Como todos os anos, desde 1988, em 30 de novembro, celebramos o Dia Internacional da Segurança da Informação. Uma data que surge por iniciativa da Association for Computing Machinery (ACM) e que visa discutir a importância da segurança da informação para a vida dos usuários e compartilhar boas práticas no campo da segurança. Nesse sentido, assim como vimos este mês na série de malwares que marcaram a história, na qual analisamos como tem sido a evolução do malware nas últimas quatro décadas, os cibercriminosos continuam “seduzindo” os usuários por meio de campanhas maliciosas. Eles usam técnicas antigas e conhecidas que ainda são eficazes devido à falta de conhecimento sobre o uso da tecnologia de forma segura.
Confira a seguir um breve guia com alguns dos sinais que indicam que você está propenso a cair nas armadilhas dos cibercriminosos.
#1 Você não sabe qual é a URL do site que está procurando
É importante que você saiba que os cibercriminosos usam estratégias de Blackhat SEO para posicionar páginas falsas nos primeiros resultados dos buscadores. Esses sites falsos se passam por serviços legítimos, a fim de induzir os usuários a acreditar que estão na página oficial. Por isso, é importante que, mesmo confiando nos resultados dos buscadores como Google, Bing, Yahoo ou outro, tenhamos em conta que pode ser um site falso que, na verdade, aparece bem posicionado (pelo menos por um tempo) com o objetivo de fazer novas vítimas.
As estratégias de SEO (search engine optimization) são legítimas e usadas no marketing tendo em conta o que os buscadores mais valorizam quando se trata de oferecer os resultados de uma pesquisa. Mas quando um site é posicionado através de Blackhat SEO, queremos dizer que ele usa técnicas para enganar os buscadores.
#2 Você se deixa levar pela mensagem no assunto de um e-mail
Para que um usuário não pense demais e seja vítima de uma fraude, os cibercriminosos se aproveitam desse campo do e-mail para tentar manipular emoções e gerar sentimentos que podem variar de euforia a desespero.
Por exemplo, e-mails que nos informam sobre prêmios que conquistamos, uma oportunidade única que não podemos deixar passar ou até mesmo uma herança que algum familiar nos deixou. Apesar que também temos notado a existência de campanhas que buscam gerar paranóia com e-mails que vêm com nossa senha ou número de telefone no assunto ou que nos dizem que nossa conta foi atacada.
Nestes casos, a primeira coisa que devemos fazer é não perder a calma. Em segundo lugar, não responda.
#3 Não verifica o endereço de e-mail dos remetentes
O fato de uma mensagem incluir seu nome real não garante que seja genuína, pois há várias maneiras de obter esse tipo de informação de agentes maliciosos. Portanto, analisar o endereço do remetente pode nos ajudar a interpretar se estamos em uma situação suspeita ou não.
Por exemplo, se um e-mail que chega a nossa caixa de entrada apresenta um remetente que aparentememte se trata de um banco do qual não somos clientes, é algo que deve ser considerado como suspeito. O mesmo deve ocorrer no caso de recebermos um e-mail no qual o remetente é apresentado como representante de uma empresa ou serviço e o domínio da mensagem é um serviço de e-mail gratuito, como o Gmail ou o Hotmail, por exemplo.
Também é comum (com o intuito de fingir que o e-mail é de uma empresa legítima) que os cibercriminosos enviem uma mensagem em que o domínio inclui o nome de uma empresa legítima, mas que é preenchido por outros caracteres, como um domínio que foi usado em uma campanha de phishing que se passava pela Apple: "@ servicedstoredapps.live". Algumas empresas, como a Apple, oferecem um guia para reconhecer se um e-mail em nome da empresa pode ou não ser legítimo.
