NÃO SEJAS PHISH! Como identificar um email de phishing


Autoria: Samuel Cruz
Departamento de Sistemas de Informação

Phishing é um tipo de fraude digital em que alguém tenta recolher informações pessoais ou credenciais de acesso fazendo passar-se por outra pessoa, ou por outra organização levando as vítimas a seguir um link que o leva a site malicioso. Um exemplo comum disto são os milhares de ataques de phishing do Office 365: Um utilizador recebe um email que parece vir da Microsoft pedindo-lhe para fazer login na sua conta Office 365. Quando o utilizador clica no link do e-mail, é direcionado para uma página de login falsa do Office 365, onde as suas credenciais são recolhidas e armazenadas. Com os logotipos da Microsoft no e-mail e na página de phishing, um utilizador mais distraído não reconhecerá o e-mail como uma tentativa de fraude.

Há não muito tempo atrás, o phishing era direcionado principalmente ao mercado de consumo, e o malware era considerado a maior ameaça para as empresas. Com o evoluir dos sistemas de segurança implementados nas organizações o malware foi-se tornando menos eficaz (ainda é uma ameaça considerável!) e os atacantes direcionaram os seus esforços em sofisticar os ataques de phishing, uma vez que exploram a vulnerabilidade humana e não tanto a tecnologia. Hoje, o phishing é o principal ataque social às empresas, responsável por mais de 90% das violações de segurança. Como nenhuma solução de segurança pode bloquear 100% dos ataques, é fundamental que os funcionários das organizações estejam alerta e consigam saber como se protegerem de ataques de phishing.

Deixo-vos algumas dicas que ajudam a identificar um email de phishing

  1. O REMETENTE

Nunca confiar num e-mail com base apenas naquele que parece ser o remetente. Os responsáveis por estes ataques utilizam vários métodos para ocultar o verdadeiro remetente dos emails. As técnicas mais comuns são spoofing do remetente e a utilização de domínios idênticos ao verdadeiro.

O spoofing do remetente passa por apresentar no email um Display name que parece legitimo quando na verdade o endereço que está por trás não corresponde. Por exemplo, um email proveniente de “Suporte Microsoft Portugal <suporte@microsoft.com>” , mas cujo verdadeiro remetente por trás deste display name é “xtpo.@yahoo.br”

A utilização de domínios idênticos passa por enviar um email de um domínio que é em tudo idêntico ao verdadeiro excepto em um ou dois caracteres. Por exemplo, suporte@microsoft.tk (o verdadeiro é microsoft.com) ou clientes@mileniumbcp.pt (Falta um L e um N, seria millenniumbcp.pt)

A estes ataques estão mais vulneráveis os clientes mobile, uma vez que estas apps por questões de optimização de espaço no ecrã não mostram o endereço de email por detrás do display name sem que o utilizador carregue, tipicamente numa seta que expande o remetente e mostra o endereço de origem.

  1. A URGÊNCIA

A maior parte dos emails de phishing usam palavras ou expressões que transmitem urgência na acção que se pretende que o utilizador tome. As inclusões destas palavras no texto do email procuram que o utilizador clique no link com rapidez descurando os cuidados necessários. Tenham especial cuidado com emails que contenham as palavras: Urgente, Pedido, Importante, Pagamento, Atraso, Expirado, Atenção, Segurança, etc.

  1. O LINK

Os e-mails de phishing incluem um link, que levam, tipicamente, o utilizador a um site falso, em tudo idêntico ao site legitimo pelo qual se faz passar, com um ecrã de login, onde as credências introduzidas são recolhidas e armazenadas para uso malicioso. Embora o texto do link possa dizer “Clique para aceder à sua conta Office 365”, é fundamental analizar qual é o URL por detrás do texto clicável antes de clicar no link. Este link pode vir directamente no corpo do email ou num anexo.

Aqui deixo um exemplo mais visual