Confira 10 técnicas para identificar um e-mail falso

rawpixel.com/Freepik Especialistas em cibersegurança recomendam aos usuários sempre duvidar de e-mails que prometem recompensas fáceis

E-mails falsos contêm diversos objetivos maliciosos a fim de monitorar e extrair informações de suas vítimas. A seguir, estão dez técnicas que nós, especialistas em autenticidade da informação (investigadores digitais) e segurança da informação, utilizamos para identificar um e-mail falso. São sugestões como verificar o remetente, sempre desconfiar de links enviados por desconhecidos, suspeitar de mensagens com erros de português, duvidar de recompensas rápidas e fáceis, entre outras. Confira!

1) Verificar o remetente do e-mail

Apesar de não ser uma prática padrão entre os usuários convencionais, muitos atacantes se beneficiam da falta de verificação dos remetentes para praticar os seus delitos. Recomendamos sempre observar se o e-mail foi enviado de uma pessoa conhecida ou se estava esperando aquele tipo de e-mail. Para Paulo Masili, CFO da Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD), geralmente e-mails fakes são de nomes estrangeiros e sua estrutura contém letras e números. Exemplo: james083456@xpto.com.eua.

• Solução técnica: Recomendamos usar a ferramenta gratuita Snov.io no campo localizar e-mails e verificar se o remetente já foi denunciado.

2) Analisar os links presentes nos e-mails

Um dos mais tradicionais tipos de ataques vem por links inseridos no corpo do e-mail, que podem trazer arquivos maliciosos para o seu computador, roubar seus dados e até comprometer toda a rede da sua empresa. É o que aponta o especialista Angelo Souza, tecnólogo em defesa cibernética e mestrando em business administration na Florida Christian University. Nunca clique em links de e-mails desconhecidos!

• Solução técnica: Recomendamos realizar a verificação através do site Virus Total, no qual os provedores renomados informam sobre o link enviado e classificam a sua reputação. Outra forma de verificação é a ferramenta urlscan.io. Você pode ver o conteúdo da página sem a necessidade de acessá-la, tornando a navegação mais segura e diminuindo a possibilidade de invasão.

3) Verificar se o domínio do remetente é de algum e-mail temporário

Uma prática muito comum dos invasores é utilizar e-mails temporários com o objetivo de enganar as suas vítimas, tornando os atacantes quase irrastreáveis. A técnica basicamente consiste em criar um e-mail temporário. O criminoso virtual insere os códigos e links maliciosos e os envia para a vítima, sendo que a rastreabilidade se torna muito difícil e o seu sucesso quase garantido.

• Solução técnica: Recomendamos verificar o domínio e, caso tenha alguma dúvida, utilizar o seu buscador preferido e assim realizar a pesquisa do mesmo. O domínio é sempre após o “@”. Por exemplo: davisalves@jovempam.com. Neste caso, o domínio é @jovempam.com. Veja se existem outras pessoas, que também utilizam e-mails nesse domínio.

4) Duvidar de e-mails que prometem recompensas fáceis

Sabe aquele ditado: “Quando a esmola é demais o santo desconfia”? Pois bem, quando é prometido valores muito acima da média, recompensa rápida e fácil, “não precisa pagar nada”, “irei revelar um segredo que alguma ‘instituição’ não quer que você saiba”, “esse método desenvolvido por mim irá mudar a sua vida” ou similares, desconfie e não clique no link. Na psicologia, chamamos de gatilho do imediatismo e recompensas fáceis. Nestes casos (entre outros), existe um forte indício de que se trata de uma fraude, e o produto é você — quando me refiro a você, quero dizer os seus dados e suas informações sigilosas. Roubo de dados pessoais, contaminação da máquina (vírus), monitoração das atividades da vítima são somente o começo de uma grande dor de cabeça.

• Solução técnica: Recomendamos a você verificar se essas promoções também estão em outras redes sociais, se possuem avaliações de outros compradores, se tem pontos de atendimento presenciais, se há um telefone no site (faça contato), se a empresa possui um site (de preferência com “.br”). Assim é mais fácil para investigar qual empresa brasileira está por trás dessa “superpromoção” e, assim, invocar os direitos do consumidor em caso de fraude. Veja também como saber se um site é seguro e cinco pontos a serem observados.

5) Analisar os anexos

Confirme com o remetente, por outro canal de comunicação, caso seja possível, os anexos enviados. E nunca os abra sem realizar uma verificação antes, pois é um meio tradicional de ataque cibernético.

• Solução técnica: Recomendamos verificar os anexos de imagens enviados através da ferramenta Virus Total e verificar a existência de vírus, pois os mesmos podem ter esteganografia maliciosa.

6) Suspeitar de e-mails que solicite dados pessoais

Parece meio óbvio que esse tipo de e-mail é realizado por pessoas mal-intencionadas, porém existe um alto índice de vítimas. E-mails que, por exemplo, pedem para você preencher alguma ficha anexa ou só responder com o seu nome, dados bancários ou possível cadastro para venda. Jamais envie dados pessoais por e-mail sem estar ciente de quem solicitou. Se alguma empresa faz contato com você, é ela quem tem que provar que te conhece, não o contrário!