#4 Não verifica as URLs de destino
É importante analisar para onde o link, que vem no corpo do e-mail, nos direciona, já que muitas campanhas de engenharia social ocultam URLs falsas que parecem ser legítimas. Para fazer isso, uma técnica comum é geralmente incluir um link em uma passagem de texto, de forma que não seja possível ver a URL. Dependendo do contexto do e-mail, o usuário pode acreditar que, se clicar, será direcionado para um site que pode ser outro. O usuário pode descobrir isso apenas passando o cursor sobre o link e será possível perceber se coincide ou não com o nome do suposto site, mas para confirmar isso em um celular é necessário manter o texto "apertado" com o dedo para que nos mostre a URL sem a necessidade de acessar à página de destino.
Algo semelhante acontece com as ferramentas para encurtar links. Ao usá-las, o usuário não pode ver o nome da URL final. No entanto, se você tem suspeitas sobre o link, é possível saber se é uma fraude ou não, usando algumas ferramentas que permitem descobrir o conteúdo do link antes de abri-lo, como: Unshorten.It.
Outra técnica bastante usada são os ataques homográficos, em que cibercriminosos registram domínios que, à primeira vista, parecem ser legítimos, mas pequenas variações em um dos caracteres dificultam a percepção de que ele é, na verdade, um site falso.
#5 Compartilha informações pessoais através de redes sociais
Muitos usuários não estão cientes dos riscos da superexposição em redes sociais e compartilham dados pessoais, como número de documentos, data de nascimento, número de telefone, endereço residencial, entre muitos outros. Às vezes, uma imagem simples que contém essas informações pode chegar a um indivíduo de ética duvidosa. O mesmo acontece quando saímos de férias e involuntariamente, informamos a todos (que podem ver nossos perfis) que não estamos em casa.
Portanto, além de pensar duas vezes antes de compartilhar algo nas redes sociais, é importante configurar de forma adequada a privacidade de cada uma das plataformas que usamos para filtrar quem pode ver nossas atividades. Caso contrário, podemos estar expostos para que um cibercriminoso possa criar um perfil bastante preciso sobre um alvo de ataque, simplesmente reunindo informações de perfis e de atividades compartilhadas.
Por fim, pense da mesma forma que um invasor: as informações que compartilho podem ser usadas contra mim? Caso a resposta seja sim, é melhor não compartilhá-las.
#6 Você confia em um site só porque tem HTTPS
Infelizmente, não é mais suficiente para um site ter HTTPS e um cadeado para determinar que se trata de um site seguro. Apesar de anteriormente as páginas fraudulentas usarem o protocolo HTTP, atualmente os atacantes podem fazer o mesmo e obter um certificado SSL/TLS válido e gratuito.
#7 Você confia demais em serviços ou plataformas de uso massivo
Não se trata de desconfiar de tudo, mas de estar informado sobre os vetores de ataque usados pelos cibercriminosos. Nem tudo o que vemos nas redes sociais é legítimo. Na verdade, nessas plataformas, os cibercriminosos criam contas falsas tentando se passar por empresas legítimas e até mesmo realizam campanhas publicitárias com falsas promoções (malvertising) que tentam fazer com que os usuários cliquem em um link para, em seguida, roubar seus dados.
Algo semelhante acontece com os anúncios exibidos na rede de publicidade do Google, que tem sido usada por cibercriminosos para propagar malware. Na verdade, o Google lançou um guia para evitar essa prática, no qual também oferece recomendações para usuários e anunciantes.
#8 Não hesita em abrir um anexo que vem em um e-mail não solicitado
Os usuários devem estar cientes de que um banco ou uma instituição séria geralmente não envia anexos sem solicitação prévia do usuário. Portanto, o fato de chegar um arquivo anexo que não solicitamos deve ser motivo de suspeita imediata.
Em segundo lugar, as instituições financeiras, por exemplo, nunca solicitarão por e-mail informações como credenciais de acesso ao sistema bancário on-line ou dados de seus cartões de crédito. Portanto, no caso de receber um pedido deste tipo, é melhor desconfiar.
Também não é um comportamento normal que uma instutição, que afirma ser séria, solicite através de uma mensagem que você realize login a partir de um link que vem no e-mail.
Esperamos que essas considerações sejam úteis para que os usuários possam aproveitar os benefícios da tecnologia com segurança.