Hoje, com o rápido desenvolvimento e distribuição das vacinas contra a COVID, muitos americanos estão a ir online e a partilhar informações pessoais para entrar em listas de espera e marcar consultas antes de as vagas se esgotarem. Os burlões estão a alterar as suas táticas para tirar partido desta agitação. À medida que verificamos ansiosamente os nossos e-mails em busca de atualizações e confirmações sobre vacinas, pode ser difícil distinguir entre um e-mail legítimo e uma tentativa de phishing.

A melhor forma de se proteger de agentes maliciosos é aprender a reconhecer os sinais de alerta. Conhecer os sinais de alerta com antecedência tornará menos provável que clique nesse e-mail convincente. Os membros do conselho da National Cyber Security Alliance, Cofense e Mimecast, capturaram exemplos reais de tentativas de phishing, mostrados abaixo. Teste os seus conhecimentos e veja se consegue encontrar os sinais de uma burla nestas imagens.

Esta captura de ecrã, capturada por Mimecast, mostra uma tentativa típica de phishing. Quantos sinais de alerta consegue encontrar? Continue a descer para ver se os encontrou todos.

Vários sinais de alerta de uma tentativa de phishing podem ser encontrados neste e-mail:

1. Assunto – Note o uso de todas as letras maiúsculas e pontos de exclamação. A redação e o formato são usados para criar uma sensação de urgência, tentando levá-lo a clicar no e-mail em pânico, rapidamente e sem pensar.

2. Imitação de uma fonte de confiança – Esta tentativa de phishing, provavelmente enviada aos funcionários de uma empresa, está a fingir vir de um departamento de recursos humanos. Os agentes maliciosos fingem ser pessoas ou grupos que você já pode conhecer para ganhar a sua confiança. Se não tiver a certeza de que um e-mail veio realmente de alguém, entre em contacto ou telefone diretamente a essa pessoa para verificar novamente.

3. Erros e ortografia incorreta – Gramática fraca pode ser vista em todo o corpo do e-mail, bem como capitalização aleatória de certas palavras, como “Vaccinated”. Esperar-se-ia que um e-mail vindo do departamento de RH de uma organização usasse redação e gramática adequadas. A combinação de formatação estranha, letras maiúsculas e gramática invulgar faz com que este e-mail pareça “suspeito”.

4. Hiperligações – O conteúdo do e-mail está a tentar levar o destinatário a clicar na hiperligação no final do e-mail. Tenha sempre cuidado ao clicar em links (e anexos) em e-mails, pois podem levá-lo a um site fraudulento.

Mimecast sugere as seguintes dicas para evitar burlas:

1. Beja proativo. Vá diretamente ao site do seu governo local/hospital para verificar os factos e obter a informação correta.

2. Desconfie de e-mails, chamadas telefónicas ou mensagens de pessoas que não conhece, que tentam chamar a sua atenção com atualizações sobre as vacinas.

3. Verifique sempre os URLs. Os hackers estão a criar sites que parecem instituições de saúde oficiais e fornecedores de vacinas. Navegue diretamente para sites oficiais, como CDC.gov e o site oficial do seu estado/cidade.

4. Use palavras-passe fortes e únicas para todas as suas contas ao criar uma conta e use MFA/2FA sempre que possível.

5. Não se ligue a redes que não reconhece. Pesquise informações sobre vacinas na sua rede Wi-Fi doméstica segura, que deve estar protegida por uma palavra-passe forte.

6. Tenha cuidado redobrado se estiver a utilizar um dispositivo da empresa. Os agentes de ameaça procuram acesso à organização para a qual trabalha, com a intenção de roubar dados.

7. Certifique-se de que o seu dispositivo tem as atualizações e correções mais recentes.

8. Esteja atento a tentativas de vishing – Desconfie muito de qualquer chamada que lhe peça para partilhar informações de início de sessão por telefone. Uma boa regra para detetar tentativas de vishing e phishing é parar e perguntar a si próprio se estava à espera da chamada ou mensagem. Se não, contacte diretamente a empresa para verificar se a mensagem ou chamada é, de facto, real.

