Os esquemas de phishing já têm um “currículo” extenso: começaram com aquele e-mail que se tornou um clássico, o do príncipe da Nigéria, e agora fazem-se passar por empresas como a EDP, os CTT, bancos ou mesmo a Autoridade Tributária, para levar as pessoas a fazer pagamentos de valores que, supostamente, estão em dívida ou que servem para desbloquear encomendas (que nunca fizemos), no caso dos correios. Um e-mail fraudulento pode ter o mesmo aspecto que os enviados por remetentes legítimos, incluindo o logótipo da empresa e tipos de letras/cores, pelo que é cada vez mais difícil distinguir uma mensagem falsa de uma verdadeira. Vamos dar-lhe cinco formas de perceber que os e-mails são falsos, para que não seja apanhado na “teia” destes criminosos.
1 – Confirme se os links são verdadeiros, sem clicar
Os burlões usam links que parecem ser legítimos, mas que depois apontam para sites fraudulentos. Nos e-mails falsos, estas hiperligações vêm, muitas vezes, acompanhadas de avisos como ‘Pague agora para evitar multas’, ‘Alterar entrega’ ou ‘Faça login na sua conta para actualizar os dados’. A forma mais simples de evitar cair neste truque é passar o cursor sobre as ligações, antes de clicar. Ao fazer isto, o endereço para onde aponta esse link deve aparecer algures no ecrã – o mais provável é que surja na base do seu programa de e-mail ou numa janela flutuante.
A alternativa é clicar com o botão do lado direito do rato em cima do link e escolher ‘Copiar ligação’ ; depois, abra um documento de texto e faça ‘Colar’, para ver qual é o endereço real e completo.
2 – Detecte URL falsos
Alguns links têm uma longa sequência de letras, o que torna mais difícil perceber se são genuínos ou falsos. Os burlões exploram esta dúvida ao incluir o nome da empresa que, aparentemente, enviou o e-mail. Isto significa que, à primeira vista, o link pode parecer legítimo, o que nos leva a clicar. Pode identificar se o endereço é real, concentrando-se na parte do nome de domínio que deve corresponder exactamente ao do site oficial da empresa – por exemplo, ‘amazon.com’, ‘edp.pt’ ou ‘paypal.com’. Qualquer URL que tenha mais um ponto ou caracteres que não fazem parte do nome verdadeiro da empresa é falso. Ainda assim, os burlões podem registar um endereço Web que incorpora, tanto o verdadeiro URL, como uma parte falsa – por exemplo, ctt-updatei.xyz.
3 – Verifique o endereço de e-mail do remetente
Nunca deve abrir e-mails – e especialmente anexos – de remetentes desconhecidos: esta é a regra de ouro para evitar cair em esquemas. Contudo, é fácil para os autores de fraudes fazer com que as suas mensagens pareçam vir de endereços que conhecemos e usamos – é por isto que tantas pessoas se deixam enganar.
Falsificar o endereço de e-mail de uma empresa é mais difícil, mas como os burlões se aperceberam de que os utilizadores mais experientes confirmam este dado, começaram a criar endereços cada vez mais convincentes. Nos e-mails, é no nome do domínio após o ‘@’ que nos devemos concentrar, pois podem incluir variações do nome da empresa: por exemplo, um mail falso do PayPal pode vir como ‘@pay-pal.com’ (o verdadeiro é @paypal.com). Por vezes, estes endereços falsos incluem uma letra a mais, muito subtil, ou um zero em vez de um ‘o’ – ‘@micr0soft.com’. Assim, é obrigatório verificar bem o endereço do remetente. Outro caso é quando o e-mail que é completamente diferente do nome que aparece como remetente: por exemplo, uma mensagem que nos chegou da Securitas pelo e-mail infos@achevelements.fr . Este tipo de situação é bastante comum e significa que os atacantes tiveram acesso a e-mails legítimos de uma empresa para os usar como difusores de mensagens.
Na versão Web do Gmail, clique na pequena seta que está por baixo do endereço que aparece no topo da janela do e-mail: isto faz aparecer uma pequena barra flutuante com todos os dados que precisa de saber sobre quem enviou (e de onde) a mensagem. Se tiver um cliente de e-mail como o Outlook ou Thunderbird, bastará clicar no endereço de e-mail para ver a informação – alguns até lhe vão dizer se o endereço está ou não autenticado, com recurso a indicações como um ‘X’ vermelho e um ‘V’ verde.
4 – Procure erros ortográficos e gramaticais
Os e-mails de phishing mais óbvios estão sempre cheios de palavras estranhas, plurais mal feitos, expressões que não são habituais no nosso idioma e até mesmo gralhas – aqui, parece que os burlões querem mesmo que não levemos os e-mails a sério.
Os esquemas mais sofisticados, que se deram ao trabalho de utilizar o logótipo oficial da empresa e/ou os elementos de design respectivos, prestam mais atenção à gramática das mensagens, mas é quase certo que vai haver falhas. É altamente improvável que as empresas verdadeiras enviem aos clientes e-mails com erros ortográficos e gramaticais – toda a comunicação é verificada com muito cuidado antes de ser enviada aos clientes. Leia com atenção os textos e procure por inconsistências, como por exemplo palavras em português do Brasil ou diferenças entre o sujeito e o verbo. Neste exemplo de um mail enviado para se parecer com um do Novo Banco, a frase ‘Nosso sistema deteta que você ainda não ativou seu número de telefone’, má construída, é um dos alertas; o outro é ‘Atenção, esta mensagem é gerada por um autômato. Não usou a função ‘responder a’ – aqui, o que deveria estar escrito era qualquer coisa do género: ‘Esta mensagem foi gerada de forma automática. Não responda a este e-mail’.
5 – Analise o tom dos pedidos
A razão pela qual muitas pessoas caem em esquemas de phishing é porque os e-mails incitam a fazer algo de forma rápida sem pensar ou perceber bem o que nos estão a dizer, sob pena de pagamento de multas ou perda de encomendas.
Os exemplos mais comuns incluem a actualização dos detalhes de contas, alteração de métodos de pagamento ou verificação de detalhes de uma compra. Embora haja casos em que uma empresa legítima nos possa pedir que paguemos algo ou alteremos dados (como um mail das Finanças para regularizar dívidas), nunca isto será feito com linguagem ameaçadora ou insistente, como acontece neste suposto e-mail da EDP.
Quando nos dizem para fazer algo «imediatamente», para não perdemos o acesso a uma conta ou sermos alvo de uma execução fiscal, é mais que provável estarmos perante um e-mail fraudulento. Caso tenha dúvidas, contacte por telefone a empresa de onde, aparentemente, veio o e-mail ou visite o site oficial, que muitas vezes tem avisos sobre e-mails ilegítimos, como acontece com o da Caixa Geral de Depósitos.
