As diferentes faces das ameaças por e-mail

Golpes de e-mail vêm em todas as formas e tamanhos. Alguns são tão óbvios que são risíveis - nenhum esforço foi feito para disfarçar um golpe.

Mas não pense que todos são assim. Os golpes de e-mail só parecem ficar mais astutos e criativos. Esses são do tipo que até mesmo o mais experiente em computadores da geração Z, que cresceu dormindo em um iPad, olharia duas vezes antes de perceber. Onde, se não fossem tão perversos, você poderia até dar um passo para trás e admirar a abordagem. Vamos mostrar como reconhecer phishing e outros golpes comuns de e-mail e como se proteger contra eles.

Uma rápida viagem ao passado

Muitos de nós lembramos dos primeiros dias dos golpes por e-mail — dias de inocência quando éramos mais ingênuos, mas também menos confiantes em e-mails. Quando recebíamos um golpe, líamos com interesse confuso, tentando entender por que o remetente achava que nós éramos a pessoa certa para ajudar. 

Quem se lembra de O Prisioneiro Espanhol? Uma alma infeliz de grande riqueza, que precisava desesperadamente de nossa ajuda para pagar seu resgate para que pudesse ser libertado da prisão. Curiosamente, esse golpe na verdade antecede o e-mail, originando-se no início do século 19. Algum surfista da Internet rebelde evidentemente decidiu digitalizá-lo.

Hoje em dia, os golpes por e-mail aproveitam muito mais as vantagens de seu formato digital. Ao contrário de alguns dos golpes originais, eles utilizam vantagens que a Internet passou a oferecer ao longo dos anos — como a capacidade de processar pagamentos online facilmente, uma maior dependência do e-mail para nossas comunicações mais importantes e a evolução das redes sociais, para citar apenas alguns.

Pistas de um golpe, logo de cara

Antes de analisarmos mais de perto os diferentes tipos de golpes de e-mail, vamos compartilhar algumas regras gerais que você pode empregar para ajudá-lo a identificar um golpe/spam de e-mail — porque todos eles compartilham elementos comuns — um remetente, uma linha de assunto, texto do corpo e, talvez mais importante, a necessidade de ler e acreditar.

Nome da empresa/remetente

Fique atento a:

1. Erros de digitação ou estilização incorreta — Paypal vs. PayPal. 
2. Algo que parece excessivamente descritivo ou improvável — Emergência de Carro AA vs. AA.
3. Empresas com as quais você não compra/trabalha — Uma nota do Barclays quando você banca com o Lloyds.
4. Qualquer coisa que pareça estranha — De símbolos e empresas com nomes bizarros a espaçamentos estranhos — às vezes há algo que simplesmente parece errado sobre o remetente.

Endereço de e-mail do remetente

Fique atento a:

1. Um endereço de e-mail incongruente — Algo que está em desacordo com o nome da empresa.
2. Parecidos — Um endereço projetado para se parecer com a empresa real. Isso pode ser o domínio (@paypalcare.com) ou o TLD (@paypal.club). 
3. Erros — Erros de digitação ou outras irregularidades no endereço.

Linhas de assunto

Fique atento a:

1. Frases projetadas para provocar urgência — ‘Aviso: Aviso de pagamento final’.
2. Linguagem exagerada — ‘Ganhe £1000 em cinco minutos’.
3. Linguagem que provoca uma forte reação emocional — 'Você está contratado! Comece amanhã!'
4. Erros de digitação — Os golpistas não são conhecidos por sua boa gramática.
5. Uso excessivo de pontuação ou emojis — Poucas empresas reais usam isso.
6. A presença de 'Re' — Pode ser usado para sugerir que você já respondeu antes, quando não respondeu.
7. Botões e anexos — Sempre evite clicar em botões ou baixar anexos em e-mails suspeitos.

