PayPal ou do eBay estiver em risco, tente fazer login na sua conta. Se você for capaz, mude sua senha e todas as perguntas de segurança. Configurar a autenticação de dois fatores é altamente recomendado para quaisquer contas que o permitam, pois ajuda a reduzir o risco de um invasor ser capaz de sequestrar sua conta, mesmo que tenha as credenciais de login.

Se você não puder mais fazer login na sua conta, então você precisa entrar em contato com a empresa e relatar um sequestro de conta imediatamente. Quanto mais esperar para agir sobre isso, mais danos podem ser causados às suas contas.

Estatística

O problema do phishing e dos golpes online ficou tão ruim que várias empresas estão atualmente empregadas para reunir e relatar os fatos relacionados a esses tipos de ataques. De acordo com um relatório recente, aproximadamente 30% dos e-mails de phishing são abertos. Trata-se de uma estimativa conservadora baseada na amostragem de dados de uma empresa. Há outros que afirmam que esse número pode chegar a 50%, mas não têm números difíceis para apoiar sua reivindicação. Em outro relatório, houve um grande aumento de e-mails de phishing sendo enviados em 2016.

O JPMorgan Chase realizou um teste em 2015 para ver quantos de seus funcionários seriam pegos por um golpe de phishing. 20% abriram o e-mail de phishing. É uma taxa de sucesso impressionante. Mais do que suficiente para justificar a criação de um único e-mail e bombeá-lo através de um programa de e-mail em massa para uma lista de centenas de milhares de endereços de e-mail.

O Grupo de Trabalho Anti Phishing identificou 123.555 sites exclusivos de phishing no início de 2016. No último trimestre de 2016, eles relataram que 95.555 campanhas exclusivas de e-mail de phishing foram recebidas apenas por seus clientes. Esse relatório também constata que as empresas do setor de serviços financeiros foram as metas preferenciais em 19,6% das vezes nessas campanhas.

Não é preciso muita matemática para perceber que uma grande entidade bancária como o JPMorgan pode potencialmente ser vítima de pouco menos de 4.000 dessas campanhas. Isso é potencialmente um pouco menos de 4.000 campanhas de phishing bem sucedidas em apenas um banco.

Resumo

A principal regra relativa aos e-mails é levá-los todos com um grão de sal. Se o seu banco realmente precisa bloquear sua conta, eles vão te ligar pelo telefone. Quando PayPal tem um problema com a atividade da sua conta, eles o notificam, mas não pedem mais informações do que já têm. E eles certamente nunca pedirão para você confirmar os detalhes da sua conta em um anexo que você precisa preencher e enviar de volta para eles.

A maioria das instituições tem políticas rigorosas contra o envio de anexos de e-mail. Além disso, qualquer e-mail proveniente da entidade real será endereçado a você, conterá seu nome de usuário ou nome de usuário da conta e terá um endereço de resposta que faz parte da presença real dessa entidade na Web.

Quando se trata de sites, desconfie de todos os sites que aparecerem em uma nova janela ou guia do navegador. Especialmente se você estiver navegando por sites contendo imagens de coelhos com panquecas na cabeça.

Qualquer um pode configurar um site para se parecer exatamente com outro site. Eles podem até obter um certificado emitido que mostre que a URL é o que afirma ser. Mas se o site é https://www.barikofamerica.com/ então você pode ter certeza de que ele não é realmente afiliado ao Bank of America, mesmo que ele possa se parecer exatamente com sua página inicial.

Por favor, note que no momento desta redação, https://www.barikofamerica.com/ não é um site real. Ele é usado aqui apenas como uma maneira de usar um erro de ortografia para disfarçar um potencial site de phishing.

Enquanto escrevia este artigo, recebi um e-mail do Sr. Robert Pridemore com a Agência de Segurança Nacional de Nova York. O remetente alega que foi enviado para a Nigéria pelo Governo Federal e que foi entregue um arquivo com uma cruz vermelha sobre ele, significando que meu dinheiro não foi transferido.

O endereço de e-mail do remetente aparece como “megasize@mega.bw”, o endereço de e-mail físico fornecido no e-mail acaba sendo para o Chase Bank em Oakland Gardens, NY, e o número de telefone tem um código de área de San Fernando Valley, CA. Finalmente, este representante supostamente oficial da NSA forneceu um endereço de e-mail do Gmail para eu entrar em contato diretamente com ele. Ele ou ela nem sequer tentou disfarçar o endereço de e-mail através de um link falso “mailto:”.

Infelizmente, este é o nível mínimo de sofisticação necessário para uma campanha de phishing funcionar. Embora eu nunca entraria em contato com o Sr. Pridemore, muitas pessoas lá fora fazem e acabam ficando encharcadas por centenas se não milhares de dólares cada um ou ter sua identidade roubada e vendida para personagens muito mais inescrupulosos.

Que tipo de coisas você viu que pareciam boas demais para serem verdade ou eram apenas maneira de suspeitar? Deixe um comentário abaixo e compartilhe seu exemplo de um ataque de phishing.


Autor: DAVE ALBAUGH

Artigo Original