Todas as pessoas com correio electrónico receberam, pelo menos uma vez, correio electrónico suspeito, com ligações pouco claras, pedidos de informação e anexos estranhos. Muitas vezes estas cartas provêm supostamente de agências governamentais, parceiros, grandes lojas online e redes sociais. Ao criar cartas tão semelhantes aos apelos originais quanto possível, os golpistas podem tentar roubar os seus dados pessoais, infectar o seu dispositivo com um vírus, ou roubar os seus dados bancários.
Os peritos do Centro de Especialização Digital Roskatchestvo explicam como reconhecer tal e-mail e reagem adequadamente, a fim de evitar perder dinheiro e informação confidencial.
“Os cibercriminosos utilizam técnicas de engenharia social para conseguir que o destinatário abra o e-mail ou desempacote o arquivo. Usam normalmente palavras de âncora, à vista das quais executamos automaticamente a acção “aberta. Estas são as palavras “documentos”, “ordem”, “mandato” ou “senha”; também manipulam o tempo: urgente, faltam 2 horas, etc. É por isso que os representantes de todas as profissões que lidam com dinheiro e documentos estão em risco”, disse Ilya Loevsky, chefe adjunto de Roskatchestvo.
Neste contexto, gostaríamos de lhe lembrar que deve ter muito cuidado com o seu e-mail de trabalho. Para comunicações de baixo valor, receba um e-mail de spam que não tenha medo de fornecer a retalhistas, marcas e sites diversos em linha.
Vale a pena notar que mais de metade de todos os mailings de malware na primeira metade de 2023 eram vírus de encriptação, com o encriptador Troldesh a provar ser a ferramenta mais popular para os cibercriminosos. Isto é relatado1 pelo CERT Group-IB Cyber Security Incident Response Centre. Para escapar aos sistemas antivírus, os hackers enviam ligações maliciosas após horas com activação atrasada, mais de 80% de todos os ficheiros maliciosos foram entregues em arquivos zip e raros para disfarçar. Segundo os peritos, o correio electrónico continua a ser o principal método de entrega de malware – ransomware de encriptação, trojans bancários, e backdoors.
“A tendência tem sido de disfarçar o malware no e-mail. A fim de contornar as medidas de segurança das empresas, os cibercriminosos estão cada vez mais a recorrer ao arquivamento de ligações maliciosas. Durante os primeiros 6 meses de 2023, mais de 80% de todos os objectos maliciosos foram entregues em arquivos, utilizando principalmente formatos zip 32% e raros 25% . Os atacantes incluíram a senha para decifrar o conteúdo num e-mail com um anexo malicioso, na linha de assunto ou no nome do arquivo, ou em correspondência subsequente com a vítima”, disse Alexander Kalinin, chefe do centro de resposta a incidentes CERT-GIB.
Os peritos do Centro de Especialização Digital Roskatchestvo, em conjunto com peritos em cibersegurança do Group-IB, prepararam um algoritmo de 10 passos destinado a detectar e-mails fraudulentos.
1. Verificar endereço do remetente
Os autores de fraudes tornam frequentemente o endereço tão semelhante quanto possível à empresa ou organização que fingem ser. Compare este endereço com outras cartas do remetente original – se for uma loja online,
o seu endereço deve estar no website ou deve ter e-mails dele. Basta passar o cursor sobre o nome do remetente para ver o endereço.
2. Preste atenção à mensagem de boas-vindas
Um “olá” ou “olá” impessoal é mais uma indicação de que este e-mail lhe foi enviado por burlões. É claro que muitos atingiram agora o nível de profissionalismo onde a carta parece oficial e inclui o seu nome, mas o princípio ainda funciona em alguns casos.
3. Verificar detalhes de contacto e reconciliar datas
Na parte inferior da carta deve haver informações sobre como contactar o destinatário. E-mail, endereço, número de telefone, meios de comunicação social – todos devem estar na carta do remetente original. Não clique nos links de imediato – passe por cima deles e verifique o endereço web no canto inferior esquerdo do seu navegador onde o link leva. É possível que clicando num botão descarregue um vírus para o seu dispositivo, ou o leve a um site fraudulento.
