Dez dicas para perceber se um e-mail é malicioso
min de leitura
Os e-mails de phishing e fraudulentos são um dos grandes problemas de segurança online, e toda a atenção é pouca para não ser apanhado.
Publicado em 09-Mai-2023
E-mails dos CTT a relatar um problema na entrega. Da TAP, a anunciar que pode reclamar uma compensação pelo atraso no voo. Do banco – qualquer que ele seja – a alertar para uma conta prestes a ser bloqueada. Das finanças e até das próprias forças de segurança e dos tribunais… Diariamente são enviados milhões, biliões, de e-mails fraudulentos, pelo que a probabilidade de um número deles acabar na sua caixa de correio é enorme.
O que é o phishing?
O phishing é a forma mais simples de ciberataque e, ao mesmo tempo, a mais perigosa e eficaz. Não requer conhecimentos técnicos particularmente sofisticados, e muitos atacantes recorrem ao phishing precisamente porque não conseguem encontrar nenhuma vulnerabilidade técnica. Para quê, pensam, perder tempo a decifrar altos níveis de segurança se podem contar com a distração, ingenuidade ou desconhecimento de alguém, levando-o a dar-lhes a chave de entrada?
O nome, aliás, remete-nos para pesca, em inglês (ainda que escrito com ph), e trata-se precisamente disso: a tentativa de pescar algum incauto para a rede.
Os e-mails de phishing assumem todas as formas e feitios, e muitos não são fáceis de reconhecer. Já os objetivos prendem-se sempre com a recolha de informações pessoais e confidenciais sobre a pessoa atacada (palavras-passe e números de cartões bancários, por exemplo) ou com a tentativa de infetar o computador e telemóvel com algum tipo de vírus.
O problema não é novo, existe praticamente desde o início da internet, e, com este nome, desde o novo milénio – embora esteja cada vez pior e mais generalizado, sobretudo desde a pandemia – e isso é grave porque este é um daqueles casos em que quanto mais e-mails do género existirem a circular, mais fácil será algum dia cair. Para que não nos aconteça a nós, vamos então ver algumas práticas fundamentais para manter a nossa segurança online:
1 Nunca confiar no nome do remetente
Só porque um e-mail parece provir de alguém ou de uma instituição conhecida, tal não significa que seja verdadeiramente esse o remetente. Verifique sempre o nome com cuidado, o que será mais fácil num computador do que numa aplicação de e-mail do telemóvel. Por exemplo, um determinado e-mail aparenta ter como remetente apenas o nome CTT, mas no PC é fácil perceber que o corpo do endereço de e-mail nada tem que ver com essa instituição. Num telemóvel, será necessário clicar nesse nome, para ver a restante informação.
2 Pode-se olhar, mas não se pode abrir
Nunca se devem abrir os links, a menos que se confie plenamente no remetente e se saiba onde irão ter. Em caso de dúvida será sempre preferível procurar o endereço manualmente num motor de busca. Mais uma vez, num computador é mais simples passar o rato por cima do link (sem clicar!) e ver se o endereço é fidedigno.
3 Procurar por erros gramaticais
É uma das formas mais fáceis de apanhar um e-mail criminoso, quando o texto apresenta erros de ortografia e outros erros gramaticais.
4 Não forneça dados pessoais por e-mail
O e-mail que acabou de receber pede informações pessoais? As empresas fidedignas nunca vão fazer isso diretamente num e-mail ou numa página direcionada pelo e-mail. Especialmente dados como os números de conta, passwords, NIB ou NIF. Se assim for, trate esse e-mail como criminoso.
5 Cuidado com os motivos da urgência
Uma das táticas mais comuns de e-mails fraudulentos será impelir para alguma ação com um motivo de urgência. Mensagens como “o seu cartão será cancelado se não agir nos próximos 30 minutos” ou algo parecido. Refreie o impulso para resolver a questão e pense duas vezes antes de agir.
6 Desconfiar da boa sorte
Não duvidamos da sua boa estrela, mas responder a um e-mail em que se anuncia que ganhou a lotaria nos Estados Unidos, ou de um certo príncipe a prometer avultadas recompensas se apenas o ajudar a transferir uns quantos milhões para fora do país, é bem capaz de lhe trazer uma série de azares. Desconfie sempre de e-mails que prometem recompensas ou grandes oportunidades, até porque não é comum a TAP oferecer-se para pagar compensações sem as sequer ter reclamado. São fraudes, e mesmo que seja um familiar a escrever com um pedido de ajuda urgente, desconfie. Procure sempre contactar a pessoa em questão ou, nessa impossibilidade, outras que lhe sejam próximas. Procure confirmar a história, porque o e-mail pode ter sido pirateado e quem envia o pedido não é o familiar, mas o próprio hacker.
7 Desconfiar mais ainda dos anexos
Nunca instale ou abra um attachment sobre o qual não tem a garantia de autenticidade. Deve ser de um remetente conhecido, obviamente, mas também fazer sentido, porque nada garante que esse remetente não tenha sido vítima, ele próprio, de um ataque. Os attachments são uma forma ideal para instalar vírus nos nossos aparelhos.
8 Procurar o certificado digital de um website
Sempre que for redirecionado para alguma página verifique sempre se o URL começa por “HTTPS” em vez de apenas “HTTP”. O “S” indica “seguro”. Não é uma garantia formal de que o site é fidedigno, mas quase todos os sites que o são usam têm HTTPS, especialmente de instituições financeiras ou com lojas online. Um site HTTP, mesmo sendo fidedigno, está mais vulnerável aos hackers.
9 Não vá, procure
Caso suspeite de que um determinado e-mail não é fidedigno, insira esse nome ou o texto da mensagem (ou parte dele) num motor de busca, para tentar saber se existem relatos de algum tipo de ataque de phishing conhecido que recorra aos mesmos métodos.
10 Instale software de segurança.
É sempre recomendável instalar algum tipo de software de segurança. A maioria das ferramentas de cibersegurança têm capacidade para detetar quando um link ou um anexo não é aquilo que parece, pelo que, mesmo que caia numa astuta tentativa de phishing, a sua “segurança pessoal” vai evitar males maiores. Em Os melhores programas para proteger computador e smartphone apresentamos uma série de boas alternativas, inclusivamente VPN que mascaram a nossa atividade online, para que nunca cheguem até nós.
