Reconheça tentativas de phishing e emails fraudulentos
Publicado em: 14 de setembro de 2006 | Atualizado em: 15 de outubro de 2008
Phishing é um tipo de fraude projetada para roubar seus valiosos dados pessoais, como números de cartões de crédito, Windows Live IDs, senhas e dados de outras contas, entre outras informações.
Você pode encontrar tentativas de phishing:
| • | Em emails, mesmo quando eles parecem vir de um colega ou de alguém conhecido.
|
| • | No seu site de relacionamento social. |
| • | Em um site falsificado que aceite doações para caridade. |
| • | Em sites que falsificam sites que lhe são familiares usando endereços da Web ligeiramente diferentes, na esperança de que você não perceba a diferença. |
| • | Em seu programa de mensagens instantâneas.
|
| • | No celular ou em outro dispositivo móvel. |
Com freqüência, as tentativas de phishing contam com a inclusão de links em emails, sites ou mensagens instantâneas que parecem vir de um serviço em que você confia, como seu banco, sua empresa de cartão de crédito ou um site de relacionamento social.
Qual é a aparência de uma tentativa de phishing?
Mensagens de email de phishing podem ter várias formas diferentes. Elas podem parecer vir de seu banco ou instituição financeira, de uma empresa com quem você faz negócios regularmente, como a Microsoft, ou do seu site de relacionamento social.
Nos Estados Unidos, as recentes fusões entre bancos criaram novas oportunidades para os golpistas. Para obter mais informações, consulte Alerta do FTC ao consumidor: falências, fusões e aquisições de bancos: especial sobre phishing (pode estar em inglês).
O spear phishing é uma forma direcionada de phishing em que a mensagem pode parecer vir do seu empregador, ou de um colega que poderia enviar uma mensagem de email a todos na empresa, como o chefe do departamento de recursos humanos ou de TI. Para obter mais informações, consulte Spear phishing: golpes altamente direcionados (pode estar em inglês).
Os emails de phishing costumam incluir logotipos semelhantes aos de organizações reais, bem como outras informações de identificação obtidas diretamente de sites legítimos. Também podem incluir detalhes convincentes sobre suas informações pessoais, que os golpistas encontram em sua página de relacionamento social.
A principal característica em comum entre as mensagens de phishing é que elas solicitam informações pessoais ou o conduzem a sites ou números de telefone onde você é solicitado a fornecer seus dados pessoais.
Veja a seguir um exemplo da aparência de uma tentativa de phishing em um email.
Exemplo de uma mensagem de email de phishing, que inclui um endereço da Web fraudulento que leva ao site do golpe.
Para fazer com que essas mensagens de email de phishing pareçam ainda mais legítimas, os trapaceiros podem inserir nelas um link que parece levar ao site legítimo (1), mas que, na verdade, leva ao site falso do golpe (2) ou possivelmente a uma janela pop-up igual ao site oficial.
Veja a seguir algumas frases que podem indicar que uma mensagem de email é uma tentativa de phishing.
"Verifique sua conta."
As empresas não devem solicitar o envio de senhas, nomes de logon, CPFs ou outras informações pessoais por email.
Se você receber um email da Microsoft solicitando a atualização das informações do seu cartão de crédito, não responda: essa é uma tentativa de phishing. Para saber mais, leia Email fraudulento enviado para clientes da Microsoft requisitando informações de cartão de crédito.
"Você ganhou na loteria."
O golpe da loteria é uma tentativa de phishing comum, conhecida como fraude de taxa antecipada. Uma das formas mais comuns da fraude de taxa antecipada é uma mensagem que alega que você ganhou uma grande quantidade de dinheiro ou que uma pessoa pagará a você uma grande quantidade de dinheiro por pouco ou nenhum esforço de sua parte. Com freqüência, o golpe da loteria inclui referências a grandes empresas, como a Microsoft. Não existe nenhuma loteria da Microsoft.
"Se você não responder em 48 horas, sua conta será fechada."
Essas mensagens transmitem uma sensação de urgência para que você responda imediatamente sem pensar. O email de phishing pode até declarar que sua resposta é necessária, pois sua conta pode estar comprometida.
Qual é a aparência de um site ou link de phishing?
Sites falsos e ilegítimos também são chamados de sites falsificados. Eles são projetados para assemelhar-se ao site legítimo, às vezes valendo-se de elementos gráficos ou fontes do site legítimo. Eles podem até ter um endereço da Web muito semelhante ao do site legítimo que você costuma visitar. (Para obter mais informações, consulte Erros de ortografia podem sair caro.)
