Uma das portas de entrada preferidas dos criminosos para aceder aos teus dados é o teu email. Embora o correio eletrónico pareça uma área muito privada da internet, a verdade é que muita coisa pode correr mal.
Serviços como o Gmail e o Outlook possuem barreiras de segurança robustas, mas nem tudo é detetado, especialmente porque os hackers utilizam cada vez mais Inteligência Artificial (IA) para criar ataques mais sofisticados. Vamos mostrar-te como podes reconhecer um email de phishing.
A linha de assunto
Os hackers jogam com o tempo. O objetivo é fazer-te sentir pressionado a agir, porque sob pressão não pensas com clareza. Se receberes um email a informar que tens de pagar imediatamente 500 euros às Finanças para não perderes a tua casa, é natural que entres em pânico.
O mesmo acontece se o diretor da tua empresa te enviar um email a pedir uma transferência urgente. Este tipo de tática é largamente utilizado e leva ao desvio de enormes quantias de dinheiro, mesmo em grandes empresas.
Por isso, analisa sempre com atenção a linha de assunto. Pergunta a ti mesmo se o conteúdo faz sentido e, principalmente, se transmite um caráter de urgência. A maioria das empresas sabe que os burlões usam este método e, por isso, raramente colocarão algo tão alarmista no assunto de um email. Termos como “URGENTE”, “Ação necessária” ou, pior ainda, “Último aviso!” são raramente usados por entidades legítimas. Encare-os como o primeiro grande sinal de alerta de que podes estar perante uma tentativa de phishing.
O remetente
Os cibercriminosos sabem perfeitamente que não vais abrir um email enviado em nome próprio. Em vez disso, usam nomes de empresas muito conhecidas, não só pela sua notoriedade, mas também porque é provável que sejas cliente delas.
A Autoridade Tributária e Aduaneira (Finanças) é um bom exemplo, pois todos temos obrigações fiscais. Ninguém quer problemas com as Finanças, o que nos torna mais vulneráveis a este tipo de abordagem. Bancos, os CTT ou o suporte da Apple são outros nomes frequentemente usados pelos burlões para se fazerem passar por remetentes legítimos.
Verifica sempre com o máximo cuidado o endereço de email do remetente. Um hacker não consegue enviar um email a partir de `[email protected]`, mas pode tentar enganar-te com algo como `[email protected]`. Pode não ser óbvio à primeira vista, mas a letra “o” foi trocada por um zero (“0”). O domínio — a parte do endereço que vem depois do símbolo “@” — tem de ser sempre idêntico ao do site oficial da empresa. Na dúvida, pesquisa o nome da empresa no Google para confirmares qual é o seu domínio oficial.
Verifica a linguagem e as imagens
Agora, vamos analisar o corpo do email. O tom é profissional e cuidado, ou parece desleixado? Encontras erros ortográficos grosseiros ou frases que soam a uma tradução automática mal feita? Estes são, frequentemente, elementos característicos de um email de phishing.
É verdade que os hackers usam cada vez mais IA para eliminar estes erros, o que torna a deteção mais difícil. No entanto, quando combinados com os outros sinais de alerta, estes pormenores podem ser a pista que faltava para confirmares as tuas suspeitas.
Observa também as imagens no email: o logótipo está correto e com boa qualidade? Existem elementos que parecem ter sido “colados” de forma amadora? Estes são sinais claros de que alguém te está a tentar enganar.
Os links
Não cliques, mas investiga: os links no email são uma das maiores pistas. Ao passares o cursor do rato por cima de um link — sem clicar — consegues ver o endereço real para o qual ele aponta. Muito provavelmente, não será o domínio que esperas. Um URL excessivamente longo e complexo é também, muitas vezes, um motivo para desconfiar.
Se um email diz ser das Finanças, mas o URL não começa com `https://www.portaldasfinancas.gov.pt`, é quase certo que se trata de uma fraude. Na mesma lógica, nunca descarregues anexos de emails suspeitos.
Por fim, e tal como noutras tentativas de burla, confia no teu instinto. Se sentes que “algo aqui não bate certo”, é muito provável que tenhas razão. E se, por descuido, acabaste por clicar? A primeira coisa a fazer é alterar imediatamente as tuas palavras-passe mais importantes. Depois, executa uma análise completa com o teu antivírus, garantindo que está atualizado. Se o email estiver relacionado com o teu trabalho, informa imediatamente o departamento de TI da tua empresa.
