Surpreendente, não é? Tenho certeza que questionará a audácia da estatística. Posso dizer com confiança que mesmo um especialista em segurança não é imune a ser vítima de e-mails de phishing. É por isso que até as empresas de segurança mais maduras são hackeadas.
Qualquer humano clicará em um e-mail cujo conteúdo apela para uma emoção humana que é fortemente sentida.
Há uma bala de phishing com o nome de todos nela. Para ilustrar o ponto, vamos estudar dois exemplos.
O primeiro está relacionado com a pandemia COVID. Você recebe um telefonema de um interlocutor desconhecido. O interlocutor solicita que seus dados pessoais e número de telefone o cadastrem no programa de imunização. Há uma taxa a ser paga, para a qual um link seria enviado via SMS. Agora pergunte a si mesmo, você daria seus dados pessoais para o interlocutor. Provavelmente não, e certamente não antes de fazer várias perguntas esclarecedoras para verificar o programa e a identidade do chamador ou instituição.
Mas, você faria o mesmo se a informação fosse solicitada por e-mail. A maioria das pessoas que estão ansiosas para receber a vacina preencheria as informações e aguardaria novas instruções. Esse seria o segundo passo, se o scamster pretendia enganá-lo por dinheiro. Em alguns casos, o scamster ficaria satisfeito apenas com seus dados pessoais.
O segundo exemplo é chamado de compromisso de e-mail de negócios. Os cibercriminosos ganharam US$ 26 bilhões com esse tipo de fraude nos últimos quatro anos. Existem muitas variações diferentes, mas o primeiro passo é identificar um funcionário disposto que responderia a um e-mail com uma instrução especificamente elaborada de um idoso. Se você está trabalhando em uma empresa, e seu CEO ou CFO lhe enviou um e-mail, como você reagiria. Acho que instantaneamente. A pegadinha aqui é que, enquanto o pseudônimo de e-mail estava correto, o endereço estava fora de outro usuário em uma conta de e-mail pública como Hotmail ou Google. Portanto, se seu CEO fosse Lúcio Lobo, então o endereço se pareceria com Lúcio Lobo <jynx234@hotmail.com>. A pressão para responder rapidamente ao CEO ou a qualquer executivo sênior pode simplesmente curto-circuito na validação básica que um funcionário normalmente faria. Que neste caso foi entender que o id de e-mail real não é o id da empresa ou como o exemplo indica, não está de forma alguma conectado nem mesmo ao pseudônimo.
Se a emoção humana nos obriga a abandonar a validação extra que normalmente faríamos, então tentar restaurar esse hábito quando se trata de responder a e-mails nos manteria seguros.
Se você deseja responder a e-mails não solicitados, então tente questionar a veracidade do conteúdo do e-mail, como você teria feito se a mesma solicitação fosse feita telefonicamente. Tenha em mente que qualquer e-mail não solicitado é de alto risco.
Aqui estão quatro dicas rápidas, para golpes comuns:
1. Se o e-mail não solicitado está prometendo uma loteria gratuita, trabalho ou qualquer coisa de retorno, provavelmente é falso. Não há nada livre na vida
2. Se o e-mail não solicitado está prometendo algo extraordinário como uma alta taxa de retorno ou pagamento, então evite-o. É falso ou um golpe.
3. Se o e-mail não solicitado está pedindo informações pessoais, é provável que seja um golpe. Pode não ser aquele que faz com que você perca dinheiro, mas na maioria das vezes não enche sua caixa de entrada com e-mails de lixo eletrônico.
4. Se o pseudônimo do e-mail é de alguém que você conhece, mas o id de e-mail é diferente, é um e-mail fraudulento especificamente projetado para evitar filtros de spam.
Tenha essas dicas em mente ao ler seu próximo e-mail não solicitado. No meu próximo blog vamos examinar como evitar ser enganado a partir de um id de e-mail genuíno, mas hackeado.
FONTE: SECURITY BOULEVARD