As organizações comunicam com os seus clientes através de e-mail, chamadas telefónicas ou mensagens de texto. Isto abre espaço para potenciais burlas, conhecidas como spoofing, em que a identidade do remetente é roubada por alguém que pretende obter dados. Sabe mais sobre esta burla e como evitar ser enganado por comunicações que parecem legítimas.
Já recebeste e-mail de remetentes como o teu banco, a Amazon, a PayPal ou algum serviço que contrataste, que afinal eram uma tentativa de extorsão de dados pessoais ou financeiros? Se achas que não, então tenho uma má notícia para ti, porque é muito provável que já tenhas sofrido na pele uma destas tentativas.
Infelizmente, o spoofing não se limita apenas ao e-mail. De seguida, vamos explicar em que consiste e como evitar ser vítima deste tipo de burla.
O que é?
Spoofing é o ato dos cibercriminosos, quando se fazem passar por pessoas ou organizações, como um banco, para enganar as pessoas.
Os criminosos podem falsificar o remetente de mensagens de correio eletrónico, esconder SMS falsos num segmento legítimo, alterar um número de telefone ou um identificador de chamadas para parecerem de confiança. Os ataques de spoofing podem também se realizar num nível técnico mais profundo, como o spoofing por DNS ou endereço IP.
Geralmente faz-se com o objetivo de ganhar a tua confiança, de maneira a que divulgues informações pessoais, dados bancários ou o teu login bancário digital, descarregues programas maliciosos ou efectues pagamentos.
Qual a diferença entre spoofing e phishing?
O spoofing e o phishing diferem na medida em que, enquanto o spoofing envolve apenas a utilização da identidade de outra pessoa, os ataques de phishing tentam obter acesso a informações confidenciais.
É verdade, os dois tipos de burla têm contornos muito similares. Especialmente, o spoofing de e-mail, que até é muitas vezes utilizado junto ao phishing. De fato, muitos phishers utilizam o spoofing para enganar as vítimas e fazê-las acreditar que o e-mail que estão a utilizar é legítimo.
Enquanto os esquemas típicos de phishing atraem as vítimas com um call-to-action e convencem-as a revelar dados pessoais que podem ser utilizados para roubo de identidade, os ataques de spoofing fazem com que as mensagens dos cibercriminosos pareçam fiáveis, espelhando a aparência de fontes respeitáveis.
Spoofing de e-mail
Spoofing de e-mail acontece quando o cibercriminoso aproveita-se do sistema relativamente desprotegido do e-mail, criando e enviando e-mails de um endereço que as vítimas reconhecerão.
Normalmente, o filtro de spam do e-mail reconhece os “email falsos”. No entanto, o filtro pode não funcionar, por isso deves estar atento a vários detalhes como:
- Dominio genérico do e-mail: os e-mail das empresas são normalmente enviados de um domínio oficial. Um e-mail como nomedobanco@gmail.com é provavelmente um e-mail falsificado;
- Anexos estranhos: Tenha cuidado com anexos do tipo .EXE ou .HTML, dado que podem instalar malware no teu dispositivo. Além disso, evita clicar em anexos ou links desconhecidos;
- Solicitação de informações pessoais: as empresas e funcionários já têm todas as informações de que precisam. Eles não precisam de enviar e-mail para pedir informações de usuário ou do cartão de crédito;
- Urgência: Se o e-mail tentar forçar o teu clique apressado, utilizando frases como “XY empresa vai-te processar!”, então é provavel que se trate de um caso de spoofing;
- Saudação genérica: as empresas sabem o teu nome e apelido, por isso desconfie dos e-mails que te tratam de maneira genérica;
- Typosquatting: Tem cuidado ao digitar o endereço web no navegador, muitos spoofers aproveitam os erros ortográficos comuns que as pessoam cometem, para criar sites similares aos que pretendes aceder e roubarem-te os dados pessoais.
Spoofing de site
O spoofing de site ocorre quando um cibercriminoso cria um site falso que parece legítimo. Ao fazer login, o cibercriminoso obtém os teus dados pessoais.
Por vezes, os spoofers usam um URL disfarçado, que redireciona-te para o sistema deles, de modo a coletar as tuas informações pessoais. Frequentemente, eles utilizam um URL de destino similar ao verdadeiro, como por exemplo substituindo o “l” por um “i” e vice-versa. Tal como no typesquatting, o objetivo passa por o URL ser tão parecido com o endereço pretendido que não consigas notar a diferença.
Spoofing de SMS
A falsificação também se faz através de mensagens SMS. Os criminosos podem alterar o nome da empresa que aparece no teu dispositivo.
Para o efeito, enviam mensagens SMS, apresentando o número legítimo da entidade ou pessoa pela qual se querem fazer passar, como, por exemplo: “Mãe”.
Spoofing de chamadas telefónicas
Os cibercriminosos podem alterar o número de telefone que aparece no teu ecrã quando te telefonam.
Assim que a vítima atende ao telefone, o spoofer tenta convencê-la a divulgar informações sigilosas.
Para te convencer de que a chamada é autêntica, podem até pedir-te que verifiques se o número de onde estão a ligar corresponde ao que aparece no site da empresa.
Como evitar?
- Nunca faças pagamentos ou transferências utilizando informações recebidas por SMS ou email;
- Não envies dados pessoais por mensagem de texto, chamado telefónica ou email;
- Desconfia de qualquer SMS ou email não esperado, mesmo que venha de uma empresa aparentemente confiável. Nunca cliques nos links incluídos em emails ou SMS que consideres suspeitos;
- Caso tenhas dúvidas sobre a veracidade do que lhe está a ser solicitado, contacta a empresa que alegadamente te solicitou, utilizando os canais oficiais dessa empresa;
- Instala software antivírus no teu computador pessoal, assim como nos teus telemóveis ou tablets.