DARYUS 
De acordo com o APWG’s Phishing Activity Trends Report referente ao terceiro trimestre de 2019, os ataques de phishing aumentaram em um nível que não se observava desde 2016, somando mais de 266 milhões de ataques apontados no terceiro trimestre de 2019. Entretanto, com base em uma análise da Fortinet Threat Intelligence Insider Latin America, somente no Brasil foram identificados mais de 24 bilhões de tentativas de ataques, representando uma média de 65 milhões de tentativas ao dia, com o objetivo de acessar redes bancárias, roubar dinheiro de empresas e pessoas físicas e obter informações financeiras.
Mesmo diante de tantas informações à disposição, a grande questão é: os usuários estão preparados para identificar, evitar e se proteger contra um dos principais vetores de ataques utilizado?
Preparamos 8 dicas para que você saiba identificar e se prevenir contra os ataques de phishing. Confira abaixo:
Dica 1 – Quem é o remetente?
Saber quem é o remetente é essencial, tenha certeza de que o endereço de e-mail é verídico. Para descobrir se o remente é confiável e saber como prosseguir nesta situação siga estes passos:
- Procure saber a origem desta conta em motores de busca, como Google, Bing ou Duck Duck Go por exemplo;
- Evite responder SMS e e-mail de contatos desconhecidos;
- Evite interagir com ligações robotizadas de números desconhecidos;
- Não avance no contato e não forneça seus dados quando não há sua solicitação de um serviço ou o recebimento de e-mail/SMS/etc.
Dica 2 – Analise bem o conteúdo
Atenção ao conteúdo enviado e não forneça dados pessoais se solicitado sem prévia análise.
- Cuidado com hiperlinks, valide antecipadamente o redirecionamento colocando o cursor do mouse em cima;
- Se sentiu ameaçado ou pressionado durante o contato? Interrompa a comunicação;
- Evite contato quando tratado genericamente como “Sr./Sra”, “Prezado(a)” ou pelo seu número de celular;
- Erros na mensagem é evidência de golpe; desconfie.
- Desconfie de conteúdos muitos atrativos de sites e certifique-se que o site é o oficial da empresa.
Dica 3 – Atenção com assuntos do momento ou de bem comum
Os anúncios e páginas da web são redes de pesca para pegar pessoas propensas para o phishing. Anúncios via redes sociais e sites podem ser criadas com assuntos atuais ou benéficos em um bem “comum”, induzindo a vítima com maior facilidade ao ataque. Veja como se prevenir:
- Cheque sempre pelas fontes oficiais – via site e/ou redes sociais das empresas e instituições;
- Desconfie de anúncios fora da realidade e não forneça seus dados pessoais quando solicitado;
- Procure pela reputação dos sites e comentários de quem buscou pelo serviço.
Desconfiança: um dos seus maiores aliados ao combate contra phishing
Dica 4 – Prefira desconfiar
Pode parecer estranho ter a “desconfiança” como seu maior aliado no mundo digital, mas acredite, isso lhe trará muita diferença durante a navegação. Em outras palavras, podemos dizer que “desconfiar” é “zelar” pelas suas informações pessoais, mesmo com aqueles que estão ao nosso redor como pessoas de confiança.
- Evite conduzir-se pela emoção. Use sempre o senso crítico e de segurança das informações recebidas por qualquer fonte;
- Peque pelo excesso. Buscar pela integridade nunca é demais. Portanto pesquise sempre a origem do conteúdo em diversos meios possíveis;
- Pessoas próximas também podem ser alvos de phishing. Procure meios alternativos de comunicá-la para ter certeza do conteúdo enviado em caso de dúvidas.
Dica 5 – Autenticação
Além de você prestar atenção nas mensagens que são entregues nós também precisamos ter uma noção básica do nosso nível do segurança e como nossos aplicativos e ferramentas fazem essa gestão. Então além de adotar boas práticas em relação a segurança também precisamos ter alguns cuidados:
- Verifique se o aplicativo ou o serviço web fornece duplo fator de autenticação e ative este recurso. Esta será uma camada de segurança que dificultará, e muito, a ação de um cibercriminoso adentrar em seu acesso;
- Troque suas senhas periodicamente e torne esse procedimento como uma “rotina”;
- Remova seu cadastro de serviços não utilizados. Utilize o “Just Delete Me” como auxílio de exclusão de contas. O site fornece procedimentos e níveis de dificuldades para efetuar as devidas etapas em caso de dúvidas.
