Proteja-se de ataques de phishing

Você acha que phishing é um ataque ultrapassado? Pense bem. Mesmo que os filtros de spams dos provedores de e-mail estejam mais inteligentes, o Anti-Phishing Working Group informou um aumento de 18% apenas em relatos de phishing no último trimestre de 2014. Especialistas em segurança preveem que esse número continuará aumentando em 2016.

O phishing continua sendo uma tática popular para roubar informações confidenciais como senhas, códigos de segurança e números de cartão de crédito, além de servir para introduzir malwares em dispositivos pessoas e sistemas corporativos. Até mesmo uma conta LastPass pode ser alvo de um ataque de phishing. A primeira linha de defesa contra esse tipo de ataque deve consistir em uma detecção mais inteligente do software utilizado e uma melhor preparação individual.

A seguir, você descobrirá como o LastPass está combatendo o phishing, o que fazer para aumentar sua capacidade de detectar os ataques e como proteger suas informações mais confidenciais quando for pego desprevenido.

O que é phishing?

Os ataques de phishing vêm nas mais diferentes formas. Existem os remetentes de e-mail que se fazem passar pelo seu banco e solicitam confirmações de atividade bancária. Também há mensagens com faturas falsas que pedem que você faça download do documento anexo para confirmar sua compra. Pode vir inclusive na forma de anúncios maliciosos ou links nas redes sociais. Os invasores podem até mesmo direcionar você para uma página de login praticamente idêntica a um site conhecido e confiável.

O spear-phishing é ainda mais pessoal. Os invasores enviarão e-mails que parecem vir de um colega de trabalho, do seu chefe ou até do departamento de TI. Eles fazem a solicitação parecer legítima usando informações sobre você que já conhecem para pedir mais dados, para que você faça download de um arquivo malicioso ou transfira uma quantia em dinheiro.

Como identificar ataques de phishing?

Muitos ataques de phishing são simples e fáceis de detectar, mas alguns são muito mais sofisticados. Por isso, é preciso uma boa dose de ceticismo para identificar e-mails, links e notificações suspeitas. Veja como identificar ataques de phishing:

  • Observe o destinatário do e-mail: desconfie de e-mails enviados para “Prezado cliente” ou que não trazem uma saudação. Hoje em dia, a maioria das empresas refere-se ao cliente pelo nome. Entretanto, os ataques de spear-phishing costumam ser direcionados para uma pessoa em particular, por isso, esse método não é à prova de falhas.
  • Abra o site você mesmo: se estiver em dúvida, abra uma nova guia ou janela no navegador e digite o URL diretamente (ou a partir do seu gerenciador de senhas). Assim, você saberá que está acessando um site autêntico.Screen Shot 2016-01-20 at 9.14.38 AM (2)
  • Verifique se o gerenciador de senhas está exibindo um login correspondente: LastPass pode ajudar você a proteger-se dos ataques de phishing com o não preenchimento do seu login em um site falso. Quando o domínio não for o mesmo armazenado no LastPass, esses dados não serem preenchidos. Se isso acontecer, verifique o URL.
  • Vá com calma se a mensagem sugerir urgência: uma mensagem que leva o leitor a agir rapidamente pode estar tentando manipulá-lo para fazer algo sem pensar antes.
  • Pergunte-se: Eu pedi para essa pessoa me envia um anexo? Essa é uma atitude que não combina com o comportamento do remetente? Se ficar em dúvida, desconfie e pergunte.
  • Procure o protocolo HTTPS:// e o cadeado: sempre que estiver navegando em um site, verifique na barra de endereços se essa é uma conexão segura por HTTPS e se o ícone de cadeado está presente, o que quer dizer que o site foi verificado por uma empresa de segurança terceirizada. Screen Shot 2016-01-20 at 9.16.41 AM (2)

Quando seu gerenciador de senhas é alvo de phishing

Os ataques de phishing não estão mais limitados a e-mails e anúncios maliciosos e links nas redes sociais. Alguns ataques de phishing podem tentar atingir até mesmo as extensões usadas no navegador, inclusive simulando a ação de um gerenciador de senhas.

