Permanecer em segurança contra ataques de phishing

By January 20, 2016 Sem categoria No Comments

Permanecer em segurança contra ataques de phishing Anti-Phishing Working Group (Grupo de Trabalho Anti-Pishing) registou um aumento de 18% de denúncias no último trimestre de 2014, e os especialistas em segurança preveem que continue a aumentar à medida que avançamos em 2016.

O phishing continua a ser uma tática popular de roubo de informação confidencial, como palavras-passe, códigos de segurança e números de cartões de crédito, bem como para esconder vírus em dispositivos pessoais e nos sistemas das empresas. Até mesmo uma conta LastPass pode ser alvo de um ataque de phishing. A proteção contra estes ataques torna-se mais eficiente mediante o uso de software de deteção e de uma maior preparação individual como primeira linha de defesa ao ataque.

Aqui fica como o LastPass luta contra o phishing, o que pode fazer para incrementar as capacidades de deteção de phishing e como proteger a sua informação mais sensível quando for apanhado desprevenido.

O que é o phishing?

Os ataques de phishing assumem muitas formas. Existem os emails, que usam a imagem do seu banco e solicitam confirmação de dados da sua conta bancária. Há ainda, a receção de faturas falsas, solicitando que faça o download do documento em anexo para confirmar uma compra. Podem ainda surgir sob a forma de anúncios maliciosos ou ligações a redes sociais. Os atacantes podem chegar ao ponto de o direcionar para uma página de login, que é um clone de um website de confiança, por si bem conhecido e usado.

O spear-phishing é ainda mais personalizado. Os atacantes enviam-lhe emails fazendo-se passar por um colega, patrão ou até mesmo pelo Departamento de Informática. Fazem com que o pedido pareça legítimo, usando o que sabem sobre si para solicitar mais informação ou levá-lo a fazer o download de um ficheiro malicioso ou até mesmo a mandar-lhes dinheiro.

Como detetar ataques de phishing

Muitos ataques de phishing são de deteção simples e fácil. No entanto, alguns são muito mais sofisticados. Assim, é necessária uma dose de ceticismo saudável para identificar emails, ligações e notificações suspeitas. Eis como detetar um ataque phishing básico:

  • Verifique o endereço URL: Repare na barra de endereço do website que abriu ou passe com o rato sobre a ligação para ver o endereço no browser e assim confirmar se é fiável ou se se trata de um impostor, antes de o abrir. Por exemplo, com o LastPass verá sempre https://lastpass.comou https://subdomain.lastpass.com. No entanto, um endereço phishing poderá ser algo como http://lastpass.otherdomain.com. Neste caso, o domínio é, na verdade, “outrodomínio.com” e deve ser evitado.
    Image credit: Lifehacker

    Image credit: Lifehacker

  • Verifique a quem está endereçado: Seja cético no que diz respeito a emails enviados para “Caro Cliente” ou sem qualquer saudação. Atualmente, muitas empresas dirigem-se a si pelo seu nome próprio. Contudo, os ataques de spear-phishing têm-no a si como alvo específico, por isso, não se trata de uma falha de segurança.
  • Escreva o endereço: Se não se sente seguro, abra simplesmente um novo separador ou janela no seu browser, escreva diretamente o endereço URL (ou inicie a partir do seu gestor de palavras-passe) e terá a certeza de que entrará num site legítimo.Screen Shot 2016-01-20 at 9.14.38 AM (2)
  • Verifique se o seu gestor de palavra-passe reconhece o login: LastPass pode ajudá-lo a proteger-se de phishing não preenchendo automaticamente o seu login num site falso. Se o domínio não corresponder ao que o LastPass tem armazenado, não preencherá os seus dados. Se tal acontecer, verifique o endereço URL.
  • Fique atento sempre que exija rapidez: Quando lhe pedem para agir com rapidez podem estar a tentar manipulá-lo para que faça algo sem pensar primeiro.
  • Questione-se: Pedi a esta pessoa que me enviasse algum ficheiro? Isto é algo que não é caraterístico desta pessoa? Em caso de dúvida, permaneça cético e simplesmente pergunte.
  • Verifique o HTTPS:// e o cadeadok: Quando visitar um website, através de uma ligação segura, verifique sempre o endereço URL através da qual está ligado via HTTPS e se o cadeado está presente, o que significa que o website foi verificado por uma terceira entidade de segurança. Screen Shot 2016-01-20 at 9.16.41 AM (2)

Quando o phishing tem como alvo o seu gestor de palavras-passe

Os ataques de phishing já não se limitam a emails, anúncios, ou ligações maliciosas nas redes sociais. Alguns ataques de phishing podem mesmo ter como alvo as extensões que usa no browser, incluindo personalizar o seu gestor de palavras-passe.

