Phishing: como se proteger
O phishing é um dos ataques mais comuns na internet. Isso ocorre pois se trata de um golpe relativamente fácil de ser aplicado em massa. A técnica se vale de e-mails, mensagens e páginas web falsas com o objetivo de capturar informações pessoais e senhas de usuários.
Embora o sistema de correio possua filtro anti-spam, algumas mensagens, geralmente de novos remetentes, acabam chegando até as caixas de entrada. Por isso, importante saber identificar e tratar essas mensagens, marcando-as como spam. Além disso, importante o cuidado com o e-mail institucional, com especial atenção aos sites que solicitam e-mail para cadastro.
Formas mais comuns
Essas mensagens aparecem como avisos de instituições bancárias, da Receita Federal, da equipe de suporte técnico ou do administrador do sistema, solicitando sua senha, atualização dos dados cadastrais ou o pagamento de um boleto.
Como identificar?
1) As mensagens recebidas quase sempre passam um senso de urgência e exigem que seja feita uma ação (Ex: clique aqui, atualize sua conta, corrija esse problema ou perderá acesso ao seu e-mail).
2) As mensagens solicitam informações pessoais ou disponibilizam um link para fazer uma atualização ou para informar seus dados. Ao clicar, você é redirecionado para um site fora da instituição (fora do domínio .unila.edu.br) e os dados lá informados ficam armazenados e disponíveis para o golpista.
3) As mensagens normalmente apresentam erros de português, já que são traduzidas para o português ou espanhol com tradutores automáticos.
4) Um site falso pode se parecer com um site legítimo. O que denuncia um site falso é seu endereço. Sites da UNILA, por exemplo, sempre terão o endereço (URL) terminado em ".unila.edu.br". Esse endereço pode ser seguido de barras e outros sub-endereços mas nunca ".com.br", por exemplo.
Na figura abaixo, um exemplo de mensagem de e-mail com características de phishing. Para reconhecê-la, seguem algumas orientações:
(1) passe o mouse sobre o remetente e verifique se é um endereço de e-mail conhecido e que tem relação com a mensagem enviada; (2) posicione o mouse sobre o destinatário, verifique se a mensagem tinha o seu endereço como destino; (3) não clique em qualquer link na mensagem sem antes ter certeza para qual site você será direcionado; (4) passe o mouse sobre o link e verifique o endereço mostrado no rodapé. Desconfie de endereços fora do domínio unila.edu.br.
5) Além de verificar se está digitando a senha em um site legítimo, é importante verificar se a comunicação está sendo feita por meio de protocolo seguro HTTPS. Isso evita que alguém mal intencionado capture seus dados e senhas por meio de uma rede de dados. O HTTPS é identificado por um cadeado no lado esquerdo do endereço do website acessado. Outra forma de identificar é que o endereço do site é iniciado por “https://”, em vez de http://. A maioria dos sites de phishing não usa https, por isso é sempre importante verificar.
O que fazer caso tenha recebido tentativas de phishing?
Caso o phishing venha por e-mail, apenas marque-o como "spam". Não responda a mensagem (pois com isso, o atacante sabe que o seu e-mail realmente existe e passa a se utilizar dele para aplicar novos golpes).
Caso tenha passado alguma informação, altere imediatamente sua senha nos sistemas fornecidos pela universidade https://minhasenha.unila.edu.br/. Em caso de dúvida, entre em contato com a Central de Serviços pelo (https://servicos.unila.edu.br), na categoria Dúvidas, ou pelo ramal 7777.
Lembramos que a CTIC em hipótese alguma solicitará senhas ou dados pessoais por e-mail.
Referência e informações adicionais: Cartilha de Segurança para Internet do CERT.br, disponível em: https://cartilha.cert.br/ e https://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf