Ataques cibernéticos via WhatsApp são cada vez mais frequentes e atingem um número maior de pessoas. Chamado de phishing, esse tipo de ameaça é definido como uma maneira desonesta que cibercriminosos utilizam obter informações pessoais por meio de mensagens falsas. A pesquisa Unisys Security Index 2019 aponta que 85% dos brasileiros já foram vítimas dessas armadilhas e, desse total, 36% reportaram ter recebido mensagens no smartphone por SMS ou WhatsApp simulando serviços.
Para ajudar a população a identificar ameaças e evitar cair em golpes como esse, Mat Newfield, Chief Information Security Officer (CISO) da Unisys, listou abaixo os tipos mais comuns de técnicas utilizadas por criminosos e dicas práticas para se proteger.
Técnicas mais comuns de phishing:
1 – Confiança comercial / autoridades: mensagens que parecem vir de uma organização conhecida ou com a qual você pode fazer negócios. Bancos, governo, companhias aéreas e varejistas são ótimos exemplos. Esses comunicados normalmente fornecem um link convincente para que você insira suas credenciais. Eles podem até mesmo enviar dados para o site real, para que você não perceba que foi roubado.
2 – Solicitações de atualização: são mensagens simples solicitando que você revise um documento ao atualize seus dados em algum banco de informações.
3 – Mensagens de “Heartstring”: são criadas para mexer com as emoções das pessoas em prol de uma causa. Normalmente solicitam ajuda financeira para um parente que sofre de alguma doença rara.
4 – Sextortion (chantagem sexual): essas mensagens afirmam saber algo sinistro sobre a vítima e, na verdade, trazem uma “isca” válida que a usuário tenha usado no passado. A demanda é geralmente para um pagamento por bitcoins em troca do sigilo da informação, extraída de uma violação da web anterior.
Formas de verificar se uma mensagem é phishing:
1 – Questione tudo: se você receber uma mensagem de uma amiga eu empresa pedindo algo fora do comum, ligue para eles e cheque se a demanda é real.
2 – Verifique links: colocar o mouse sobre um link mostrará a URL à qual ele se destina. Se o link deveria redirecionar para um determinado website oficial, mas parece suspeito, não clique nele.
3 – Analise todos os aspectos da mensagem: procure por elementos como erros de gramática e ortografia ou troca de letras – eles indicam que pode se tratar de um comunicado falso.
4 – Considere adicionar autenticação multifator a sistemas críticos: muitos provedores aplicativos e smartphones oferecem soluções gratuitas aos consumidores para adicionar proteções às suas contas, como autenticação multifator. Aposte nessas estratégias para reforçar a segurança de informações confidenciais.
“Ao receber alguma mensagem inesperada, um conselho que damos é controlar a ansiedade e obter mais informações em fontes confiáveis. A maioria dos ataques explora o emocional das pessoas fazendo com que elas entrem em pânico e sintam que há uma urgência significativa na solicitação. Tirando alguns minutos extras, você pode evitar cair em armadilhas”, comenta Newfield.
“Muitos das mensagens de phishing são praticamente indistinguíveis das oficiais, portanto, a dica é pensar em todos os dias como se fossem o ‘Dia da Mentira’. Mantenha seu ceticismo elevado e não seja pressionado a clicar em links, nem forneça suas informações de login a nada em você clicou. Esteja disposto a perder aquela ‘oferta única’, que provavelmente era boa demais para ser verdade”, completa Tom Patterson, Chief Trust Officer (CTO) da Unisys.