Texto do corpo

Fique atento a:

1. Promessas inacreditáveis — Semelhante à versão da linha de assunto, mas há espaço para expansão no texto do corpo, o que dá a oportunidade de tornar as mentiras mais convincentes.
2. Chamadas para ação que buscam informações pessoais — Especialmente endereço ou detalhes do cartão.
3. Referências a algo que você não se lembra — De eventos a serviços que você nunca recebeu
4. Impersonação — Alguém alegando ser um amigo ou parente, mas que não soa como ele mesmo.

Agora que você tem um pouco de contexto sobre como os golpistas podem manipular diferentes partes de um e-mail, vamos examinar exemplos específicos. 

Malware

Para muitos, os ataques de malware são provavelmente o primeiro tipo de e-mail malicioso que realmente temíamos. Naquela época, provavelmente nos referíamos a eles apenas como vírus de e-mail. Abra-o, sua tela fica preta. Fim de jogo. Esse tipo de coisa.

Na realidade, o malware abrange uma ampla variedade de ataques maliciosos — e alguns deles são, francamente, um pouco mais assustadores do que a morte rápida do computador. 

Monitorando as teclas digitadas? Drenando seu CPU sem seu conhecimento? Espiando você? Forçando anúncios duvidosos a aparecerem a cada cinco minutos? Sim, o malware abrange uma ampla variedade de pequenos programas que se instalam em seu computador sem seu conhecimento, e suas funções variam de coisas associadas a brincalhões nefastos a criminosos completos. Eles são evasivos e muitas vezes difíceis de se livrar — isso se você souber que eles estão lá.

Como detectar malware

Se você está experimentando algum dos sintomas listados acima, há uma boa chance de ser malware. Isso pode ter vindo de um e-mail — mas não necessariamente. Existem outras maneiras desses programas se instalarem em seu computador também — downloads, sites duvidosos e até mesmo dispositivos de hardware maliciosos. Se você encontrar um pen drive na rua, não veja o que há nele.

Proteja-se contra malware

Correndo o risco de afirmar o óbvio, experimente um software de detecção de malware. Mas opte por algo respeitável. 

Se você pesquisar no Google como prevenir malware em primeiro lugar, o principal conselho é instalar um software antivírus. Pessoalmente, não conheço ninguém que tenha feito isso desde o final dos anos 2010, mas quem sou eu para contradizer a totalidade do conhecimento humano e da experiência em massa homogeneizada em uma resposta de uma linha do Gemini, servida em uma fração de fração de segundo?

Dito isso, a proteção contra ameaças oferecida pelos sistemas operacionais é geralmente melhor do que era nos primeiros dias, especialmente o Windows, que atualiza para se proteger contra ameaças, mas mais importante, muitos softwares de e-mail estão fazendo o trabalho por nós, filtrando e-mails suspeitos antes que eles nos alcancem. 

É uma boa ideia encontrar um provedor de e-mail que promova uma boa proteção contra malware e escaneie seus e-mails antes que eles cheguem até você. Isso é particularmente bom quando se trata de evitar ataques psicológicos (e falaremos sobre isso em um momento).

Se falarmos de proteção, em vez de prevenção, é uma boa ideia manter backups regulares, caso você seja atingido por um desses ataques. Eu pessoalmente recomendo algo como Mega Sync, que atualiza toda vez que você salva um arquivo.

Phishing

Hoje em dia, você provavelmente encontrará um golpe de phishing por e-mail. Por quê? Porque, como uma melodia cativante ou o cheiro da primavera, todos somos suscetíveis aos seus encantos. Mas como você pode identificar o phishing?

Os ataques de phishing são eficazes por causa de sua versatilidade. Às vezes, não é difícil detectar phishing. Eles podem ser qualquer coisa: Literalmente qualquer coisa que faça alguém inserir seus dados pessoais. Pense em qualquer motivo pelo qual você possa se sentir compelido a compartilhar seus dados pessoais ou enviar dinheiro a alguém, e isso tem o potencial de se tornar um e-mail de phishing.

