Como proteger sua conta contra phishing

O termo phishing descreve esquemas de roubo de identidade que envolvem sites, e-mails ou outras mensagens falsas. O objetivo de um ataque de phishing é obter acesso à sua conta e informações confidenciais. Um atacante pode criar seu próprio site que imita um site reputado ou enviar uma mensagem que parece vir de uma fonte confiável. As mensagens de phishing podem vir de uma conta falsa ou de uma conta que tenha sido invadida.

Uma mensagem de phishing pode solicitar que você conclua as seguintes tarefas:

  • Acessar um link.
  • Baixar um arquivo.
  • Abrir um anexo.

Malware, que são programas mal-intencionado como worms, trojans, bots e vírus, podem infectar seu computador ou dispositivo móvel se você realizar alguma dessas ações. Depois que o seu dispositivo estiver infectado, um intruso poderá obter acesso às suas informações pessoais.

Os golpes de phishing também podem incluir solicitações diretas de informações pessoais, como suas credenciais de conta bancária.

Os golpes de phishing podem solicitar que você forneça as seguintes informações pessoais:

  • Por e-mail ou outro sistema de mensagens.
  • Através de um formulário.
  • Em um número de telefone fraudulento.
  • Em um endereço físico falso.

Mesmo um pedido para você inserir seu endereço de e-mail e redefinir sua senha pode ser perigoso.

Conheça os sinais de aviso

Você pode se proteger contra o phishing, entendendo os sinais de alerta. Leia as mensagens com atenção, não importa de quem elas pareçam ser, e examine os sites, mesmo que pareçam familiares.

Linguagem excessivamente geral

Embora o phishing possa ser bem pesquisado e adaptado a você e à sua empresa, a linguagem generalista é uma característica dos golpes de phishing. Desconfie de mensagens que parecem vir de uma organização em que você confia, mas que sejam abertas com declarações vagas:

Prezado titular da conta,

Da mesma forma, se uma mensagem prometer uma oportunidade comercial ou financeira importante, mas não incluir detalhes suficientes para você confirmar que o remetente conhece você, talvez seja uma fraude:

Eu sou Frederico, um banqueiro. Por favor, entre em contato comigo o mais rápido possível a respeito da herança de um parente falecido. Não posso compartilhar muitos dados por sms. Envie um e-mail para o endereço abaixo.

Mensagens comerciais de contas pessoais

Invasores sofisticados podem coletar informações suficientes de sua presença on-line para criar uma mensagem que poderia ter origem de um contato real:

Atualização de preços de atacado

Oi, Georgia, eu só queria deixar você atualizada. Aqui está uma planilha dos nossos preços atuais no atacado: precos-tecido-2016-oct.xls

Espero que tenha ficado satisfeita com o último lote de camisetas! Me avise se tiver alguma dúvida ou problema.

--

Julia Chan

Gerente de contas

Exemplos de tecidos

Para enviar um ataque, eles podem invadir a conta profissional do contato ou criar uma conta pessoal falsa. Por exemplo, se o nome de usuário do e-mail pessoal do seu contato, Júlia, for juliachan3857, um invasor poderá enviar um e-mail de uma conta com o nome de usuário juliachan9665. Essa forma de ataque depende de dois fatores:

  • As pessoas enviam e-mails da conta errada por engano.
  • Mesmo se você souber o endereço de e-mail pessoal de Julia, talvez não repare na diferença.

Erros de ortografia, de gramática e variações de estilo

Os criminosos não levam os guias de estilo de conteúdo tão seriamente quanto os escritores profissionais de conteúdo da web. Além dos erros de digitação e gramática, variações nas categorias a seguir em uma única página podem mostrar que um site é fraudulento:

  • ortografia.
  • maiúsculas/minúsculas.
  • números.
  • pontuação.
  • formatação.

Tom alarmista ou superempolgado

Fique atento a solicitações com limitação de tempo que tentem assustar e incentivar a agir sem pensar. Por exemplo, a Shopify não enviará uma mensagem dizendo:

Tivemos uma falha catastrófica no servidor. Responda com seu nome de usuário e senha nas próximas 24 horas ou você perderá o acesso a sua loja permanentemente.

Da mesma forma, observe as mensagens que fazem ofertas que parecem boas demais para ser verdade, como um desconto de 90% de uma empresa de viagens disponível somente se você agir agora.

URLs que não parecem corretas

Tentativas de phishing podem incluir URLs que parecem legítimos se você não olhar com muita atenção. Muitas tentativas de phishing usam URLs que foram deliberadamente escolhidas para se assemelhar a uma URL com a qual você já está familiarizado. Conforme mostrado na tabela abaixo, se você normalmente compra roupas de natação da Vestuário Exemplo na URL legítima e recebe um e-mail com um link para a URL falsa, pode dizer que é uma tentativa de phishing.

A URL real direciona você para um site no domínio example-apparel.com, que é propriedade da Vestuário Exemplo e a URL falsa direciona você para um site mal-intencionado no domínio com-aquatic.net, cuja propriedade provavelmente é de criminosos.

