Você já usa a internet há um bom tempo, então é bem provável que saiba como reconhecer um e-mail suspeito. Talvez você consiga identificar o infame golpe do príncipe nigeriano, mas ache mais complicado detectar os ataques de phishing mais sofisticados que aparecem em seu caminho.
Ataques de phishing, smishing (mensagens de texto ou SMS) e vishing (chamadas de voz) estão aumentando vertiginosamente e sem sinais de desaceleração. A mudança repentina para o trabalho remoto no ano passado foi como um chamado à ação para os cibercriminosos. Por quê? Porque esses elementos mal-intencionados esperam que a segurança domiciliar não seja tão robusta quanto os controles de segurança da sua organização — e uma segurança mais fraca é sinônimo de acesso mais fácil aos seus dados mais sigilosos.
Não seja uma vítima. Nesta semana do Mês da Conscientização em Cibersegurança, analisaremos algumas dicas sobre phishing que podem ajudar você a se proteger, seja em casa ou no trabalho.
Analise com atenção as mensagens de todos os canais
Embora o e-mail seja o principal vetor de golpes, os malfeitores também estão se familiarizando bastante com outros métodos. Links de phishing, sites de coleta de credenciais e outras formas de engenharia social podem chegar por um SMS suspeito, um mensagem estranha em sua rede social ou um telefonema esquisito para o seu número pessoal ou comercial.
Para ficar um passo à frente, é importante ter o mesmo cuidado e ceticismo, independentemente da origem da mensagem.
Crie o hábito de conferir o endereço de e-mail do remetente
Pessoas mal-intencionadas costumam imitar um endereço de e-mail para, à primeira vista, parecer quase idêntico ao do remetente falsificado. Verifique se o nome de domínio (o texto após o símbolo “@” em um endereço de e-mail) corresponde ao que você esperaria do remetente. O que talvez pareça <anasilva@
seubanco.com> pode, na verdade, ser <suspeito@empresa
duvidosa.com
>.
Dica de ouro
: caso receba uma mensagem de texto suspeita de um número com apenas alguns dígitos, é um sinal de que a mensagem foi enviada por um e-mail automatizado e pode ser um golpe. Tenha cuidado com links enviados em textos de phishing também, pois eles podem infectar seu dispositivo móvel.
Confie na sua intuição
Os cibercriminosos buscam maneiras de explorar a confiança que você já tem em empresas, amigos, familiares e até mesmo colegas de trabalho de boa reputação. Se você receber uma mensagem de alguém que você conhece e confia, mas ela soe estranha ou tenha um "pedido urgente", pode ser que a conta
dessa pessoa tenha sido hackeada e alguém esteja usando as credenciais de forma fraudulenta para enviar mensagens.
Confirme a veracidade da mensagem entrando em contato diretamente com a pessoa, usando outra forma de comunicação confiável, antes de fazer qualquer coisa. Se a segurança da conta de um colega de trabalho for motivo de preocupação, entre em contato com as equipes de segurança ou TI para obter ajuda.
Seu gerenciador de senhas pode ajudar a identificar sites de phishing
Sabemos que o uso de um gerenciador de senhas para gerar e armazenar senhas exclusivas e com muitos caracteres é essencial para uma postura de segurança robusta. Mas você sabia que seu gerenciador de senhas também pode ajudar a sinalizar sites de phishing para você?
Digamos que você receba um e-mail de phishing bem elaborado que parece ter sido enviado pelo seu banco. Ele aparenta ser totalmente legítimo, então você clica no link do e-mail, é redirecionado para o que parece ser o site do seu banco e recebe uma solicitação de credenciais para fazer login. Se seu gerenciador de senhas não preencher os campos que ele costuma preencher automaticamente nesse site, é sinal de que seu gerenciador de senhas não reconhece o URL, e você pode estar em um site de phishing. Prestar atenção a esse detalhe pode fazer a diferença entre entregar ou não as credenciais da sua conta em uma bandeja de prata para um hacker.
Tome cuidado para não aceitar cegamente solicitações de autenticação multifator (MFA)
A MFA é uma segunda camada de segurança que estabelece uma etapa adicional para verificar sua identidade. Por exemplo, talvez você tenha tentado fazer login em uma conta pessoal de um banco online. Para garantir que é você quem está tentando fazer login, e não alguém usando suas credenciais de forma maliciosa, será preciso inserir seu nome de usuário e senha, seguidos de outra forma de verificação: um código enviado para o número de telefone do dispositivo móvel associado à sua conta ou de um aplicativo autenticador.
Caso receba uma solicitação de MFA, mas não tenha se conectado ao aplicativo ou site que a solicitou, ignore ou negue imediatamente a solicitação e altere sua senha para evitar novas tentativas de acesso à sua conta.
Além dessas dicas sobre phishing, saiba como o LastPass
protege sua vida digital.