Ao acessar um desses sites falsificados, você pode inadvertidamente enviar informações pessoais para os trapaceiros. Se você inserir seu nome de login, senha ou outra informação confidencial, um criminoso poderá usá-la para roubar sua identidade.
Este é um exemplo do tipo de frase encontrada em um email que o conduz a um site de phishing:
"Clique no link abaixo para obter acesso à sua conta."
As mensagens formatadas em HTML podem conter links ou formulários para você preencher como faz em um site.
Os links nos quais você é incentivado a clicar em mensagens de email, sites ou até mesmo mensagens instantâneas podem conter o nome completo ou parcial de uma empresa real e costumam ser mascarados, isto é, o link que você vê não o leva ao endereço correspondente, mas a um outro local, geralmente um site ilegítimo.
Observe no exemplo a seguir que, quando você posiciona o ponteiro do mouse sobre o link (sem clicar), ele revela o endereço real na Web, como mostrado na caixa com fundo amarelo. A seqüência de números criptografados é completamente diferente do endereço da empresa na Web, o que é um sinal suspeito.
Exemplo de endereço da Web mascarado
Os trapaceiros também usam endereços da Web que, à primeira vista, se parecem com o nome de uma empresa conhecida, mas são ligeiramente alterados pela adição, omissão ou transposição de letras. Por exemplo, o endereço "www.microsoft.com" pode aparecer como:
www.micosoft.com
www.mircosoft.com
www.verify-microsoft.com
Como posso me proteger contra tentativas de phishing?
Mantenha seu sistema operacional atualizado e instale software antivírus e anti-spyware atualizado.
Seu primeiro nível de defesa contra tentativas de phishing e outras pessoas ou softwares mal-intencionados é proteger seu computador.
Alguns emails de phishing contêm software mal-intencionado ou indesejado que pode rastrear suas atividades ou simplesmente tornar seu computador lento. Experimente novos softwares antivírus e serviços abrangentes para a integridade do computador, como o Windows Live OneCare. Para ajudar a evitar spyware ou outro software indesejado, use o Windows Defender. O Windows Defender vem com o Windows Vista e está disponível gratuitamente para o Windows XP SP2
Para obter informações, consulte Proteja seu computador em quatro passos.
O próximo passo na proteção do computador é aprender como identificar técnicas de engenharia social, e o Windows Vista ajuda você a fazer isso:
| • | O Internet Explorer 7 está disponível para o Windows Vista e contém um Filtro de Phishing que verifica os sites e alerta os usuários sobre sites de phishing. |
| • | O recurso Controles dos Pais no Windows Vista oferece controles aos pais sobre seus filhos para ajudar a impedir que eles baixem software indesejado. |
| • | O Windows Defender ajuda a evitar spyware e outros softwares maliciosos que podem fazer parte de um golpe de engenharia social. O Windows Defender vem com o Windows Vista. Se você usar o Windows XP SP2, poderá baixar o Windows Defender gratuitamente. |
| • | O recurso Controle de Conta de Usuário incluído no Windows Vista requer seu consentimento antes de permitir a execução de programas potencialmente perigosos. Isso ajuda a reduzir o impacto de vírus, spyware e outras ameaças que você pode encontrar em engenharia social. |
Internet Explorer 7 e Filtro de Phishing da Microsoft
Mesmo que você não use o Windows Vista, use o Internet Explorer 7, que inclui o Filtro de Phishing da Microsoft para ajudar a protegê-lo de fraudes na Web e do risco de roubo de dados pessoais avisando ou bloqueando seu acesso a sites denunciados como sendo de phishing. Consulte Como obter o Filtro de Phishing para obter mais detalhes.
Com o Internet Explorer 7, você tem mais uma camada de proteção quando visita sites que usam certificados SSL de validação estendida (EV). A barra de endereços do Internet Explorer fica verde para alertá-lo de que há mais informações disponíveis sobre o site. A identidade do proprietário do site também é exibida na barra de endereços.
Um certificado SSL de EV não apenas ajuda a garantir que a comunicação com o site seja segura, como também inclui informações sobre o proprietário do site, que foi identificado pela Autoridade de Certificação (CA) que emitiu o certificado SSL. Para obter mais informações, consulte Internet Explorer e certificados SSL de validação estendida (pode estar em inglês).
Obtenha o Internet Explorer 7