Aqui estão apenas alguns exemplos, e tenha em mente, a chave do phishing é que todos esses e-mails parecem reais, mas são falsos:

1. Notificação de redefinição de senha.
2. Preencher dados bancários ausentes.
3. Complete seu endereço postal para habilitar a entrega.
4. Renove sua assinatura.
5. Você é um vencedor de competição!
6. Um amigo em necessidade pedindo ajuda.
7. Notificação de reembolso de imposto.
8. Pedido de doações de caridade.

Se você não viu um golpe de phishing, você é mesmo um peixe? Eles são tão onipresentes que é difícil imaginar e-mails sem eles. Mas há mais de uma maneira de fazer phishing...

Spear phishing e whaling

Spear phishing e whaling têm como alvo indivíduos específicos, muitas vezes com táticas mais agressivas.

Spear phishing usa conhecimento pessoal, geralmente obtido de várias fontes, para criar e-mails mais convincentes. Como é escrito usando informações pessoais, pode referenciar amigos reais, situações ou até mesmo se passar por um banco (etc) de forma mais convincente. Se você acha que isso parece improvável de acontecer com você, lembre-se de que a maioria das pessoas tem mais informações acessíveis publicamente online do que imagina.

Se alguém se passasse por seu amigo e mencionasse um evento muito específico que vocês dois participaram há uma década, por que você não acreditaria? Pode demorar um pouco para lembrar que você postou sobre isso em detalhes no Facebook e que a postagem é visível publicamente. Quando eles pedem para emprestar dinheiro, talvez você ajude. 

Todos nós somos suscetíveis ao spear phishing, o que o torna mais perigoso do que os golpes mais óbvios. Uma ressalva afortunada é que o nível de pesquisa necessário para realizar um golpe de spear phishing com sucesso é desanimador para a maioria dos golpistas. É mais fácil apostar em um e-mail em massa ao qual menos pessoas responderão. Mas é aí que a IA entrará no futuro? Precisamos permanecer vigilantes.

Whaling

Então, o que é whaling? Bem, de muitas maneiras, um ataque de whaling é praticamente o mesmo que spear phishing, mas é específico para atingir indivíduos ricos, como CEOs. 

A triste realidade é que seu status os torna melhores alvos para investir tempo, e outros fatores, (como sua riqueza, responsabilidade, falta de tempo e grande base de contatos), significam que há várias fraquezas potenciais a serem exploradas. Por exemplo, talvez eles só precisem convencer um assistente ou secretário de que têm a aprovação do CEO. Portanto, parece que o whaling comercial é sempre uma coisa ruim.

Como se proteger contra spear phishing e whaling 

Além do que está listado em nosso guia geral acima, você também deve configurar uma forte filtragem de spam. O fator humano é realmente onde os e-mails de phishing se destacam. Se o malware é um truque simples, então, de certa forma, o phishing exige que sejamos cúmplices. Afinal, devemos fornecer nossas informações. Como discutimos, ele faz isso apelando para nossa resposta emocional.

Portanto, garantir que nunca entremos em contato com isso em primeiro lugar é a maneira mais forte de combatê-lo. Os filtros de spam procuram vários elementos ao considerar um e-mail que nós, como humanos, não podemos. Eles cruzam listas negras, padrões comportamentais conhecidos e até mesmo um método conhecido como filtragem Bayesiana. Isso compara o conteúdo de um e-mail com spams conhecidos versus e-mails legítimos para calcular a probabilidade de ser spam. Além disso, bons filtros de spam levarão em consideração o que outros usuários marcam como spam, criando o que é conhecido como um loop de feedback do usuário.

E-mail comercial comprometido

Um pouco diferente de tudo o que vimos até agora, isso vem do ângulo oposto — a ideia de que uma conta de e-mail legítima foi comprometida. Não precisa ser uma conta comercial, mas para o propósito desta entrada, há alguns fatores mais interessantes para discutir se imaginarmos que é.

Se um golpista conseguir acessar ilegalmente uma conta de e-mail comercial, ele pode se passar por funcionários para solicitar fundos ou até mesmo acesso a outros sistemas internos que podem incluir dados sensíveis.