Por exemplo, para um website malicioso é possível imitar a extensão do seu apresentando notificações que requerem informação, como o seu nome de utilizador, palavra-passe e códigos de autenticação de dois dígitos. Pode ser difícil saber se as notificações têm, de facto, como origem o website malicioso ou a extensão do seu browser.

How LastPass Protects You from Phishing Attacks

  • Avisando que a palavra-passe master foi inserida numa página não-LastPasse: o LastPass apresenta um pop up de aviso antes de submeter a sua palavra-passe master à página, sempre que tentar digitar a sua palavra-passe master do LastPass numa página não LastPass. Saberá imediatamente que a sua palavra-passe master pode estar comprometida e poderá alterá-la
  • Requer verificação para logins de localizações ou dispositivos desconhecidos: o LastPass tem um procedimento de verificação que é exigido sempre que tenta aceder a partir de uma localização ou dispositivo desconhecido. Assim, se inseriu involuntariamente a sua palavra-passe master e a chave de autenticação de dois dígitos, qualquer tentativa de uso desses dados por parte do atacante sairá frustrada através das etapas de verificação por email. O atacante terá de conseguir aceder também à sua conta de email, o que poderá ser igualmente barrado mediante o respetivo código de autenticação da sua conta. Se aparecer um pedido de verificação que não iniciou, pode ignorá-lo em segurança e modificar a sua palavra-passe master nas Definições de Conta de LastPass Vault
  • Prevenindo o logoff: Aspesar de uma página maliciosa poder apresentar uma notificação LastPass falsa, será avisado que esteve desligado e que é necessário fazer login novamente; deve verificar se ainda está ligado à extensão do LastPass e fazer login apenas através da referida extensão.

Além destas medidas de segurança, estamos também a encorajar a Google e outros browsers, no sentido de nos ajudarem a fornecer uma maior proteção aos utilizadores, oferecendo formas seguras de apresentar notificações fora da janela de exibição do browser.

Como pode ajudar a proteger a sua conta LastPass

No topo das medidas de segurança que temos instaladas, pode também ter o seu cadeado seguro com as melhores práticas seguintes:

  • Fazer sempre login através da extensão de LastPass. A forma mais segura de fazer login no LastPass é clicando no ícone da extensão na barra do seu browser.  Screen Shot 2016-01-20 at 9.24.22 AM (2)
  • Nunca reutilize a sua palavra-passe master. Reutilizar a sua palavra-passe master aumenta o risco de alguém roubar o seu cadeado. Use sempre uma palavra-passe master única para o LastPass, e preste atenção à advertência se digitar a sua palavra-passe master noutro lugar que não seja para fazer login no LastPass.
  • Cuidado com o website de onde faz o download do LastPass. Faça o download do LastPass apenas a partir do website LastPass.com ou a partir das add-ons stores fornecidas pelo seu browser ou dispositivo. Não faça o download a partir de outros sites, e até mesmo nas add-ons stores, seja cuidadoso e verifique, pois existem produtos semelhantes ao LastPass, mas que, na verdade, são de outros fornecedores e não estão avaliados.
  • Nunca partilhe a sua palavra-passe master. A equipa do LastPass nunca lhe pedirá a sua palavra-passe master. Tenha cuidado com alguém que afirme ser funcionário da LastPass e que lhe peça a sua palavra-passe master. Nunca transmita a sua palavra-passe master. Jamais.
  • Adicione uma chave de autenticação de dois dígitos. A elevada segurança assenta em várias camadas que minimizam o risco. A chave de autenticação de dois dígitos requer mais uma informação para aceder à sua conta. Embora não seja uma solução rápida e fácil, é mais uma forma de proteger a sua conta.
  • Proteja o seu email com uma palavra-passe forte e uma chave de autenticação de dois dígitos. A sua conta de email detém a chave do seu reino. Proteja-a como se a sua vida digital dependesse dela, porque pode mesmo depender. O LastPass pode gerar uma palavra-passe forte para o seu email, mas “pronunciável”, que poderá memorizar, se preferir. E adicione sempre uma chave de autenticação de dois dígitos, se o seu fornecedor de email oferecer essa possibilidade.

Manter a segurança deve ser um compromisso contínuo de todas as partes. Assim, a LastPass compromete-se a aperfeiçoar os seus produtos, quando surgirem novas ameaças, comprometendo-se ainda a trabalhar com a comunidade de pesquisa da segurança no sentido de o fortalecer. Nós, como utilizadores, temos de continuar empenhados em seguir as melhores práticas de segurança.