20 Maio 2024 · Segurança · Equipa H7Mail
Recebe um email do seu banco a pedir que actualize os seus dados de acesso. O logótipo está correcto, a linguagem parece oficial, e há um link para clicar. Tudo parece legítimo. Mas não é. E um ataque de phishing.
O phishing é uma das formas mais comuns de ataque informático e uma das maiores ameaças ao email empresarial em todo o mundo, incluindo em Moçambique. Segundo dados internacionais, mais de 90% dos ataques informáticos a empresas começam com um email de phishing.
A boa notícia é que, com as medidas certas, é possível reduzir drasticamente o risco. Neste artigo, vamos explicar o que é o phishing, como identificar tentativas de ataque e o que pode fazer para proteger a sua empresa.
O phishing é uma técnica utilizada por criminosos para enganar as pessoas e levá-las a partilhar informação sensível: palavras-passe, dados bancários, números de cartão de crédito ou credenciais de acesso a sistemas empresariais.
O nome vem do inglês “fishing” (pescar), porque o atacante lança um “isco” (um email falso) e espera que alguém “morda” (clique no link ou forneça os dados pedidos).
Os ataques de phishing podem assumir várias formas:
Email falso de uma entidade conhecida: O atacante faz-se passar por um banco, uma operadora de telecomunicações, um fornecedor ou até por um colega de trabalho.
Páginas falsas: O email contém um link que leva a uma página idêntica à do banco ou do serviço em questão, mas que é controlada pelo atacante.
Anexos maliciosos: O email inclui um ficheiro (muitas vezes disfarçado de factura ou documento) que, ao ser aberto, instala software malicioso no computador.
Spear phishing: Uma versão mais sofisticada, dirigida especificamente a uma pessoa ou empresa, utilizando informação personalizada para tornar o ataque mais convincente.
Apesar de os ataques estarem cada vez mais sofisticados, existem sinais que podem ajudá-lo a identificar um email fraudulento. Preste atenção aos seguintes:
Verifique sempre o endereço de email completo do remetente, não apenas o nome que aparece. Um email pode mostrar “Banco XYZ” como nome, mas o endereço real pode ser algo como [email protected] ou [email protected]. Estes não são endereços legítimos.
“A sua conta será encerrada em 24 horas!” ou “Acção imediata necessária!” Os emails de phishing usam frequentemente a urgência para impedir que pense com calma. Nenhuma entidade legítima exige acção imediata por email sem aviso prévio.
Embora os ataques estejam cada vez mais bem escritos, muitos ainda contêm erros gramaticais, traduções estranhas ou linguagem pouco natural. Se um email do seu banco contém frases mal construídas, desconfie.
Antes de clicar em qualquer link, passe o cursor do rato sobre ele (sem clicar) para ver o endereço real. Se o link diz “Aceder à sua conta” mas aponta para um domínio estranho como xyz123-login.com, não clique.
Nenhum banco, operadora ou serviço legítimo pede palavras-passe, números de cartão ou dados pessoais por email. Se um email lhe pede este tipo de informação, é quase certamente fraudulento.
Recebeu uma “factura” de um fornecedor com quem não tem negócios? Ou um “documento importante” de alguém que não conhece? Não abra o anexo. Confirme primeiro com o remetente por outro canal (telefone, por exemplo).
Para tornar isto mais concreto, eis alguns cenários que já foram reportados no contexto moçambicano:
Email falso do M-Pesa: “A sua conta M-Pesa foi suspensa. Clique aqui para reactivar.” O link leva a uma página falsa que pede o PIN e os dados de acesso.
Falso fornecedor: Uma empresa recebe um email aparentemente do seu fornecedor habitual, com novos dados bancários para pagamento. Os dados são do atacante.
Falsa actualização de sistema: “O seu email empresarial precisa de ser actualizado. Insira a sua palavra-passe actual.” Ao inserir, o atacante ganha acesso à conta.
Proposta comercial falsa: Um ficheiro Excel ou PDF anexo que contém código malicioso. Ao abrir o ficheiro, o computador fica comprometido.
A protecção contra phishing combina tecnologia com boas práticas. Eis o que pode fazer:
Crie o hábito de verificar o endereço de email completo antes de responder ou clicar em qualquer link. Não confie apenas no nome que aparece.
Se receber um email do banco ou de qualquer serviço a pedir que faça login, não use o link do email. Abra o navegador e escreva o endereço directamente.
A autenticação de dois factores adiciona uma camada extra de segurança. Mesmo que alguém obtenha a sua palavra-passe, não conseguirá aceder à conta sem o segundo factor (normalmente um código enviado para o telemóvel).
As actualizações de segurança corrigem vulnerabilidades que os atacantes exploram. Certifique-se de que o sistema operativo, o navegador e o antivírus estão sempre actualizados.
Nunca envie palavras-passe por email. Se um colega precisa de acesso a algo, utilize os mecanismos de partilha adequados ou peça ao administrador para criar credenciais próprias.
Se receber um email suspeito de um fornecedor, colega ou parceiro, contacte-o por telefone ou pessoalmente antes de tomar qualquer acção.
O elo mais fraco da segurança é quase sempre o factor humano. Invista tempo a formar os seus colaboradores sobre como identificar emails de phishing. Uma sessão de 30 minutos pode evitar prejuízos significativos.
As boas práticas individuais são essenciais, mas a tecnologia também desempenha um papel fundamental. Um serviço de email profissional oferece várias camadas de protecção automática:
Filtros de spam avançados: Analisam cada email recebido e bloqueiam automaticamente mensagens suspeitas antes de chegarem à sua caixa de entrada.
Verificação de remetentes (SPF, DKIM, DMARC): Tecnologias que verificam se o email vem realmente de quem diz ser, dificultando a falsificação de identidade.
Análise de links e anexos: Os links e ficheiros anexos são analisados automaticamente para detectar ameaças antes de os abrir.
Protecção contra falsificação: O sistema detecta e bloqueia tentativas de usar o nome da sua empresa para enviar emails fraudulentos.
O H7Mail integra todas estas camadas de protecção, incluindo verificação de remetentes, filtragem inteligente de spam e análise de ameaças em tempo real. Tudo isto funciona de forma automática, sem que precise de configurar nada.
Se suspeitar que foi vítima de phishing, actue rapidamente:
Altere a palavra-passe imediatamente, tanto do email como de qualquer outro serviço onde use a mesma palavra-passe.
Informe o administrador de TI da sua empresa para que possa verificar se houve acessos não autorizados.
Não apague o email fraudulento. Guarde-o como prova e para ajudar a equipa técnica a analisar o ataque.
Verifique a sua conta à procura de emails enviados sem o seu conhecimento, regras de reencaminhamento suspeitas ou alterações nas configurações.
Informe os seus contactos se achar que a sua conta foi usada para enviar emails fraudulentos.
O phishing é uma ameaça real e crescente, mas não é invencível. Com atenção, boas práticas e as ferramentas certas, pode proteger a sua empresa de forma eficaz.
A combinação de formação da equipa com um serviço de email que ofereça protecção avançada é a melhor defesa possível. O H7Mail foi construído com a segurança como prioridade, para que possa concentrar-se no seu negócio sem preocupações.
Proteja a sua empresa hoje. Visite h7mail.email e descubra como.