Comprometer uma conta comercial também aproveita outra peculiaridade social inerente a muitas empresas, especialmente as maiores: é improvável que todos os membros da equipe conheçam todos os outros. Isso, combinado com o fato de que as pessoas devem ser educadas em um ambiente de trabalho, significa que esses e-mails têm vantagens extras em comparação com contas privadas.

Como se proteger contra isso

Garantir que todos os funcionários usem autenticação de dois fatores (2FA) e escolham senhas fortes diminui muito o risco de contas roubadas/hackeadas. 2FA garante que o titular da conta sempre saberá se alguém tentar invadir, e uma senha forte torna os ataques de força bruta mais difíceis. 

Você também pode diminuir a probabilidade de problemas futuros desativando imediatamente as contas de funcionários que deixam a empresa. Um cemitério de contas não utilizadas acumulando poeira é apenas um acidente esperando para acontecer.

Faturas falsas 

Um dos temas que você pode estar notando é a exploração de diferentes extremidades emocionais. Até agora, consideramos o medo ou descuido de um CEO e a suposta apatia de um funcionário em relação a outro. Agora vamos tentar a raiva.

Alguém afirma que você deve dinheiro a eles e exige pagamento imediato. Eles estão com raiva, dizem coisas que fazem você duvidar de sua própria memória ou criam uma circunstância da qual você não pode ter certeza se é real. A vitriol e a raiva continuam até que quase pareça mais fácil pagá-los.

Isso pode não parecer tão provável para muitos de nós, mas talvez essa seja a pior coisa sobre isso: as chances são de que 'nós' não somos os alvos deles. O sucesso deles será os vulneráveis. Aqueles que talvez realmente não se lembrem ou sejam mais confiantes em estranhos. 

Prevenção

Se assumirmos que nós não pagaremos faturas aleatórias que recebemos por e-mail, pode valer a pena usar esta oportunidade para sugerir conversar com aqueles em sua vida que são menos experientes online. Pergunte se eles precisam de ajuda para identificar golpes e explique que só porque alguém está exigindo dinheiro não torna sua reivindicação legítima. Afinal, precisamos cuidar uns dos outros e ninguém quer ver alguém cair em um golpe óbvio. 

Existem recursos que você pode orientar as pessoas que podem guiá-las de uma maneira amigável ao usuário.

Golpes de oferta de emprego

Ao contrário de alguns dos outros, esses podem ser difíceis de identificar até mesmo para os mais experientes de nós. Uma razão para isso é que eles não existem no vácuo do e-mail. Se qualquer um de nós recebesse um e-mail do nada dizendo que conseguimos um emprego, saberíamos imediatamente que era spam. Mas e se não fosse assim que aconteceu?

E se o golpe começasse como uma lista real em um site de empregos real? Você se candidatou a ele junto com um monte de outros empregos reais, e parecia tão provável quanto todos os outros. Bem, então este é um e-mail que você está esperando — esperando por, até. E, semelhante ao spear phishing, isso cria uma oportunidade mais elaborada para um golpe. Porque você agora é um participante voluntário — pelo menos, no início.

Mas em quê? Esses golpes podem assumir várias formas, mas essencialmente, como os antigos esquemas de pirâmide do passado, eles pedem dinheiro adiantado sob o pretexto de cobrir custos, comprar equipamentos ou até mesmo treinar para a posição — e nada disso é real. Às vezes, pode até haver outros no sistema que acreditam que é real também, e isso pode sugerir legitimidade onde não há nenhuma.

Como identificar um golpe de oferta de emprego

Existem certas pistas que você pode observar quando está se candidatando a empregos que podem indicar que o emprego não é legítimo:

1. Salários irreais — Se algo é bom demais para ser verdade, provavelmente é.
2. Empregos vagos ou improváveis — Alguém realmente precisaria ou gostaria que alguém desempenhasse esse papel?
3. Nenhuma entrevista necessária — Ou oferta de emprego ansiosa sem a devida diligência.
4. Comunicações não profissionais — Pedindo mais dados do que deveria ser necessário.
5. Falta de presença online da empresa — Ou uma empresa cujo site parece um pouco suspeito. Imagens de estoque, avaliações implausíveis, nenhum conteúdo real — esse tipo de coisa.

