O pessoal da The Hack e da Axur fizeram um infográfico com as 3 principais dicas para identificar um ataque de phishing:
- Buscar por erros de digitação, linguagem ou design na mensagem;
- Passa uma urgência, para fazer o usuário clicar sem pensar duas vezes;
- Identificar um tom ameaçador, outra técnica para pressionar psicologicamente o usuário a clicar no phishing.
Outras dicas muito importantes dizem respeito a verificar atentamente o link que veio na mensagem, passando o mouse por cima dele, sem clicar:
- Verifique se o endereço de e-mail do remetente da mensagem. é do mesmo nome e domínio da empresa que diz ser (nunca aceite mensagens de e-mails públicos, como gmail.com, hotmail.com. uol.com.br, etc);
- Veja se o endereço do site (URL) é exatamente igual ao site que diz ser;
- Verifique se o site tem o cadeado de segurança, que aparece quando o site usa SSL/TLS e o endereço começa com "https". O cadeado não garante que o site é verdadeiro nem seguro, mas a ausência do cadeado é um indicador de que o site é suspeito!
Por isso, tome muito cuidado com os "especialistas" que insistem em dizer que um phishing é facilmente identificável pela presença de erros na mensagem e pela falta do cadeado de segurança do https. Muitos sites falsos são bem feitos e usam certificados digitais gratuitos para estabelecer a conexão SSL/TLS e enganar o usuário final.
Se, apesar de todas as dicas acima você estiver a fim de clicar no link daquela super promoção, pelo menos não clique no link que vem na mensagem! Use o seu browser para ir no site que você deseja (em vez de clicar no link da mensagem) e procure lá pela promoção. Da mesma forma, não ligue para o telefone que vem na mensagem, pois pode ser um número falso. Acesse o site da empresa e procure pelos contatos da central de atendimento.
Como prevenir? Educação de usuários e monitoramento, para identificar e derrubar sites de phishing (páginas falsas, domínios similares, perfis fakes em redes sociais e e-mails maliciosos em nome da empresa). Como a Axur vende serviços de monitoramento de marca, é natural que eles citaram isso no final do infográfico ;)
PS: Fiquei sabendo desse infográfico pela newsletter do The Hack. Se você não assina, faça, vale a pena! E, mais legal ainda: recentemente eles transformaram o site deles em um portal de notícias!
Para saber mais:
- Catálogo de Fraudes da RNP
- Anti-Phishing Working Group (APWG)
- Outro artigo no blog da Axur: Spear phishing: uma ameaça que se esconde no e-mail da sua empresa
Nenhum comentário:
Postar um comentário