julho 22, 2019

[Segurança] Identificando mensagens de Phishing

Phishing é uma grande dor de cabeça e todo esforço para proteger quem está dentro da sua empresa é válido. Não é por menos: o phishing é um dos principais responsáveis pela maioria dos incidentes de segurança. Afinal, ele foi feito para atacar o elo mais fraco da cadeia de segurança: o ser humaninho lindo (incluindo clientes e funcionários da empresa).

O pessoal da The Hack e da Axur fizeram um infográfico com as 3 principais dicas para identificar um ataque de phishing:
  • Buscar por erros de digitação, linguagem ou design na mensagem;
  • Passa uma urgência, para fazer o usuário clicar sem pensar duas vezes;
  • Identificar um tom ameaçador, outra técnica para pressionar psicologicamente o usuário a clicar no phishing.


Outras dicas muito importantes dizem respeito a verificar atentamente o link que veio na mensagem, passando o mouse por cima dele, sem clicar:
  • Verifique se o endereço de e-mail do remetente da mensagem. é do mesmo nome e domínio da empresa que diz ser (nunca aceite mensagens de e-mails públicos, como gmail.com, hotmail.com. uol.com.br, etc);
  • Veja se o endereço do site (URL) é exatamente igual ao site que diz ser;
  • Verifique se o site tem o cadeado de segurança, que aparece quando o site usa SSL/TLS e o endereço começa com "https". O cadeado não garante que o site é verdadeiro nem seguro, mas a ausência do cadeado é um indicador de que o site é suspeito!
Lembre-se que muitos ciber criminosos capricham bastante na hora de criar uma mensagem de Phishing e um site falso. Por isso, nem sempre a regra de "procurar erros de escrita" são válidas. Algumas mensagens são bem grotescas, mas outras são tão bem feitas que podem enganar até mesmo um profissional de segurança.

Por isso, tome muito cuidado com os "especialistas" que insistem em dizer que um phishing é facilmente identificável pela presença de erros na mensagem e pela falta do cadeado de segurança do https. Muitos sites falsos são bem feitos e usam certificados digitais gratuitos para estabelecer a conexão SSL/TLS e enganar o usuário final.

Se, apesar de todas as dicas acima você estiver a fim de clicar no link daquela super promoção, pelo menos não clique no link que vem na mensagem! Use o seu browser para ir no site que você deseja (em vez de clicar no link da mensagem) e procure lá pela promoção. Da mesma forma, não ligue para o telefone que vem na mensagem, pois pode ser um número falso. Acesse o site da empresa e procure pelos contatos da central de atendimento.

Como prevenir? Educação de usuários e monitoramento, para identificar e derrubar sites de phishing (páginas falsas, domínios similares, perfis fakes em redes sociais e e-mails maliciosos em nome da empresa). Como a Axur vende serviços de monitoramento de marca, é natural que eles citaram isso no final do infográfico ;)

PS: Fiquei sabendo desse infográfico pela newsletter do The Hack. Se você não assina, faça, vale a pena! E, mais legal ainda: recentemente eles transformaram o site deles em um portal de notícias!


Para saber mais:

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.