Talvez você tenha visto uma página do finado Orkut circulando pela Internet. Será que essa rede social, que fez tanto sucesso no Brasil, voltou? Será que isso é verdade? Como costumamos ironizar com o uso de uma conhecida hashtag: #SQN - Só que não! O Google encerrou oficialmente o serviço em 2014.
O Laboratório de Pesquisa da ESET identificou uma página que se passa pelo antigo Orkut e que provavelmente pode ser um phishing. Desta vez, os cibercriminosos podem estar tentando roubar as credenciais de quem reutiliza senhas em diversos serviços. Veja como isso ocorre:
Na esperança de acessar novamente ao Orkut, a vítima acaba inserindo as suas credenciais de acesso utilizadas anteriormente.
O usuário é redirecionado para uma página que solicita a confirmação de outros dados pessoais como a data de nascimento, nome e sobrenome.
Tendo em conta que muitos usuários ainda acreditam que um incidente de segurança só costuma ocorrer com famosos ou políticos, acabam se descuidando com relação a um aspecto de segurança que sempre destacamos em nossos posts: o uso da mesma senha para diversos serviços ou redes sociais.
Portanto, em um phishing como esse, os cibercriminosos facilmente podem obter possíveis credenciais de acesso - principalmente quando as mesmas também são utilizadas em outros serviços.
Para tornar o golpe ainda mais real, também existe uma página no Facebook que redireciona os usuários para o site que se passa pelo antigo Orkut.
Três formas básicas de identificar um phishing
1. Verifique o Certificado Digital
Os navegadores mais populares permitem que os usuários possam verificar facilmente se o site conta com um certificado digital EV SSL, um sinal de criptografia das informações entre os usuários e o servidor por meio do protocolo SSL. Para isso, basta clicar no cadeado verde:
No entanto, apenas esse aspecto não é suficiente para verificar a legitimidade da página, assim como ocorre com o caso apresentado neste post.
2. Confira o endereço eletrônico
Outro aspecto importante é o endereço eletrônico utilizado para acessar ao site. Sempre é importante verificar cada letra utilizada e, dessa forma, conferir se o nome do serviço está realmente correto. Os cibercriminosos costumam alterar essa informação de forma bastante sútil.
3. Insira credenciais falsas
Se você não estiver convencido sobre a veracidade de um site, insira dados falsos e verifique qual o comportamento da página. Caso não seja legítima, provavelmente irá considerar os dados como corretos. Afinal, não é um serviço no qual você está efetivamente registrado e não tem nenhuma base para validar a sua identidade. Na verdade, o cibercriminosos por trás do golpe estão apenas tentando roubar as suas informações.
Além dessas três formas que destacamos, confira também outras dicas de como reconhecer emails de phishing.
Esteja sempre atento!
Para não acabar sendo mais uma vítima desses golpes, é fundamental estar atento aos detalhes. Respeite as alertas enviadas pelas soluções de segurança, ou seja, ignore, exclua e relate qualquer coisa que possa cheirar a "phishing”, dessa forma você poderá garantir a sua segurança. Os cibercriminosos se aproveitam da desatenção e da falta de bom senso dos usuários.