E-mails falsos contêm diversos objetivos maliciosos a fim de monitorar e extrair informações de suas vítimas. A seguir, estão dez técnicas que nós, especialistas em autenticidade da informação (investigadores digitais) e segurança da informação, utilizamos para identificar um e-mail falso. São sugestões como verificar o remetente, sempre desconfiar de links enviados por desconhecidos, suspeitar de mensagens com erros de português, duvidar de recompensas rápidas e fáceis, entre outras. Confira!
Apesar de não ser uma prática padrão entre os usuários convencionais, muitos atacantes se beneficiam da falta de verificação dos remetentes para praticar os seus delitos. Recomendamos sempre observar se o e-mail foi enviado de uma pessoa conhecida ou se estava esperando aquele tipo de e-mail. Para Paulo Masili, CFO da Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD), geralmente e-mails fakes são de nomes estrangeiros e sua estrutura contém letras e números. Exemplo: james083456@xpto.com.eua.
Um dos mais tradicionais tipos de ataques vem por links inseridos no corpo do e-mail, que podem trazer arquivos maliciosos para o seu computador, roubar seus dados e até comprometer toda a rede da sua empresa. É o que aponta o especialista Angelo Souza, tecnólogo em defesa cibernética e mestrando em business administration na Florida Christian University. Nunca clique em links de e-mails desconhecidos!
Uma prática muito comum dos invasores é utilizar e-mails temporários com o objetivo de enganar as suas vítimas, tornando os atacantes quase irrastreáveis. A técnica basicamente consiste em criar um e-mail temporário. O criminoso virtual insere os códigos e links maliciosos e os envia para a vítima, sendo que a rastreabilidade se torna muito difícil e o seu sucesso quase garantido.
Sabe aquele ditado: “Quando a esmola é demais o santo desconfia”? Pois bem, quando é prometido valores muito acima da média, recompensa rápida e fácil, “não precisa pagar nada”, “irei revelar um segredo que alguma ‘instituição’ não quer que você saiba”, “esse método desenvolvido por mim irá mudar a sua vida” ou similares, desconfie e não clique no link. Na psicologia, chamamos de gatilho do imediatismo e recompensas fáceis. Nestes casos (entre outros), existe um forte indício de que se trata de uma fraude, e o produto é você — quando me refiro a você, quero dizer os seus dados e suas informações sigilosas. Roubo de dados pessoais, contaminação da máquina (vírus), monitoração das atividades da vítima são somente o começo de uma grande dor de cabeça.
Confirme com o remetente, por outro canal de comunicação, caso seja possível, os anexos enviados. E nunca os abra sem realizar uma verificação antes, pois é um meio tradicional de ataque cibernético.
Parece meio óbvio que esse tipo de e-mail é realizado por pessoas mal-intencionadas, porém existe um alto índice de vítimas. E-mails que, por exemplo, pedem para você preencher alguma ficha anexa ou só responder com o seu nome, dados bancários ou possível cadastro para venda. Jamais envie dados pessoais por e-mail sem estar ciente de quem solicitou. Se alguma empresa faz contato com você, é ela quem tem que provar que te conhece, não o contrário!
Muitos ataques utilizam de temas sensíveis para ativar o emocional das vítimas, usando temas como doenças, abandono, temas atuais como o conflito na Ucrânia, questões diplomáticas em Taiwan, Covid-19, entre outros, com o objetivo de coletar valores e até mesmos dados pessoais para ações maliciosas. Um exemplo típico é usar o conflito recente envolvendo a Ucrânia (um texto muito triste com imagens do conflito e pedindo dinheiro para ajudar as vítimas, utilizando nomes de pessoas e instituições famosas que supostamente apoiam a causa).
Os atacantes enviam boletos falsos por e-mail com o objetivo de enganar as vítimas com cobranças indevidas. Por urgência, ou por medo do corte do serviço, muitas pessoas ou departamentos de contas a pagar acabam efetuando tal pagamento, acarretando prejuízos financeiros diretos. Agora com a presença do Pix, torna-se mais difícil o rastreio ou o bloqueio da ação.
Falta de coerência (harmonia entre dois fatos ou duas ideias), coesão (ligação entre elementos da estrutura linguística de um texto), erros de português… É quase evidente que o e-mail recebido pela vítima é de procedência maliciosa.
Esse tipo de ataque é utilizado o gatilho da escassez e imediatismos, induzindo as vítimas ao erro. Esta é uma técnica de engenharia social que muitos cibercriminosos utilizam para que a vítima tome decisões emocionais por pressão, sendo influenciadas ao erro.
Desconfie de e-mails em que você recebe no spam. Muitos deles foram já classificados pelo seu provedor de e-mail como possíveis remetentes de potencial atacantes ou de má reputação. É prudente colocar a classificação de e-mail para aumentar a confidenciabilidade. Muitos provedores de e-mail fornecem esse tipo de recurso tanto para o emissor quanto para o remetente, com o objetivo de aumentar a confidenciabilidade e a integridade das informações trafegadas.
Lembre-se: se o e-mail contém ou te solicita seus dados pessoais, a empresa em questão pode estar ferindo a Lei Geral de Proteção de Dados Pessoais (LGPD). Os usuários devem ter a garantia que seus dados estejam sendo manipulados com exatidão conforme o Art. 6º, V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento. Ou seja, se qualquer empresa te contatar por e-mail, questione: “Como eles tiveram acesso ao meu e-mail?”; “quando eu dei a autorização para eles me enviarem esse tipo de e-mail?” (além de outras questões). Veja o que os brasileiros devem exigir das empresas quando o assunto é a proteção de dados pessoais. Exija e use sempre a LGPD!
Quer se aprofundar no assunto, tem alguma dúvida, comentário ou quer compartilhar sua experiência nesse tema? Escreva para mim no Instagram: @davisalvesphd.
*Esse texto não reflete, necessariamente, a opinião da Jovem Pan.
Início