As mensagens de correio eletrónico fraudulentas são uma das técnicas de ciberataque mais utilizadas atualmente, com uma taxa de sucesso superior a 90% na obtenção de informações confidenciais ou detalhes de pagamento. É provável que conheças este tipo de fraude como “phishing”. Esta palavra deriva da palavra inglesa “fishing” (pesca) e está sempre relacionada com a captura ativa de dados.
O cibercriminoso envia aleatoriamente a diferentes utilizadores, profissionais e particulares, comunicações por correio eletrónico falsas ou fraudulentas. Nestas comunicações, o mais comum é fazer-se passar pela identidade de um contacto de confiança, quer seja alguém próximo (chefe, familiar, amigo) ou uma entidade importante (banco, administração pública, companhia de seguros, empresa de serviços públicos).
Pode também estar relacionado com falsas verificações de início de sessão em plataformas (por exemplo, Amazon, Facebook, Netflix, etc.) ou pedidos de alteração de palavra-passe. Isto garante que o Utilizador que recebe a mensagem de correio eletrónico não suspeita que é falsa e comete um erro, como descarregar um ficheiro, clicar numa ligação, fornecer dados ou iniciar sessão através de um sítio Web falso.
Isto, por sua vez, pode levar à instalação disfarçada de um vírus ou malware, ou seja, software malicioso que danifica o computador e a informação, ou à recolha de contactos, palavras-passe e quaisquer outros dados a que o cibercriminoso queira aceder.
Como é que podemos evitar isto?
- A regra de ouro continua a ser desconfiar de qualquer comunicação invulgar e “verificar duas vezes”. Para ter a certeza, devemos contactar o suposto remetente (o nosso chefe, familiar, banco, etc.) por outros meios oficiais, para perguntar se o correio recebido é verdadeiro.
- Não efetuar nenhuma das acções acima referidas antes de as ter verificado. Isto significa não descarregar ficheiros ou imagens, não clicar em ligações e, muito menos, introduzir dados pessoais ou palavras-passe em sítios Web ligados.
- Podemos verificar as ligações sem clicar nelas e, assim, evitar introduzir dados num sítio Web falso. Isto pode ser feito movendo o rato sobre a ligação, como se costuma dizer, sem clicar diretamente. Ao fazê-lo, verá que aparecerá uma mensagem com o nome original do sítio para o qual a ligação redirecciona e poderá verificar se se trata de um sítio oficial ou de um sítio fraudulento.
- Se suspeitar do conteúdo de uma comunicação, não responda à mensagem eletrónica. Isto pode alertar o cibercriminoso e este pode utilizar meios alternativos para nos enganar novamente (como o Vishing, chamadas telefónicas fraudulentas, ou o Smishing, mensagens de texto ou de Whatsapp falsas).
- Não se deve simplesmente omitir ou apagar. Se tivermos verificado o que precede e, em qualquer dos pontos, tivermos detectado a falsidade da comunicação, não devemos simplesmente apagá-la. Temos de notificar este incidente à equipa de apoio informático no local de trabalho e, a nível pessoal, ao fornecedor tecnológico do serviço de correio eletrónico (Microsoft, Google, etc.), para que este possa analisá-lo, resolvê-lo e podermos continuar a utilizar este serviço de forma segura, tanto para nós como para quaisquer outros Utilizadores.