Muitas vezes os infractores esquecem-se de verificar as datas. Faça-o por eles! Se, por exemplo, o concurso em questão terminar em 2023, quando for 2023, terá provavelmente sido apanhado por um burlão desatento que inseriu um modelo desactualizado no corpo do e-mail.
4. Verificar a marca
Os golpistas enganam-no frequentemente com e-mails que fingem ser de uma grande marca, empresa, agência ou retalhista. Para evitar cair na mesma armadilha, deve verificar a qualidade e originalidade do logótipo. Se o logótipo é o mesmo que o do website da empresa, loja online ou website governamental? Se corresponde ao último e-mail autêntico que recebeu deles? Se a resposta for não, ser suspeito!
5. Verifique a autenticidade do seu website
Se já navegou para o website a que o e-mail conduz, verifique a sua autenticidade. Se é uma grande marca ou empresa, basta abrir um novo separador e fazer uma pesquisa rápida no seu navegador. Clique no seu website e depois compare as URLs. São os mesmos, semelhantes ou totalmente diferentes?? Isto dar-lhe-á uma indicação se o sítio que abriu no e-mail é genuíno ou um sítio de phishing.
Os atacantes estão a utilizar cada vez mais ligações em e-mails que levam a downloads maliciosos em vez dos tradicionais anexos. Evite a tentação de clicar rapidamente em ligações em e-mails, mesmo que lhe seja pedido para aceder a informações importantes ou a uma mensagem na sua conta. Em vez disso, faça o login na sua conta através do site oficial. Verificar se a mensagem realmente existe? Se não for este o caso, o e-mail que recebeu foi provavelmente enviado por um burlão.
6. Ignorar pedidos de dados pessoais e especialmente bancários
Se um e-mail lhe pedir para actualizar ou reintroduzir os seus dados pessoais ou informações bancárias, é muito provavelmente um burlão. Lembre-se: o número do seu cartão, número PIN ou código de segurança, o nome de solteira da sua mãe e outras questões são informações pessoais que não devem ser partilhadas. As grandes empresas e organizações valorizam a sua reputação e não recolherão informações pessoais através de correio electrónico.
7. Verifique o e-mail para alfabetização e estilo
Os erros ortográficos indicam que o autor não se deu ao trabalho de verificar a ortografia. Uma organização com reputação não pode dar-se a esse luxo. Diferentes estilos e tamanhos de fontes, logótipos inconsistentes, imagens de baixa qualidade – tudo isto aponta para um e-mail falso, e foi “feito à pressa”.
8. Cuidado com as cartas que são demasiado formais
Os golpistas inflacionam frequentemente a bolha de importância para embaçar a sua visão. É pouco provável que a grande loja ou agência online original descreva nas suas cartas o quão importantes e oficiais eles são. Os e-mails fraudulentos podem também conter informações, tais como números de conta e identificadores, para que se possa verificar a autenticidade do e-mail.
9. Eles estão com pressa – feche o e-mail
Os golpistas tentarão pressioná-lo com ofertas rápidas de queimaduras e ofertas exclusivas. Tire algum tempo para verificar a autenticidade da carta e do seu conteúdo, durante este tempo a oferta não sairá de si. É melhor perder uma oferta genuína do que arriscar o seu pagamento e outros dados pessoais.
10. A arma mais importante é a ligação à verdadeira empresa
Se desejar confirmar rapidamente a autenticidade de um e-mail que tenha recebido, entre em contacto com o remetente pessoalmente. É claro que não deve ligar para o número do e-mail, mas para o número dado no website original. Fazendo isto, qualquer dúvida será eliminada da sua mente.
Lembre-se de que nada na Internet é completamente seguro.
Gostaria de saber quais são as principais estratégias utilizadas pelos especialistas da Roskatchestvo para identificar e combater a fraude por correio eletrônico, e quais são as medidas de segurança que devemos tomar para nos protegermos contra esse tipo de golpe?