No laboratório de análise de malware da ESET Brasil e da ESET América Latina, recebemos semanalmente dezenas de e-mails com características suspeitas, e normalmente quando detectamos algo novo ou de distribuição massiva, publicamos um post.

Alguns casos que publicamos e que tiveram muita repercussão foram casos de phishing durante a copa do mundo, phishing que atraíam a curiosidade por utilizar aplicativos muito utilizados como o WhatsApp, entre outros, que podem ser visualizados aqui.

O problema é que, embora os cibercriminosos não estejam fazendo um grande esforço para enganar as vítimas, essas vítimas ainda estão clicando nesses e-mails fraudulentos e muitas vezes acabam prejudicadas por entregar informação pessoal e/ou financeira, ou clicando em um arquivo, pensando que é o recibo de uma conta não paga, uma intimação de um cartório, ou para participar de um concurso.

Vejamos alguns exemplos recebidos na semana passada que ilustram esses fatos, e logo depois deixaremos conselhos para evitar essas fraudes tão comuns e frequentes:

Tentativa de phishing simulando banco “A”

phishing post 1 real

  1. Sabemos que é tentativa de phishing, já que não temos conta nesse banco
  2. Ao deixar o mouse sobre o e-mail do banco, vemos que efetivamente o endereço que aparece é de algum servidor que obviamente não pertence ao banco.
  3. Ao deixar o mouse sobre a imagem, o mesmo endereço que aparecia no e-mail do suposto banco, aparece como um link que nos redirecionaria a outro site, por isso não seguimos adiante.

Tentativa de phishing simulando banco “B”

phishing post 3

  1. Mais uma vez, o atacante já começa mal. Também não temos conta nesse banco
  2. Além de não termos conta nesse banco, sei que a pessoa que me enviou esse e-mail não trabalha nesse banco, já que é um conhecido. Essa prática é muito comum em tentativas de phishing (de sorteios, lojas, promoções), mas é pessimamente utilizada se a ideia é que a vítima clique em uma fraude bancária
  3. A figura do boleto é de outro banco...
  4. O endereço ao que o site quer nos redirecionar não é site do banco

phishing post 4

  1. O atacante tenta oferecer à possível vítima mais uma chance de clicar no link e ser redirecionado, mas...
  2. Vemos que o endereço é o mesmo, e continua não sendo do banco em questão

Tentativa de phishing simulando ser empresa de cobranças

phishing post 5

  1. Essa tentativa de phishing é menos comum que as dos bancos, mas mal feita da mesma forma. O atacante já coloca um link no próprio assunto, para que um potencial vítima descuidada clique e baixe um arquivo malicioso.
  2. O segundo problema é que o atacante também utiliza uma pessoa que faz parte de nossos contatos, e sabemos que não receberemos e-mails assim desse contato
  3. Para parecer mais sério, o atacante utiliza o logotipo de um escritório jurídico, mas o escritório e a suposta empresa que tenta fazer a “cobrança” não são as mesmas empresas, tampouco tem relação uma com a outra
  4. O atacante, uma vez mais, tenta esconder em um link (disfarçando o mesmo de um número telefônico), o servidor que contém o malware

phishing post 6

  1. Em um último esforço, o atacante coloca um último link em uma imagem de um boleto bancário, que é, na verdade, outro link para o mesmo servidor malicioso
  2. O atacante exagera na quantidade de dinheiro que pede, como tática de Engenharia Social, esse valor leva a vítima a ter a curiosidade de por que que ela “estaria” devendo tanto.

Como pudemos ver, as tentativas de phishing continuam tentando levar as pessoas a clicarem em links que não devem, por essa razão, deixamos os seguintes conselhos:

  • Se não tiver 100% de certeza, não clique, ligue! Ligue para o telefone da empresa mencionada e rapidamente vão poder dizer se é real ou não.
  • Utilize um software de segurança.
  • E-mails de bancos e instituições financeiras não contêm links, se o e-mail parecer perfeito e tiver link, ligue para o banco.
  • Não envie dados como nome de usuário, senha, senha de cartão de crédito, e demais senhas por e-mail - nunca.

Créditos da Imagem: Alexandre Viana em Segurança