A tentativa de phishing abaixo, capturada por Cofense, é um pouco mais detalhada, mas ainda contém muitos sinais de alerta:

Sinais de alerta nesta tentativa de phishing:

1. Assunto – Novamente, note o uso de todas as letras maiúsculas e da frase “informação muito importante” tentando fazer com que o destinatário clique no e-mail sem pensar.

2. Link da sondagem – O URL está a imitar a popular plataforma de sondagens SurveyMonkey, mas note a ortografia incorreta e a ausência de um domínio de topo (a parte que normalmente segue o nome do domínio, como .com ou .org)

3. Hiperligação da sondagem – A caixa adjacente ao link aparece quando passa o rato sobre um URL. Passar o rato sobre um URL mostrar-lhe-á o verdadeiro destino da hiperligação. O destino pode não corresponder ao texto no e-mail, como se vê neste exemplo. Este é um grande sinal de alerta de que alguém está a tentar redirecioná-lo para um site inseguro.

4. Erros ortográficos e enganos – Esta tentativa de phishing tem uma gramática melhor do que a anterior, mas erros como “Survey’s” e a capitalização de “Today” mostram que algo no e-mail é “suspeito”.

5. Imitação de uma fonte de confiança – Novamente, este burlão finge ser um membro do departamento de recursos humanos de uma organização. No entanto, este remetente é um pouco mais detalhado do que o anterior. Incluiu um nome e título específicos: “Dawn, Director of Human Resources”, fazendo parecer mais provável que este e-mail venha de um remetente legítimo.

Muitos e-mails, mensagens de texto e chamadas telefónicas estão a usar mensagens mais sofisticadas, com sinais de alerta cada vez menos óbvios. Lembre-se de ler as mensagens com atenção. É sempre importante abrandar, verificar novamente o remetente e perguntar a si próprio se estava à espera da mensagem ou chamada em questão.

Confense sugere as seguintes dicas para se proteger contra o phishing:

• Valide a origem do e-mail com os sites oficiais do governo (por ex., CDC, WHO, ou os sites do departamento de saúde da sua cidade e estado).

• Se o remetente for alguém com quem normalmente interage mas a mensagem parecer ‘estranha’, valide-a através de outro canal (telefone, texto ou nova mensagem de e-mail). É possível que a conta dessa pessoa tenha sido comprometida.

• Nunca entregue as suas informações pessoais a fontes não confiáveis, incluindo o seu nome de utilizador e palavra-passe.

• Crie nomes de utilizador e palavras-passe únicos por site e / ou aplicação. Muitos sites e apps permitem agora criar um nome de utilizador que não seja o seu endereço de e-mail.

• Configure um cofre de palavras-passe para guardar todos estes acessos únicos. Crie o hábito de abrir o cofre sempre que estiver a criar um novo acesso para um site ou aplicação.

• Ative o Multifator (MFA ou 2FA) para qualquer site ou aplicação que tenha essa capacidade. Se as suas informações de início de sessão forem obtidas através de uma fuga de dados, isto é um nível adicional de proteção.

• Se for notificado de uma fuga de dados que afete as suas informações de início de sessão, altere-as imediatamente e atualize o seu cofre.

Recursos adicionais:

1. Episódio 4 de Sensibilização para a Segurança: Phishing e Ransomware, da NCSA, Adobe e Speechless Inc

2. Teste os seus conhecimentos sobre phishing, experimente o Quiz de Phishing da Google

3. Blogue e centro de recursos gratuitos da Cofense

4. Blogue e centro de recursos da Mimecast

   • Relatório da Mimecast, “O Ano do Distanciamento Social”, sobre os desafios de segurança do novo espaço de trabalho digital.