Proteger a sua conta contra phishing

O termo phishing descreve esquemas de roubo de identidade que envolvem websites e e-mails ou outras mensagens falsos. O objetivo de um ataque de phishing é obter acesso à sua conta e a informações confidenciais. Um atacante pode criar o seu próprio website que imita um site respeitável ou enviar uma mensagem que parece vir de uma fonte fidedigna. As mensagens de phishing podem vir de uma conta falsa ou de uma conta que tenha sido invadida.

Uma mensagem de phishing pode solicitar que realize as seguintes tarefas:

• Visitar uma ligação.
• Transferir um ficheiro.
• Abrir um anexo.

Malware — software malicioso, como worms, trojans, bots e vírus — pode infetar o seu computador ou dispositivo móvel se realizar alguma destas ações. Se o seu dispositivo ficar infetado, um intruso poderá obter acesso às suas informações pessoais.

Os esquemas de phishing também podem incluir pedido diretos de informações pessoais, como as credenciais da sua conta bancária.

Os esquemas de phishing podem solicitar-lhe o fornecimento das seguintes informações pessoais:

• Por e-mail ou outro sistema de mensagens.
• Através de um formulário.
• Através de um número de telefone fraudulento.
• Através de um endereço físico falso.

Até mesmo um pedido para inserir o seu endereço de e-mail e repor a sua palavra-passe pode ser perigoso.

Conheça os sinais de aviso

Pode proteger-se contra os esquemas de phishing se compreender os sinais de alerta. Leia as mensagens com cuidado, independentemente da fonte, e examine os websites, mesmo que lhe pareçam familiares.

Linguagem excessivamente geral

Embora o phishing possa ser bem pesquisado e adaptado a si e ao seu negócio, a linguagem geral é uma característica dos esquemas de phishing. Desconfie de mensagens que parecem ser provenientes de uma organização na qual confia mas que apresentam declarações vagas:

Da mesma forma, se uma mensagem prometer uma importante oportunidade de negócio ou financeira, mas não incluir detalhes suficientes para confirmar se o remetente o conhece, pode tratar-se de um esquema:

Mensagens de negócio de contas pessoais

Os atacantes sofisticados podem reunir informações suficientes a partir da sua presença online para criarem uma mensagem que poderia plausivelmente vir de um contacto real:

Para lançarem um ataque, os atacantes podem invadir a conta empresarial do seu contacto ou criar uma conta pessoal falsa. Por exemplo, se o nome de utilizador para o e-mail pessoal de Julia for juliachan3857, então um atacante pode enviar um e-mail de uma conta com o nome de utilizador juliachan9665. Esta forma de ataque depende de dois fatores:

• As pessoas enviam e-mails da conta errada por engano.
• Se souber qual é o endereço de e-mail pessoal da Julia, pode não estar tão atento.

Erros ortográficos, erros gramaticais e variações de estilo

Os criminosos não levam os guias de estilo de conteúdo tão a sério quanto os escritores profissionais de conteúdo da web. Além dos erros ortográficos e gramaticais, as variações nas seguintes categorias numa única página podem indicar que um website é fraudulento:

• ortografia.
• maiúsculas/minúsculas.
• números.
• pontuação.
• formatação.

Tom alarmista ou superexcitado

Fique atento a pedidos sensíveis ao tempo que tentam assustá-lo e que o levam a agir sem pensar. Por exemplo, a Shopify não enviará uma mensagem com o seguinte conteúdo:

Da mesma forma, esteja atento às mensagens com ofertas que parecem demasiado boas para serem verdade, como um desconto de 90% de uma agência de viagens disponível apenas se agir agora.

URLs que não parecem corretos

As tentativas de phishing podem incluir URLs que parecem ser legítimos se não estiver atento. Muitas tentativas de phishing utilizam URLs que foram deliberadamente escolhidos para se assemelharem a um URL com o qual já está familiarizado. Conforme apresentado na tabela abaixo, se for habitual comprar acessórios de natação na Example Apparel no URL legítimo e receber um e-mail com uma ligação para o URL falso, é fácil perceber que se trata de uma tentativa de phishing.

O URL verdadeiro direciona-o para um site no domínio example-apparel.com, que é propriedade da Example Apparel, e o URL falso direciona-o para um site malicioso no domínio com-aquatic.net, que é provavelmente propriedade de criminosos.

Manifeste preocupações utilizando outro modo de comunicação

Fale com o suposto remetente de uma mensagem suspeita pessoalmente ou por telefone e dissipe as preocupações sobre uma página Web falando com alguém na organização.

Se contactar o remetente por telefone, utilize um número que tenha em arquivo ou que apareça em várias fontes online fidedignas. Por exemplo, se receber um pedido de informações suspeito enviado pela sua autoridade fiscal por e-mail, ligue para a entidade através do número indicado na declaração fiscal do ano passado. Não ligue para um número que apareça num website ou e-mail suspeito.

