Como saber se uma mensagem da Microsoft relacionada à segurança é verdadeira
Quando a Microsoft divulga informações sobre uma atualização de software de segurança ou incidente de segurança, envia também mensagens de email aos assinantes de seus serviços de notificação por email sobre segurança.
Infelizmente, pessoas mal-intencionadas enviam falsas notificações por email que parecem ser da Microsoft. Essa tática chama-se “falsificação”. Algumas dessas mensagens falsas atraem os destinatários a sites de onde baixam código mal-intencionado, enquanto outras incluem um anexo de arquivo que contém um vírus.
Como verificar a legitimidade de uma notificação de segurança
Se você não estiver inscrito em um serviço de comunicação de segurança da Microsoft e receber uma mensagem inesperada sobre uma atualização de segurança, deverá ter cuidado com a mensagem. Em caso de dúvida, exclua a mensagem e verifique imediatamente se as mesmas informações são fornecidas na home page Microsoft.com.
Notificações verdadeiras não têm anexos
Nunca anexamos atualizações de software a nossas notificações de segurança por email. Em vez disso, levamos o cliente a nosso site para que obtenha informações completas sobre a atualização de software ou incidente de segurança. A maioria das atualizações de segurança da Microsoft é fornecida pelo Microsoft Update, Office Update ou no Centro de Download da Microsoft.
Também existem notificações verdadeiras no Microsoft.com
Nunca enviamos avisos de atualizações ou incidentes de segurança antes de publicarmos as informações pertinentes em nosso site. Visite o site Segurança em Microsoft.com para ver se as informações estão listadas ali.
Notificações verdadeiras têm um endereço Microsoft na Web válido
Os avisos de atualização de segurança da Microsoft sempre aparecem na página Microsoft.com. Links em notificações sobre segurança enviadas por email pela Microsoft usam endereços de site seguros. Assim, você pode verificar o certificado e confirmar se está realmente em Microsoft.com, e não em um site falsificado.
Se desconfiar de que uma mensagem de email não é verdadeira, não clique em um link dela. Esses links podem ter sido falsificados para que pareçam levá-lo a um site legítimo, quando na verdade você é levado para um site falsificado.
Não clique em link algum da notificação. Em vez disso, digite ou recorte e cole o texto do link da mensagem de email na barra de endereços de seu navegador.
Observe que os hackers também têm formas de exibir uma URL falsa na barra de endereços de seu navegador. Assim, embora você pareça estar em um site verdadeiro, na verdade pode estar em um site falsificado. Para ajudar a limitar esse risco, inicie na home page de um site e tente navegar até as informações que procura.
Sites verdadeiros têm certificados precisos e atualizados
A Microsoft e a maioria dos sites comerciais usam certificados como parte de um sistema que ajuda a tornar as transações online mais seguras. Digitar https:// em vez do padrão http:// no endereço do site ativa o certificado. (Seu navegador pode mostrar um alerta indicando que você exibirá páginas em uma conexão segura.)
Quando você estiver no site seguro, o Internet Explorer lhe permitirá verificar o certificado. Clique duas vezes no ícone de cadeado na barra de status na parte inferior de seu navegador. Assim você exibe o certificado de segurança do site.
Ícone de cadeado de site seguro. Se o cadeado estiver fechado, isso indicará que o site possui um certificado que pode ser verificado.
Esse certificado é prova da identidade do site. Quando você verifica o certificado, o nome após Issued to (Emitido a) deverá corresponder ao nome do site onde você acredita estar. Se o nome for diferente, você pode estar em um site falsificado. Ao clicar no ícone de cadeado de uma página em Microsoft.com, você pode comparar o nome de domínio de Issued to (www.microsoft.com) com o nome de domínio do site na barra de endereços (que também é www.microsoft.com).
Os nomes coincidem? O nome de domínio de Issued to deve corresponder ao nome de domínio na barra de endereços do navegador.
Exemplo de notificação falsa
A comunicação de segurança falsa pode parecer bem convincente, como no caso do email fraudulento usado para distribuir o worm Swen. Sua aparência profissional e seu tom sincero e prestativo levou muitos usuários a infectarem seus próprios computadores.
Boletim falso. Muitos usuários acreditaram que este aviso de email parecia bom o suficiente para ser uma mensagem verdadeira da Microsoft. Não era.
Atualize seu software
Uma das formas mais úteis de ajudar a se proteger contra hackers e sites mal-intencionados é manter atualizados seus programas de software, antivírus e anti-spyware. Para manter atualizados seus programas da Microsoft, visite os locais abaixo para obter atualizações: