Spoofing de e-mail: o que é e como se proteger

Cada vez mais a internet está repleta de hackers e indivíduos oportunistas mal intencionados que buscam enganar e roubar dados sensíveis de usuários. O Spoofing, tema do post de hoje, é uma das formas mais recorrentes de tentativa de golpe. Nosso objetivo é te informar sobre a maneira que esses criminosos agem para que você consiga se prevenir.

O Spoofing depende da capacidade do criminoso de se passar por uma empresa ou pessoa que tenha certa autoridade, e assim ganhar a confiança do usuário com solicitações que pareçam verídicas a fim de te redirecionar para algum link onde seus dados serão roubados.

Alguns ataques são mais sofisticados, por exemplo o DNS ou o IP são “falsificados” parecendo ser de outra pessoa ou empresa. Mas aqui, falaremos mais de Spoofing por e-mail, já que são mais recorrentes e atingem um volume elevado de pessoas.

O que é spoofing de e-mail?

Nesse caso, algum e-mail é enviado a você fazendo uma solicitação para atualizar a conta, redefinir uma senha, ou qualquer outra solicitação que tente convencer você a clicar em um link que te redireciona para uma página externa.

Clicando nesse link você entra em um ambiente projetado para coletar informações sensíveis, como dados bancários salvos em seu navegador.

Além disso, o e-mail pode estar solicitando informações pessoais dos funcionários ou os dados da empresa, se passando por um parceiro comercial ou algum provedor.

Fica ainda pior, hoje existem sites que permitem falsificar rapidamente os e-mails online. Assim, os cibercriminosos ficam cada vez mais sofisticados. Uma boa notícia é que existem filtros de Spam inteligentes que direcionam alguns desses e-mails diretamente para a caixa de Spam. Mas mesmo assim é bom ficar atento e atualizado, afinal alguns e-mails passam pelo filtro e ficam na caixa de entrada de seu e-mail. Aumentando as chances de você cair em algum golpe como este. Veja algumas dicas abaixo para evitar essa situação.

Como reconhecer um spoofing de e-mail

Quando você abrir um e-mail, faça SEMPRE uma checagem em alguns dados do e-mail, mesmo que pareça tudo familiar para você. Lembrando, spoofing é justamente um golpe onde o cibercriminoso se passa por outra pessoa ou instituição, então é comum que as pessoas reconheçam a logo, o layout do e-mail, a forma de se comunicar da empresa, etc. Mas nem sempre esse tipo de informação indica que o e-mail realmente foi enviado pela empresa legítima. Segue alguns dados que devem ser conferidos.

Domínio genérico: A primeira coisa que você precisa saber aqui é “o que é um domínio”. Caso você ainda tenha dúvidas sobre o assunto, leia primeiro sobre domínio e hospedagem. Sabendo disso, olhe no e-mail que recebeu qual é o remetente (endereço de e-mail que indica quem enviou a mensagem). Mantenha em mente que as empresas costumam enviar e-mails pelo domínio original: nomedaempresa.com.br (pode ter variações nessa estrutura, por exemplo, pode não ter o .br, ou em vez de .com ter algo como .ind ou .adv). Existem alguns geradores de e-mail onde várias letras aleatórias compõem o remetente, cuidado! Isso é um forte indício de problemas. Mesmo sendo um remetente conhecido, isso não é a garantia completa de segurança, já que existem técnicas bem avançadas desse golpe, onde o remetente realmente é bem convincente.
Saudações: Quando você conhece bem quem te enviou a mensagem, vocês costumam se comunicar de forma mais pessoal. Incluindo o nome no e-mail, por exemplo. Quando você notar algum desvio na forma de escrita que não é habitual, certifique-se que o e-mail realmente foi enviado por aquela pessoa.
Solicitação de informações ou clicar em algum link: Sempre que o conteúdo da mensagem te induzir a enviar alguma informação ou te induzir a clicar em algum link, fique de olho! Isso é uma característica marcante do spoofing. Além disso, as solicitações vêm acompanhadas de um “clima de urgência” com frases impactantes, como “atualize suas informações ou sua conta será bloqueada”.
Urgência forçada: como mencionado anteriormente, os cibercriminosos costumam usar copywriting (conjunto de técnicas de escrita) para que você sinta a necessidade de clicar no link ou arquivo. Comumente, esse tipo de artimanha costuma ser usado exageradamente, criando um clima artificial de urgência ligado a algo que você precisa estar fazendo clicando no link do e-mail ou enviando informações.
Anexos: uma atenção especial se deve aos anexos, que podem conter nomes estranhos. Principalmente, anexos terminados em .HTML ou .EXE, pois baixando esses arquivos o malware pode ser instalado no seu dispositivo. NUNCA clique em anexos ou link quando os e-mails forem suspeitos.
Gramática ou Ortografia: Nos golpes menos “bem estruturados” ficam bem óbvios alguns erros de escrita, podendo ser de gramática (norma) ou de ortografia (forma de escrever a palavra). Não é comum que empresas legítimas cometam erros grotescos (um errinho de digitação, esquecer um acento gráfico ou um errinho de concordância não significam que o e-mail é spoofing, lembrando que qualquer pessoa erra). Mas devemos ficar atentos quando são vários erros ou erros muito óbvios.
Truques: Nosso cérebro não capta todas informações, principalmente na leitura. Calma, já vou te explicar. Poucas pessoas que leram esse texto se deram conta que a palavra “informações” está escrita sem a letra “R” na primeira frase deste tópico. Dessa mesma forma, alguns sites são inteiramente clonados, com algumas letrinhas a menos ou trocando o “L” minúsculo( l ) pelo “i” maiúsculo ( I ). Essa técnica é usada nos domínios, que pode parecer o mesmo do que de uma empresa legítima, mas com uma letrinha faltando ou com uma letrinha a mais.
Link: Já falamos deles antes, mas tenho uma dica muito importante. Quando você recebe algum e-mail com link, passando o cursor do mouse sobre o link (que pode ser uma palavra sublinhada ou um “botão” colorido, conhecido por CTA) você consegue visualizar a URL (que é o link propriamente escrito), assim você consegue “ver” para onde esse botão vai te levar. Em alguns casos, com isso você percebe que o site que você será direcionado não tem nada a ver com a suposta empresa que está te enviando o e-mail. Nesse URL você pode ficar esperto com os truques citados acima.

Defesa contra Spoofing

Como de costume, o melhor aliado é o conhecimento. Se você leu esse texto até aqui, tenho certeza que você será capaz de se esquivar de muitas tentativas desse golpe que está cada vez mais recorrente.

Caso você tenha seguido os passos acima e ficou com dúvidas sobre a legitimidade do e-mail, tente entrar em contato com a empresa por outro canal de comunicação (whatsapp, telefone, telegram, skype, etc) para confirmar a veracidade do e-mail.

Se você entrar em um site com aparência suspeita, sem SSL, ou qualquer indício de fraude, saia do site sem compartilhar informações e baixar arquivos.

Além de tudo isso, utilizar antivírus de boa qualidade ajudam em todo o processo. Procure um software que seja recomendado.

Para garantir a segurança, você pode ler esse artigo sobre segurança digital e ficar atento a outras formas de cibercrimes que podem ser evitadas.

Esperamos que tenham gostado, te espero no próximo post!