Digital Fraud, Information Leakage

Phishing: como identificar essa fraude e evitar ataques

Por André Luiz R. Silva em
COMPARTILHAR

Se você veio parar aqui, provavelmente não deve ter interesse em cair em fraudes ou ser roubado (assim como 99,9% das pessoas, talvez?). O problema é que as porcentagens de medo não são as mesmas de conhecimento. Por isso, compartilhamos agora algumas dicas essenciais para evitar cair em phishings e não ter seus dados pessoais roubados por cibercriminosos. Vamos lá!

 

Antes de clicar em qualquer coisa:


  • Quando receber um contato, abra o olho: um SMS do seu banco pedindo para atualizar dados, por exemplo, merece um pé atrás e uma ligação para os canais oficiais. O mesmo vale para os e-mails: sempre confira o remetente e veja se a fonte é confiável!

  • Tenha cuidado com URLs encurtadas: bit.ly e goo.gl podem ser muito úteis, mas também podem esconder monstros se você não prestar atenção no link final. Por isso, nossa principal orientação é:

 

OLHE BEM ESSA URL!


Por favor! Essa é a dica chave para evitar cair nos golpes. Muitas vezes, é óbvio que não se deve colocar os dados em um site como “promocaodaaxurespecialparavoce.com”. Mas existem mais artimanhas para enganar: os domínios de phishings usam bastante o typosquatting, uma forma de cybersquatting, que é quando algum caractere é mudado sorrateiramente para confundir quanto ao nome marca.

 

suamarc4.com.br

Um caso de typosquatting com sua marca. Eu não ia não, hein.


Na hora de analisar a URL, também não se deixe enganar pelo HTTPS (que nada mais é do que aquele “cadeadinho verde”): ele significa que a conexão e a troca de dados entre você e o site estão seguras e sob privacidade – não que o site em si é seguro ou confiável. Traduzindo para termos mais concretos: um crime cercado por muros ou paredes ainda é um crime.

 

Cuidado com subdomínios!


Alguns domínios gratuitos sequer possuem políticas de privacidade e segurança bem delineadas, o que faz com que qualquer coisa possa ser publicada. É por isso que se deve prestar muita atenção em toda a URL, para evitar casos como esse:

 

www.suamarca.com.br.dominiogratuito.com.br

Veja bem: o domínio de verdade aqui é “dominiogratuito.com.br”, ok?


É importante lembrar disso na hora de desviar dos smishings (que são os phishings mobile). Em telas menores, alguns navegadores como o Safari só deixam visível o início da URL – e você poderia muito bem achar que está no site oficial caso caísse em um site como o do exemplo acima. Já outros navegadores mobile como o Google Chrome têm mostrado o domínio na parte visível do campo da URL, qualquer que seja o subdomínio ou o restante do caminho da página à direita.

 

Quando estiver em um e-commerce, você deve…


  • Desconfiar do valor do produto e/ou das condições de pagamento. Os phishings querem “pescar” justamente quem está afim daquele precinho camarada (que, na realidade, pode ser só um sonho mesmo).

  • Pesquisar outro produto. Em geral, os fraudadores não vão ter muita paciência para fazer o site mais elaborado possível – dá para dizer que 8 produtos possíveis de serem comprados em todo o site são uma quantidade grande nesse tipo de fraude. Já o restante dos links na página provavelmente vão estar fora do ar ou redirecionam para a página oficial.

 

Mas e aquela tela vermelha do Google?


Desconfie – muito, bastante, em quantidade – quando a tela vermelha aparecer. Você pode até ser corajoso e clicar em “continuar mesmo assim”, mas saiba que esse aviso existe pois alguém denunciou a página pelo Safebrowsing da Google (e  você  deveria fazer  o mesmo,  quando necessário).

É possível, inclusive, pesquisar quais as páginas que estão sob o  olhar  atento  da  Google. Mas esses phishings no vermelho são apenas uma parcela, é claro: os golpes fresquinhos e não vistos pela empresa norte-americana também podem chegar até você. É por isso que, repetimos, sempre siga todas as dicas acima!


Mas, se você tem interesse em um planejamento e proteção diferenciadas, preste muita atenção: a Axur trabalha com a ajuda de robôs para escanear a internet e remover quaisquer tipos de phishings que podem denegrir a sua marca (e prejudicar seus clientes). Dê uma olhada na solução Digital Fraud Discovery e veja como podemos eliminar muita coisa ruim da internet.

event-image

ESPECIALISTA CONVIDADO

Eduardo Schultze, Coordenador do CSIRT da Axur, formado em Segurança da Informação pela UNISINOS – Universidade do Vale do Rio dos Sinos. Trabalha desde 2010 com fraudes envolvendo o mercado brasileiro, principalmente Phishing e Malware

AUTOR

André Luiz R. Silva

Estudante de Jornalismo na UFRGS e Content Creator da Axur, responsável pelo Deep Space e atividades de imprensa. Por aqui, também já analisei muitos dados e fraudes como membro da equipe de Brand Protection. Em resumo: trabalhar com tecnologia, informação e conhecimento em conjunto é um dos meus maiores amores!