URL legítima URL falsa
vestuario-exemplo.com/aquatico/sunga vestuario-exemplo.com-aquatico.net/sunga

Exponha sua preocupação usando outro meio de comunicação

Fale com o suposto remetente de uma mensagem suspeita pessoalmente ou por telefone e exponha suas preocupações a respeito de um site falando com alguém na organização.

Se você entrar em contato com o remetente por telefone, use um número que você tenha arquivado ou que apareça em várias fontes on-line respeitáveis. Por exemplo, se você receber uma solicitação de informações suspeita da Receita Federal por e-mail, ligue para a agência com o número da declaração de imposto do ano passado. Não ligue para um número que apareça em um site ou e-mail suspeito.

Verifique se sua conexão com um site usa HTTPS

Quando você se conecta a qualquer site em que possa ser solicitado a inserir um nome de usuário e senha ou outros dados confidenciais, verifique se um ícone de cadeado aparece ao lado da URL em seu navegador:

O ícone de cadeado informa que a conexão com o site está criptografada usando o protocolo HTTPS. URLs para conexões criptografadas começam com https:// ao invés de http://. Conexões que usam http:// enviam dados em texto simples, o que significa que podem ser interceptados no caminho e lidos.

Antes de clicar em um link para qualquer lugar em que você deseja inserir informações, verifique se o URL começa com https://.

Não interaja com anexos, links ou formulários, a menos que você esteja esperando por eles e saiba o que eles contêm. Eles podem redirecionar você para um site mal-intencionado projetado para roubar suas informações ou infectar seu dispositivo com malware.

Quando o texto do link é uma URL, verifique se ele corresponde à URL no próprio link. Por exemplo, um link escrito como https://help.shopify.com no corpo de um e-mail pode direcionar você para uma página de phishing em outra URL:

Muitos ataques de phishing tentam aproveitar os serviços bancários on-line. Se você receber um e-mail suspeito do seu banco com uma oferta especial para uma linha de crédito, não clique no link. Em vez disso, insira a URL do seu banco manualmente em uma nova janela e veja se a oferta aparece no painel da sua conta.

Tenha cuidado com wi-fi público

Wi-fi público é conveniente quando você está em movimento, mas fornece muitas maneiras diferentes para os criminosos obterem acesso às suas informações. Você pode reduzir seus riscos tomando medidas para proteger você e seus dados.

Verifique os nomes dos pontos de acesso

Um invasor pode criar seu próprio ponto de acesso wi-fi não criptografado que é nomeado como um local reputado na mesma área, como a rede de um café. Se você se conectar ao ponto de acesso de phishing, o invasor poderá direcioná-lo para a própria página, onde você poderá ser exposto a malware ou receber uma solicitação para inserir informações particulares.

Antes de conectar, certifique-se de que o ponto ativo que você planeja usar seja legítimo. Se você não conseguir ver o nome do ponto de acesso publicado em um local óbvio, pergunte a um funcionário.

Como desativar pontos de acesso no seu dispositivo

Mesmo se você tiver se conectado a um ponto de acesso de wi-fi público legítimo, ainda poderá correr o risco de estar na mesma rede que um invasor. As redes públicas de wi-fi são muito menos seguras do que as redes privadas, como a de sua casa ou escritório:

Proteja-se desativando o compartilhamento de arquivos em sua rede e ativando seu firewall antes de se conectar. Mesmo com essas precauções, ainda não é uma boa ideia enviar ou receber qualquer conteúdo confidencial usando uma rede wi-fi pública.

Envie e receba dados confidenciais por VPN

Uma rede privada virtual estabelece uma conexão segura entre o seu dispositivo e os servidores VPN da empresa. A partir daí, os servidores VPN transmitem suas informações para a internet. Se um invasor obtiver acesso aos dados que você está transmitindo e recebendo por meio de um ponto de acesso wi-fi público, os dados serão criptografados e não serão úteis para eles:

Techradar e PC Mag são bons lugares para começar se você quiser aprender como escolher uma VPN.

Sem VPN, a opção mais segura é evitar a transmissão de informações confidenciais através do wi-fi público.

Siga os guias do governo se suas informações pessoais estiverem comprometidas

As informações de identificação pessoal (PII) são dados que podem ser usados para identificar uma pessoa específica ou até mesmo para personificá-la. Tipos de PII incluem:

  • nome completo.
  • e-mail
  • Endereço.
  • número de telefone.
  • Número do cartão de crédito.
  • número de identidade nacional (como SIN, SSN ou passaporte).
  • carteira de motorista.
  • data de nascimento.

Se você forneceu informações de identificação pessoal por meio de um canal suspeito ou se sua conta da Shopify foi comprometida, consulte os guias de seu governo, como essas informações dos governos do Canadá e dos Estados Unidos:

Canadá

O que fazer:

Para registrar uma queixa:

Estados Unidos

O que fazer:

Para registrar uma queixa:

Pronto(a) para começar a vender com a Shopify?

Experimente de graça