O phishing é uma técnica de ataque que busca enganar a vítima para que ela entregue informações sensíveis, baixe um arquivo infectado ou digite sua senha em uma página falsa.
É provável que você receba mensagens de email, Whatsapp ou SMS com links, arquivos ou softwares maliciosos que aparentemente provêm de fontes conhecidas como Facebook, Twitter, Google, algum banco, entre outros, dizendo que sua conta foi comprometida e que você deve acessá-la urgentemente para poder recuperá-la. Se isso acontecer, é muito provável que esteja enfrentando um ataque de phishing.
A seguir, oferecemos algumas recomendações que poderão lhe ajudar a reconhecer esses ataques assim como qual a melhor forma de evitá-los.
Desconfie de mensagens que pressionam por ações rápidas ou urgentes: muitas vezes essas mensagens se aproveitam de situações de risco ou emergência para convencer a vítima de tomar decisões apressadas.
Antes de fazer qualquer coisa, verifique as páginas oficiais: se você suspeita que a informação que recebeu pode estar correta, a recomendação é que a verifique diretamente nas páginas oficiais dos bancos, empresas de correio, entre outras, dependendo do caso. Se, pelo contrário, a mensagem de alarme que você recebeu não se refere a contas comprometidas, mas a pessoas ou familiares em risco, a sugestão é que, antes de fazer qualquer coisa, tente contactar diretamente a pessoa aparentemente afetada. Em nenhum desses casos é recomendável clicar nos links sugeridos pela mensagem suspeita.
Verifique quem lhe mandou a mensagem: se a mensagem se diz pertencer a uma rede social ou empresa de email, verifique se as contas de email usadas são as oficiais. Se a ensagem parece vir de uma pessoa conhecida, fale com ela através de outro meio (preferencialmente ao vivo) e pergunte se, de fato, ela enviou essas mensagens e para quem.
Não baixe nenhum arquivo, instale software ou abra link da web antes de verificar sua procedência e veracidade: para verificar para onde aponta um link encurtado, recomendamos utilizar o serviço unshorten.me ou unshorten.it.
Mantenha seus softwares atualizados: os ataques de phishing que utilizam malware frequentemente se baseiam em vulnerabilidades do software para instalar o malware e comprometer seus dispositivos.
Utilize um gerenciador de senhas com preenchimento automático: outra vantagem do uso de gerenciadores de senha que possuem a funcionalidade de preenchimento automático de campos de usuário e senha é que essas informações estão associadas à URL onde ela será usada. Se o atacante consegue levar você até uma página maliciosa, seu gerenciador de senhas não reconhecerá o lugar que está tentando roubar suas informações.
Utilize o Google Drive para visualizar documentos. Em vez de baixar os documentos recebidos, recomendamos que carregue-os no Google Drive. Isso converterá o documento numa versão web, o que, quase certamente, impedirá a instalação de um software malicioso. Antes de clicar na tela, tenha certeza de que efetivamente você está com uma pré-visualização do Google Drive. Algumas mensagens malintencionadas têm se aproveitado desse nível de confiança e tentam simular o desenho gráfico da interface do Google para obter cliques
Ative a autenticação de duas etapas. Como explicamos anteriormente, a ativação de 2FA impedirá que o atacante acesse suas contas de usuário, mesmo tendo conseguido a senha de acesso, pois será preciso um segundo fator de autenticação que somente você possui.