Saldos de verão já arrancaram e os burlões estão a espreita. Conheça as principais estratégias de phishing
Contas pessoais são o alvo dos esquemas de phishing
Alguns sites de phishing têm como objetivo obter dados através das contas pessoais dos utilizadores, nas redes sociais e nas apps de mensagens, sob vários disfarces. Solicitam informações que, uma vez submetidas, são transmitidas diretamente para autores destas fraudes.
Recentemente, em Singapura, cibercriminosos criaram um site de phishing que prometia pagamentos no novo ano, supostamente provenientes do Ministério das Finanças.
Criaram um site a imitar o do ministério e, para receber o pagamento, os visitantes eram aliciados a introduzir os dados da sua conta Telegram. Aí, os burlões obtinham o acesso total à conta, que levava ao roubo de identidade digital e ao acesso a conversas privadas para envolvimento em atividades maliciosas em nome da vítima.
Sites de phishing semelhantes aos dos bancos
Na véspera de Ano Novo os burlões criaram sites de phishing onde convidavam os utilizadores a participar em sorteios, com o objetivo de obter os seus dados bancários. Nas Filipinas, os utilizadores eram convidados a rodar uma roda da sorte e, depois de ver os seus ganhos, eram encaminhados para um site fraudulento do seu “banco”. Aí, os criminosos tinham acesso às credenciais bancárias das suas vítimas e por fim, aos seus fundos e poupanças.
Gift-boxes falsas de criptomoedas
Os cibercriminosos também aproveitam a popularidade das criptomoedas para perpetrar os seus crimes. Os atacantes a dedicam-se bastante à criação de e-mails e sites de phishing credíveis que impeçam o utilizador de perceber que está perante um esquema de phishing.
Num caso divulgado pela Kaspersky, os burlões criaram uma página de phishing que copiava a oferta oficial do Courtyard.io, um website que permite aos utilizadores converter objetos físicos de coleção em tokens. O site Courtyard.io original convidava os utilizadores a registarem-se e a comprarem uma caixa de Ano Novo contendo um cartão Pokémon. Os atacantes criaram uma página de phishing com a mesma oferta, no qual os visitantes receberiam uma caixa surpresa e, para recolher esta oferta, tinham de conectar uma carteira de criptomoedas. Assim que o faziam, os atacantes conseguiam ter acesso aos seus dados e roubar os seus fundos.
DICAS
“Os burlões são criativos e astutos. Em resposta, temos de verificar todas as ofertas especiais que chegam por correio eletrónico desconhecido. Felizmente, podemos ter aqui um aliado fiável – uma solução global de cibersegurança que protegerá os seus dados pessoais e o seu dinheiro, impedindo que agentes maliciosos roubem as suas férias”, comenta Olga Svistunova, analista sénior de conteúdos Web da Kaspersky.
Para evitar as burlas relacionadas com esta época festiva, os especialistas da Kaspersky partilham algumas dicas simples:
- Verifique sempre a fonte. Antes de aceitar qualquer oferta especial, verifique a legitimidade da fonte. Se for de uma marca ou organização conhecida, consulte o seu site oficial ou os canais das redes sociais para confirmar as campanhas de ofertas.
- Escreva o URL na barra de endereço. Não abra a hiperligação do e-mail: pode ser uma hiperligação de phishing. Sempre que for necessário abrir um site, recomenda-se que escreva o URL na barra de endereços, evitando quaisquer ligações no correio eletrónico.
- Procure os sinais de alerta na oferta. Desconfie de ofertas que pareçam demasiado boas para serem verdadeiras, como ganhar dinheiro ou prémios com pouco ou nenhum esforço. Em cenários que envolvam de criptomoedas, a atenção deve ser ainda maior: os burlões farão o seu melhor para fazer com que uma oferta pareça credível e legítima.
- Não partilhe informações pessoais. Os giveaways legítimos raramente pedem informações pessoais sensíveis. Tenha cuidado com qualquer pedido de detalhes como números de contas bancárias, palavras-passe ou outros dados sensíveis.