Dica 6 – Procedimentos
- Utilize sempre uma ferramenta Antivírus/Firewall e invista se necessário. A AV-Test e AV Comparatives apresentam dados de testes realizados pelas companhias de segurança e isso pode te ajudar a escolher a melhor solução;
- Mantenha seus navegadores sempre atualizados e limpe os dados periodicamente. Evite que cibercriminosos utilizem dados armazenados nos navegadores para roubo de sessão ativa em algum site;
- Baixe e utilize aquilo que for realmente necessário e de fontes confiáveis, tanto em seu desktop quanto na sua navegação mobile;
- Utilize complementos nos navegadores (apresentamos alguns na dica 7). Para dispositivos móveis, prefira o uso do navegador Opera ou Brave pois possuem bloqueador de anúncios nativos.
Dica 7 – Complementos para navegadores
Separamos algumas ferramentas para que você use em seu navegador de preferência para melhorar sua segurança.
- HTTPS Everywhere – Force sites a utilizar protocolo seguro (de HTTP para HTTPS) e impeça o acesso às páginas em caso de protocolo inseguro;
- Privacy Badger – Evite que rastreadores detectem seu modo de navegação e te ofereça propagandas baseado em seu uso;
- Disconnect – Bloqueador de rastreadores (também bloqueia rastreadores de rede social) – pode ser utilizado como alternativa ou em conjunto ao “Privacy Badger”;
- AdGuard – Ferramenta indispensável e poderosa para bloquear anúncios e páginas de phishing;
- Malwarebytes Browser Guard – Ferramenta contra páginas de phishing, malware e bloqueador de anúncios. Recomenda-se o seu uso com “AdGuard”;
- Netcraft – Identifique páginas de phishing baseado na reputação. A ferramenta possibilita enviar informações colaborativas e ajudar a comunidade a se proteger contra páginas maliciosas;
- LastPass – Utilize um gerenciador de senhas e acesse suas contas pelo cofre. Evite salvar suas senhas no navegador e digitar em campos de senha.
Dica 8 – Serviços de e-mails temporários
Caso você precise criar um e-mail temporário separamos duas ferramentas:
- Mohmal: https://www.mohmal.com/pt
- Temp Mail: https://temp-mail.org/pt/
Mas muita atenção: evite o uso de e-mails temporários para recebimento de dados sensíveis.
Essas dicas dificultam ou anulam ações de cibercriminosos, permitindo uma experiência de navegação mais fluída.
Lembrando que vulnerabilidades sempre existirão, mas adotar boas práticas, ter uma boa conscientização da segurança dos seus dados e o compartilhamento de conhecimento trarão somente benefícios a todos que desejam navegar com segurança.
Muito bom artigo, exemplos práticos e esclarecedores.
Ressalto também que com o aumento do trabalho home-office, a tendência é que os ataques também mirem em aplicações como WhatsApp, Messenger e videoconferências.
Não é de hoje que os hackers tentam tirar proveito de situações catastróficas para fazer vítimas. Sites falsos para tentar explorar pessoas que precisam de apoio financeiro ou páginas falsas de aconselhamento médico, são apenas alguns exemplos.
Importante também ficarem atentos aos cancelamentos de eventos, pois podem gerar novas oportunidades, com e-mails divulgando notícias falsas ou oferecendo supostos reembolsos, ou ainda fazendo com que as vítimas entreguem informações de cartão de crédito ou credenciais.
Para as empresas, especialmente neste período em que muitos negócios estão estimulando o home office, vai ser fundamental reforçar o sistema de gestão da segurança da informação para evitar esse tipo de ameaça, garantindo a proteção do acesso remoto.