Como identificar um e-mail de phishing

Um e-mail de phishing imita um remetente legítimo para induzir os usuários a revelar informações confidenciais.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Explicar como o e-mail é usado em ataques de phishing
  • Identificar elementos comuns de um e-mail de phishing
  • Aprender estratégias para evitar e-mails de phishing

Copiar o link do artigo

O que é um e-mail de phishing?

Phishing é um tipo de ataque cibernético em que o invasor esconde sua verdadeira identidade para induzir a vítima a realizar uma ação desejada. Assim como na pesca, o phishing usa uma "isca" (um endereço de e-mail que parece legítimo, uma promessa de pagamento em dinheiro, uma ameaça com hora marcada para acontecer etc.) para persuadir a vítima a divulgar informações confidenciais ou dar acesso a recursos protegidos, como uma rede corporativa.

Muitas vezes, um ataque de phishing usa o e-mail para convencer o alvo de que a mensagem é de uma origem confiável, como uma instituição financeira respeitável ou um empregador. Como a mensagem parece ser autêntica, o usuário fica mais propenso a compartilhar dados valiosos da conta ou interagir com malware — normalmente apresentado como anexo ou link - camuflado dentro do e-mail.

Qual é o objetivo de um ataque de phishing?

Em geral, ataques de phishing visam induzir o usuário a revelar informações confidencias, interagir com malware ou conceder acesso a uma conta ou aplicativo. Quando dá certo, uma tentativa de phishing permite que os invasores roubem credenciais do usuário, se infiltrem em uma rede, roubem dados ou tomem medidas mais extremas contra a vítima (por exemplo, um ataque de ransomware).

Para saber mais sobre as técnicas de phishing, consulte o artigo O que é um ataque de phishing?.

Como o e-mail é usado para realizar um ataque de phishing?

No phishing por e-mail — um termo genérico para qualquer ataque de phishing baseado em e-mail — o invasor envia uma mensagem de e-mail se passando por um remetente respeitável, como uma organização governamental ou uma corporação conhecida.

Determinadas táticas de phishing tentam coletar informações diretamente do destinatário alegando que a conta foi violada de alguma forma (por exemplo, solicitações fraudulentas de redefinição de senha) ou oferecendo uma recompensa em dinheiro (por exemplo, vales-presente falsos).

Outros e-mails de phishing contêm malware em anexos ou links incorporados ao corpo da mensagem. Ao interagir com o malware —por exemplo, abrir ou baixar um anexo com carga maliciosa — o usuário pode inadvertidamente infectar o dispositivo ou a rede, permitindo que os invasores ganhem acesso a aplicativos e dados protegidos.

Como identificar um e-mail de phishing

Como e-mails de phishing são criados para imitar pessoas e empresas reais, pode ser difícil identificar essa ameaça à primeira vista. Portanto, fique de olho nestes sinais:

  • O e-mail não passa por verificações SPF, DKIM ou DMARC. Três registros de DNSSender Policy Framework (SPF), Correio identificado por chaves de domínio (DKIM) e Domain-based Message Authentication Reporting and Conformance (DMARC) — são usados para autenticar a origem de um e-mail. Portanto, quando uma mensagem não passa por pelo menos uma dessas verificações, é marcada como spam ou deixa de ser entregue ao destinatário em questão. Por esse motivo, é incomum encontrar e-mails legítimos em pastas de spam.
  • O endereço de e-mail do remetente não está associado a um nome de domínio legítimo. O domínio precisa ser igual ao nome da empresa que supostamente enviou a mensagem. Por exemplo, se todos os e-mails da Legitimate Internet Company estiverem formatados como "employee@legitinternetcompany.com", uma mensagem falsificada provavelmente será enviada de um endereço parecido, como "employee@legitinternetco.com.".
  • Uma saudação genérica é usada em vez de um nome. Palavras como "cliente", "titular da conta" ou "caro" podem indicar que o e-mail faz parte de uma tentativa de phishing em massa e não é uma mensagem pessoal de um remetente confiável.
  • Há um prazo ou uma sensação de urgência fora do normal. É normal que e-mails de phishing gerem uma falsa sensação de urgência para convencer os usuários a realizar uma ação. Por exemplo, prometer um vale-presente se o usuário responder em 24 horas ou alegar uma violação de dados para fazer o usuário atualizar a senha. É raro essas táticas estarem vinculadas a prazos ou consequências reais, pois o objetivo é impressionar o usuário e levá-lo a realizar uma ação antes que ele suspeite.
  • O corpo da mensagem está cheio de erros. Erros de gramática, ortografia e estrutura das frases podem indicar que um e-mail não é de uma fonte respeitável.
  • Links no corpo da mensagem não correspondem ao domínio do remetente. Grande parte das solicitações legítimas não direcionam os usuários a um site diferente do domínio do remetente. Por outro lado, tentativas de phishing muitas vezes redirecionam os usuários a um site malicioso ou mascaram links maliciosos no corpo do e-mail.
  • O CTA inclui um link para o site do remetente. Mesmo quando um link parece levar a sites legítimos, eles podem redirecionar as vítimas a sites maliciosos ou acionar o download de um malware. Empresas sérias não pedem para os usuários revelarem informações confidenciais (por exemplo, números de cartão de crédito) após o clique em um link.*