• Solução técnica: Recomendamos entrar em contato com a empresa que solicitou os dados e questionar, com base na Lei Geral de Proteção de Dados Pessoais (LGPD), a legitimidade dessa ação, quem deu autorização para utilizar os seus dados pessoais e pedir para entrar em contato com você. Peça sempre para falar com o Encarregado/DPO – Data Protection Officer, cargo obrigatório que todas as empresas devem ter para esclarecimentos sobre o tratamento dos dados pessoais. Veja os DPOs no Brasil em https://anppd.org/membros. 

7) Duvidar dos pedidos de ajuda de desconhecidos

Muitos ataques utilizam de temas sensíveis para ativar o emocional das vítimas, usando temas como doenças, abandono, temas atuais como o conflito na Ucrânia, questões diplomáticas em Taiwan, Covid-19, entre outros, com o objetivo de coletar valores e até mesmos dados pessoais para ações maliciosas. Um exemplo típico é usar o conflito recente envolvendo a Ucrânia (um texto muito triste com imagens do conflito e pedindo dinheiro para ajudar as vítimas, utilizando nomes de pessoas e instituições famosas que supostamente apoiam a causa).

• Solução técnica: Recomendamos que você valide em outros locais se essa campanha é legítima. Em caso de uma ajuda humanitária, procure o consulado do país afetado ou a subprefeitura da região de interesse e obtenha informações de quais meios a mesma recomenda para a ajuda, evitando assim diversos tipos de golpes.

8) Atentar para os e-mails com boletos e faturas em anexo

Os atacantes enviam boletos falsos por e-mail com o objetivo de enganar as vítimas com cobranças indevidas. Por urgência, ou por medo do corte do serviço, muitas pessoas ou departamentos de contas a pagar acabam efetuando tal pagamento, acarretando prejuízos financeiros diretos. Agora com a presença do Pix, torna-se mais difícil o rastreio ou o bloqueio da ação.

• Solução técnica: Recomendamos que você sempre obtenha os boletos direto do site oficial do banco ou da área de pagamento do site da empresa que te presta serviço. Caso contrário, malwares podem ser instalados, além dos roubos de dados e recursos financeiros perdidos.

9) Observar e-mail com erros de português e coerência de texto

Falta de coerência (harmonia entre dois fatos ou duas ideias), coesão (ligação entre elementos da estrutura linguística de um texto), erros de português… É quase evidente que o e-mail recebido pela vítima é de procedência maliciosa. 

• Solução técnica: Recomendamos entrar em contato com a empresa para validar o envio do e-mail antes de enviar qualquer resposta, clicar em links, baixar anexos ou outra interação com o e-mail.

10) Duvidar de e-mail com senso de urgência

Esse tipo de ataque é utilizado o gatilho da escassez e imediatismos, induzindo as vítimas ao erro. Esta é uma técnica de engenharia social que muitos cibercriminosos utilizam para que a vítima tome decisões emocionais por pressão, sendo influenciadas ao erro.

• Solução técnica: Recomendamos a reflexão sobre o tema abordado e revisar e aplicar as dicas anteriores como medida preventiva, além de consultar outra pessoa que te ajude a avaliar o e-mail e a prioridade da ação.

Bônus: verificar e-mails em “Blacklist” ou caixa de spam

Desconfie de e-mails em que você recebe no spam. Muitos deles foram já classificados pelo seu provedor de e-mail como possíveis remetentes de potencial atacantes ou de má reputação. É prudente colocar a classificação de e-mail para aumentar a confidenciabilidade. Muitos provedores de e-mail fornecem esse tipo de recurso tanto para o emissor quanto para o remetente, com o objetivo de aumentar a confidenciabilidade e a integridade das informações trafegadas.

• Solução técnica: Entre em contato com o seu provedor de e-mails para verificar se o mesmo disponibiliza alguma ferramenta ou solução proprietária para chegar se o e-mail em questão contempla os requisitos para spam. Outra dica é perguntar quais critérios técnicos estão configurados para classificar os spams. Com certeza você aprenderá com isso!

Lembre-se: se o e-mail contém ou te solicita seus dados pessoais, a empresa em questão pode estar ferindo a Lei Geral de Proteção de Dados Pessoais (LGPD). Os usuários devem ter a garantia que seus dados estejam sendo manipulados com exatidão conforme o Art. 6º, V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento. Ou seja, se qualquer empresa te contatar por e-mail, questione: “Como eles tiveram acesso ao meu e-mail?”; “quando eu dei a autorização para eles me enviarem esse tipo de e-mail?” (além de outras questões). Veja o que os brasileiros devem exigir das empresas quando o assunto é a proteção de dados pessoais. Exija e use sempre a LGPD!

Quer se aprofundar no assunto, tem alguma dúvida, comentário ou quer compartilhar sua experiência nesse tema? Escreva para mim no Instagram: @davisalvesphd.

Leia também

Saiba quais são os 10 golpes mais praticados na internet e como se proteger

*Esse texto não reflete, necessariamente, a opinião da Jovem Pan.