Por exemplo, é possível que um site malicioso simule uma extensão do seu navegador mostrando notificações que pedem dados como nome de usuário, senha e código de autenticação de dois fatores. Pode ser difícil perceber se as notificações estão realmente vindo de um site malicioso e não da extensão do navegador.

Como o LastPass protege você dos ataques de phishing?

  • Ao avisar que a senha mestre foi inserida em uma página não reconhecida pelo LastPass: o LastPass exibe um pop-up de aviso antes mesmo de você enviar sua senha mestre para um site, sempre que você tentar inserir sua senha mestre do LastPass em uma página não reconhecida pelo gerenciador de senhas. Você saberá imediatamente que sua senha mestre pode estar comprometida e poderá alterá-la.
  • Ao exigir verificação para logins em locais ou dispositivos desconhecidos: o LastPass exige um processo de verificação sempre que você tentar fazer login em um local ou dispositivo desconhecido. Assim, se você involuntariamente inserir sua senha mestre e o código de autenticação de dois fatores, qualquer tentativa feita pelo invasor de usar os dados será impedida pelas etapas de verificação por e-mail. O invasor precisará também obter acesso à sua conta de e-mail, o que pode evitado com o uso de autenticação de dois fatores nessa conta. Caso perceba uma solicitação de verificação que não foi iniciada por você, é possível ignorá-la com segurança e atualizar a senha mestre nas Configurações da conta do Cofre LastPass.
  • Ao evitar o logoff: um site malicioso pode exibir uma notificação falsa do LastPass, informando que você foi desconectado e precisa fazer login novamente. Verifique se ainda está conectado na extensão do LastPass e faça login apenas por meio dela.

Com o objetivo de proteger ainda mais os usuários, além dessas medidas de proteção, também encorajamos o Google e outros navegadores a oferecer maneiras seguras de exibir notificações fora da janela do navegador.

On top of theComo você pode ajudar a proteger sua conta LastPass?

Além das medidas de segurança existentes, você também pode garantir a segurança do seu cofre com as seguintes práticas recomendadas:

  • Sempre faça login pela extensão do LastPass. A maneira mais segura de fazer login no LastPass é clicar no ícone da extensão na barra de ferramentas do seu navegador.  Screen Shot 2016-01-20 at 9.24.22 AM (2)
  • Não reutilize a senha mestre. Reutilizar a senha mestre aumenta o risco de alguém roubar seu cofre. Sempre utilize uma senha mestre exclusiva para o LastPass e preste atenção ao nosso aviso quando digitá-la em qualquer outra situação que não seja para fazer login no LastPass.
  • Tome cuidado com a origem do download do LastPass. Faça o download do LastPass somente no site LastPass.com ou nas lojas de complementos do seu navegador ou dispositivo. Nunca utilize sites de downloads de terceiros e, mesmo nas lojas de complementos, desconfie de resultados que podem parecer o LastPass, mas que pertencem a um desenvolvedor diferente e não apresentam avaliações.
  • Nunca compartilhe sua senha mestre. A equipe do LastPass nunca pedirá sua senha mestre. Suspeite de pessoas que alegam ser da equipe do LastPass e pedem sua senha mestre. Nunca divulgue sua senha.
  • Inclua uma autenticação de dois fatores. Segurança adequada tem a ver com camadas de proteção que diminuem o risco.A autenticação de dois fatores exige mais informações antes de permitir o acesso à sua conta. Por mais que não seja uma solução milagrosa, essa etapa contribui bastante para proteger sua conta.
  • • Proteja seu e-mail com uma senha segura e com a autenticação de dois fatores. Sua conta de e-mail pode ser a chave que dá acesso à sua privacidade. Proteja-a como se a sua vida digital dependesse dela, porque é provável que dependa mesmo. Se você preferir, o LastPass pode gerar uma senha segura mas “pronunciável” para seu e-mail, que ainda poderá ser memorizada. Sempre ative a autenticação de dois fatores se o servidor de e-mails oferecer essa funcionalidade.

Garantir a segurança online deve ser um compromisso permanente de todas as partes. Com o surgimento de novas ameaças, a LastPass está comprometida com a melhoria dos produtos, trabalhando com a comunidade de pesquisadores de segurança para fortalecê-los. Nós, usuários, também precisamos continuar com o compromisso de seguir as práticas recomendadas de segurança.