Em geral, quanto mais sofisticada a tentativa de phishing, menor a probabilidade de esses elementos aparecerem no e-mail. Por exemplo, alguns e-mails de phishing usam logotipos e gráficos de empresas conhecidas para fazer a mensagem parecer autêntica, enquanto outros invasores podem programar todo o corpo do e-mail como um hiperlink malicioso.

*Há exceções a essa regra, como solicitações de redefinição de senha e verificação de conta. Tentativas de phishing também podem falsificar esses tipos de solicitações; portanto, é bom checar duas vezes o endereço do remetente antes de clicar em alguma coisa.*

Como evitar ataques de phishing

Assim como com qualquer tipo de e-mail não solicitado (o chamado "spam"), e-mails de phishing não podem ser completamente eliminados por uma ferramenta de segurança ou um serviço de filtragem. No entanto, os usuários podem adotar diversas ações para diminuir as chances de um ataque bem-sucedido:

  • Verifique se há elementos suspeitos nos e-mails. Cabeçalhos de e-mail podem revelar nomes de remetente ou endereços criados para enganar, já o corpo pode incluir anexos e links que camuflam o código malicioso. Portanto, é preciso ter cautela ao abrir uma mensagem de um remetente desconhecido.
  • Não compartilhe informações pessoais. Até mesmo ao se comunicar com uma pessoa confiável, informações pessoais — por exemplo, CPF, dados bancários, senhas etc. — nunca devem ser incluídas no corpo do e-mail.
  • Bloqueie o spam. A maioria dos clientes de e-mail contam com filtros antispam integrados, mas serviços de terceiros podem dar um controle granular maior sobre os e-mails. Outras recomendações para evitar spam em e-mail são cancelar a inscrição em listas de mailing, não abrir e-mails de spam e não compartilhar endereços de e-mail (por exemplo, não listá-los em um site externo da empresa).
  • Use os protocolos de segurança para e-mails. Métodos de autenticação de e-mail, como registros SPF, DKIM e DMARC, ajudam a confirmar a origem da mensagem. Os proprietários de domínio podem configurar esses registros para dificultar que os invasores imitem seus domínios em um ataque de falsificação de domínio.
  • Use um serviço de isolamento do navegador. Serviços de isolamento do navegador isolam e executam o código do navegador na nuvem, o que protege os usuários contra anexos e links com malware entregues por meio de um cliente de e-mail baseado na web.
  • Filtre o tráfego prejudicial com um gateway seguro da web. Um gateway seguro da web (SWG) inspeciona dados e tráfego de rede em busca de malwares conhecidos e, em seguida, bloqueia as solicitações recebidas de acordo com as políticas de segurança predeterminadas. Esse recurso também pode ser configurado para evitar que usuários baixem arquivos (como anexos de um e-mail de phishing) ou compartilhem dados sensíveis.
  • Confirme a mensagem com o remetente. Se a mensagem de e-mail ainda parecer suspeita, confirme se ela realmente foi enviada por uma pessoa ou empresa. Existem diversos métodos de verificação disponíveis, como uma ligação ou mensagens de texto. Em caso de dúvida, pergunte ao remetente se há um jeito mais seguro de transmitir as informações confidenciais solicitadas.

Como a Cloudflare protege contra e-mails de phishing?

A segurança de e-mail da Area 1 da Cloudflare detecta e bloqueia tentativas de phishing em tempo real. A ferramenta monitora proativamente a internet em busca de infraestruturas e campanhas de ataque, descobre tentativas de fraude de e-mail e detecta contas e domínios comprometidos.

Saiba como parar ataques de phishing com a Area 1 da Cloudflare.