Da mesma forma, você não quer eliminar empregos legítimos apenas por causa de uma lista mal elaborada. Então, a principal coisa a se observar é qualquer pessoa pedindo dinheiro antes de você começar. Existem quase nenhum caso em que um trabalho deve exigir que você pague algo antecipadamente, muito menos realizar qualquer tarefa gratuitamente.

Por mais certo que você esteja sobre o processo até aquele ponto, no momento em que a conversa se volta para a transferência de dinheiro, tenha certeza — é um golpe.

Golpes de romance

Possivelmente a manipulação emocional mais forte de todas: Como nos sentimos quando estamos apaixonados. 

Tenho experiência pessoal de alguém em um aplicativo de namoro pedindo para emprestar dinheiro (que é onde esse tipo de golpe é mais provável de ocorrer hoje em dia). Não é tão incomum quanto você pode pensar — e, em alguns casos, podemos até ter dificuldade em pensar nisso como um golpe… 

As linhas rapidamente se confundem quando nossos corações começam a dominar nossas cabeças. Talvez uma parte de nós até pense "talvez eu esteja sendo feito de bobo, mas o que são dez libras quando se trata de amor?". Mas essa pessoa pode estar passando o dia todo no aplicativo de namoro. Se conseguirem que dez pessoas por dia doem uma nota de dez, então isso na verdade não é um salário ruim. E certamente seria classificado como um golpe.

Como evitar se apaixonar por amor por um golpe de romance

Correndo o risco de me tornar uma conselheira sentimental, não se deixe levar pelo coração. Se sua cabeça diz que é um golpe, então provavelmente é. Nunca dê dinheiro a alguém que você não conhece bem, por mais que essa pessoa afirme amá-lo. É um fato triste da vida que as pessoas usam extremos de emoção para manipulação. 

Golpes de prêmios

A maioria de nós provavelmente se lembra de receber um folheto pelo correio dizendo que ganhamos na loteria e que tínhamos que ligar para um número para reivindicar nosso prêmio. Suponho que era inevitável que isso também se tornasse um e-mail. 

Não há muito o que dizer aqui que já não tenha sido dito nas outras entradas. Talvez possamos simplesmente criar um mantra para a vida. Se um e-mail diz que você ganhou um prêmio, você não ganhou um prêmio*.

*A menos que você tenha ganhado um prêmio. Mas você definitivamente não ganhou um prêmio. Pare de pensar no prêmio.

Prevenção

Olha, você realmente, realmente não ganhou um prêmio. Compre um bilhete de loteria se precisar — mas aperte esse botão de spam.

Protegendo a si mesmo e aos outros

Em uma nota séria, seja spam ou golpe, realmente não é motivo de riso. As pessoas realmente se machucam, perdem dinheiro ou se sentem estúpidas depois. 

Sugerimos várias maneiras de se proteger, mas realmente se resume a três coisas:

• Ative o máximo de segurança que puder

O que quer que seu provedor ofereça, seja 2FA, senhas geradas automaticamente ou até mesmo criptografia — você escolhe. Configure-os. Eles apenas tornam sua conta um pouco mais difícil de sequestrar. 

• Escolha um provedor voltado para a segurança

Um provedor com software de gerenciamento de spam forte e atualizações de segurança frequentes é provavelmente sua melhor forma de proteção contínua. A maioria dos golpes que descrevemos começa e termina com o gerenciamento de spam. Se nunca os virmos, nunca são um problema. 

• Mantenha-se atualizado

Os golpes de phishing nunca param de evoluir. Eles têm como alvo você, não sua caixa de entrada, então você é sua melhor defesa.

Existem práticas que você usa para evitar cair em spam e golpes? Adoraríamos ouvi-las! Deixe qualquer pensamento ou pergunta na seção de comentários abaixo