Início do conteúdo

Proteja-se de um dos maiores riscos à sua segurança: e-mails maliciosos

phishing

Fique por dentro desse assunto: “phishing” em inglês significa “pescaria”, prática muito utilizada por criminosos para descobrir quaisquer informações pessoais e dados de vítimas através de mensagens (especialmente e-mails) falsas. Os criminosos podem conseguir nomes de usuários e senhas de um site qualquer, como também são capazes obter dados de contas bancárias e cartões de crédito.  Para não cair em armadilhas como essa, fique atento às dicas a seguir [1].

Características para identificar um phishing:

  • Solicita dados pessoais confidenciais (senhas, dados bancários, etc);
  • Pede que instale atualizações ou efetue downloads de arquivos (geralmente anexados em e-mails ou disponíveis em um link);
  • Tenta convencer o usuário a clicar em um link malicioso (possivelmente uma cópia de um site verdadeiro), seja para download de arquivo (possível vírus), atualização de dados cadastrais (por exemplo, solicita usuário e senha de seu e-mail), ou até para comprometer a segurança do dispositivo explorando uma vulnerabilidade no navegador web;
  • Muitas vezes são mal escritos, com erros gramaticais e de grafia.

Já o SPAM, é o termo usado para se referir aos e-mails não solicitados, que geralmente são enviados para um grande número de pessoas. Quando este tipo de mensagem possui conteúdo exclusivamente comercial também é referenciado como UCE (Unsolicited Commercial E-mail) [2].

Características do SPAM:

  • Mensagem comercial, oferendo produtos ou serviços;
  • Diferentemente do phishing, não solicita informações como senhas ou dados sigilosos;
  • Podem estar relacionados com hábitos de navegação (pesquisas em sites de comparação de preços, cadastros e lojas, etc).

Como se proteger? [3]

  • Fique atento à mensagens recebidas em nome de alguma instituição que tentem induzi-lo a fornecer informações, instalar/executar programas ou clicar em links;
  • Questione-se por que instituições com as quais você não tem contato estão lhe enviando mensagens como se houvesse alguma relação prévia entre vocês (por exemplo, se você não tem conta em um determinado banco, não há porque recadastrar dados ou atualizar módulos de segurança);
  • Desconfie de mensagens que apelem demasiadamente para sua atenção e que, de alguma forma, o ameacem caso você não execute os procedimentos descritos. Exemplo comum deste caso são e-mails enviados informando sobre a desativação de sua conta de e-mail institucional (@ufpel.edu.br) caso não clique em determinado link;
  • Verifique o remetente do e-mail. Não considere que uma mensagem é confiável com base na confiança que você deposita em seu remetente pois ela pode ter sido enviada de contas comprometidas, de perfis falsos ou pode ter sido forjada. Durante 2016 a UFPel recebeu diversos e-mails de contas comprometidas de instituições do governo solicitando a troca de senha do e-mail institucional.
  • Verifique o link apresentado na mensagem. Golpistas costumam usar técnicas para ofuscar o link real para o phishing. Ao posicionar o mouse sobre o link, muitas vezes é possível ver o endereço real da página falsa ou código malicioso. Procure digitar o endereço diretamente no navegador Web ao invés de clicar sobre o link.

Em caso de phishing ou SPAM, como devo proceder? 

  • Caso utilize o webmail da UFPel (https://webmail.ufpel.edu.br), marque o e-mail como SPAM. Esta ação irá ajudar a treinar o nosso antispam para classificar e-mails similares ao recebido como SPAM.
  • Caso redirecione os e-mails recebidos em sua conta @ufpel.edu.br para outro provedor de e-mail (gmail, yahoo, hotmail, entre outros), encaminhe o e-mail recebido com a tentativa de ataque para abuse@ufpel.edu.br.
  • Como alternativa, ainda é possível acessar o endereço https://wp.ufpel.edu.br/seginfo/reportar-incidente-de-seguranca/.

Referências:

[1] – SANS OUCH – Phishing

[2] – CERT.br – Cartilha de Segurança: SPAM

[3] – CERT.br – Cartilha de Segurança: Golpes

Publicado em 03/11/2016, em Notícias.