Certifique-se de que a sua ligação a um website utiliza HTTPS

Quando se ligar a qualquer website que lhe possa solicitar o nome de utilizador e a palavra-passe ou outros dados confidenciais, verifique se existe um ícone de cadeado ao lado do URL no seu navegador.

O ícone de cadeado informa-o de que a ligação ao site está encriptada através do protocolo HTTPS. Os URLs para ligações encriptadas começam com https:// e não com http://. As ligações que utilizam http:// enviam dados em texto simples, o que significa que podem ser intercetadas em circulação e lidas.

Antes de clicar numa ligação para qualquer lugar onde terá de inserir informações, certifique-se de que o URL começa com https://.

Abra apenas anexos ou ligações que está à espera de receber

Não interaja com anexos, ligações ou formulários, exceto se estiver à espera de recebê-los e souber o que contêm. Não só podem redirecioná-lo para um site malicioso criado para roubar as suas informações, como também podem infetar o seu dispositivo com malware.

Quando o texto da ligação é um URL, certifique-se de que corresponde ao URL na própria ligação. Por exemplo, uma ligação escrita como https://help.shopify.com no corpo de um e-mail pode direcioná-lo para uma página de phishing num outro URL.

Muitos ataques de phishing tentam aproveitar os serviços da banca online. Se receber um e-mail suspeito do seu banco com uma oferta especial para uma linha de crédito, não clique na ligação. Em vez disso, insira manualmente o URL do seu banco numa nova janela e veja se a oferta aparece no dashboard da sua conta.

Tenha cuidado com o wi-fi público

O wi-fi público é conveniente quando está em movimento, mas permite que os criminosos obtenham acesso às suas informações de várias formas. Pode reduzir os riscos tomando medidas para se proteger a si e aos seus dados.

Verifique os nomes dos hotspots

Um atacante pode criar o seu próprio hotspot wi-fi não encriptado com um nome igual ao de um hotspot fidedigno na mesma área, como a rede num café. Se se ligar ao hotspot de phishing, o atacante pode direcioná-lo para a sua própria página, onde poderá ser exposto a malware ou onde lhe pode ser solicitado o fornecimento de informações privadas.

Antes de avançar com a ligação, certifique-se de que o hotspot que pretende utilizar é fidedigno. Se não conseguir ver o nome do hotspot publicado num lugar óbvio, pergunte a um funcionário.

Desativar pontos de acesso ao seu dispositivo

Mesmo se estiver ligado a um hotspot wi-fi público fidedigno, ainda poderá correr riscos pelo facto de estar na mesma rede que um atacante. As redes de wi-fi públicas são muito menos seguras do que as redes privadas, como a de sua casa ou escritório.

Proteja-se desativando a partilha de ficheiros na sua rede e ativando o seu firewall antes de efetuar a ligação. Mesmo com estas precauções, continua a não ser boa ideia enviar ou receber qualquer conteúdo confidencial utilizando uma rede de wi-fi pública.

Enviar e receber dados confidenciais através de uma rede VPN

Uma rede privada virtual estabelece uma ligação segura entre o seu dispositivo e os servidores VPN da empresa. A partir daí, os servidores VPN transmitem suas informações para a internet. Se um atacante obtiver acesso aos dados que está a transmitir e a receber através de um hotspot wi-fi público, os dados serão encriptados e não serão úteis para o atacante.

Techradar e PC Mag são bons pontos de partida se quiser saber como escolher uma rede VPN.

Sem uma VPN, a opção mais segura é evitar a transmissão de informações confidenciais através do wi-fi público.

Siga as diretrizes governamentais se as suas informações pessoais estiverem comprometidas

As informações pessoalmente identificáveis (Personally identifiable information - PII) consistem em dados que podem ser utilizados para identificar uma pessoa em particular ou até mesmo fazer-se passar por ela. Tipos de PII incluem:

• nome completo.
• endereço de e-mail.
• endereço postal.
• número de telefone.
• número do cartão de crédito.
• número de identificação nacional (como SIN, SSN ou passaporte).
• carta de condução.
• data de nascimento.

Se tiver fornecido informações pessoalmente identificáveis através de um canal suspeito ou se a sua conta Shopify tiver sido comprometida, consulte as diretrizes do seu governo, como estas informações dos governos do Canadá e dos Estados Unidos:

Canadá

O que fazer:

• RCMP - Roubo de Identidade e Guia de Assistência às Vítimas de Fraude de Identidade

Apresentar uma ocorrência:

• Centro Canadiano Antifraude - Relatar um incidente

Estados Unidos

O que fazer:

• FTC - Roubo de identidade: um plano de recuperação
• FTC - Roubo de identidade: passos

Apresentar uma ocorrência:

• FBI - Centro de Denúncia de Crimes na Internet