Cartilha de Segurança contra Golpes na Internet

O sistema de e-mails da UFSC é vítima de ataques de spam diariamente e apesar de possuirmos um sistema de filtragem antispam, nem sempre ele é eficiente o suficiente para evitar que mensagens maliciosas passem e sejam entregues na caixa de entrada dos usuários, com isso, muitos usuários acabam acreditando nas tais mensagens e fornecendo dados de segurança, ou clicando em links que levam a formulários ou sites falsos que solicitam a digitação de senhas e outras informações pessoais.

A SeTIC solicita a atenção dos usuários para as seguintes situações:

  1. A SeTIC nunca solicita senhas, nem dados pessoais em mensagens inesperadas pelo usuário. Atente que nós somos “administradores dos sistemas e serviços” e para tanto, dentro da ética profissional e respeito a privacidade dos usuários, temos condições administrativas de acessar os bancos de dados onde as informações pessoais e institucionais de todos os usuários estão armazenadas, então não necessitamos que um usuário nos envie seus dados, a menos que explicitamente, em algum atendimento esperado ou solicitado pelo próprio usuário, este seja requerido por nós como forma de comprovar sua identidade.
  2. Desconfie sempre que receber mensagens solicitando dados, ameaçando cancelar acessos a serviços ou pedindo pra clicar em links, sem que você esteja esperando alguma mensagem dessa natureza. Nos casos de spams que possuam links a serem clicados, o usuário poderá constatar, ao passar o mouse por cima do link (sem clicar), que o mesmo direciona para algum arquivo ou site em endereços com domínios que não tem nada a ver com a UFSC (domínios UFSC terminam com “http://….ufsc.br/”).
  3. Mensagens recebidas de um endereço de e-mail legítimo da UFSC, fazendo alguma solicitação ou ameaça de cancelamento de acesso.  Infelizmente, existem casos de mensagens que realmente são enviadas de contas de usuários legítimos, que tiveram suas senhas comprometidas, causando assim uma certa sensação de legitimidade na mensagem, porém ela é um spam falso tentando iludir outro usuário. Desconfie de mensagens que são enviadas de contas de e-mails institucionais pessoais (nome.sobrenome@*ufsc.br) que vocês não sejam de seus contatos comuns, ou que não estejam esperando, principalmente se essa contenha alguma solicitações suspeitas ou de cunho administrativo, que envolvam o fornecimento de dados pessoais e de segurança, ou ações solicitando clicar em links. As mensagens enviadas pela SeTIC, geralmente são enviadas por contas de e-mails de sistemas (***@sistemas.ufsc.br), nunca de contas institucionais pessoais. Mas lembre-se, se não estiver esperando uma determinada mensagem, desconfie e na dúvida entre em contato com a SeTIC através do seu Sistema de Antendimento, questionando sua legitimidade.
  4. Ao acessar algum site ou formulários que solicitem senhas ou outros dados de segurança, sempre verifique o endereço/domínio que aparece no navegador. Certifique-se que esteja em um site confiável e com certificado de segurança ativado. Já aconteceram casos de ataques de spam onde o atacante copiou a tela do webmail da UFSC e fez diversos usuários fornecerem suas contas de e-mail e senhas inadvertidamente, pois os usuários incautos não perceberam que o endereço ao qual ele foi direcionado, não era do site legítimo com um domínio da UFSC, apesar de ter a mesma aparência.
  5. Umas das consequências mais desagradáveis que toda a comunidade da UFSC enfrenta, devido aos efeitos colaterais dessas mensagens de spam enviadas de contas de usuários que tiveram suas senhas comprometidas, são os constantes bloqueios em “Listas Negras” dos IPs das máquinas servidoras do serviço  Um caso recente foi o de rejeição de mensagens originadas da UFSC para contas de e-mail de domínios da Microsoft (hotmail, live, msn… etc), o qual, por descuido de alguns usuários, causou enorme transtorno para toda a comunidade acadêmica.

É claro que os golpes na internet não estão limitados somente ao roubo de senhas de e-mail, por isso coletamos na internet algumas informações úteis de como os usuários podem precaver-se de mensagens potencialmente maliciosas, enviadas em ataques de SPAM, identificando suas principais características. Esses ataques, que geralmente tentam enganar um usuário passando-se por mensagens de remetentes com identidades legítimas, são denominados Phishings.

Um Phishingphishing-scam ou phishing/scam, é um tipo de fraude por meio da qual um golpista tenta obter dados pessoais e financeiros de um usuário, pela utilização combinada de meios técnicos e engenharia social.

phishing ocorre por meio do envio de mensagens eletrônicas que:

  • tentam se passar pela comunicação oficial de uma instituição conhecida, como um banco, uma empresa ou um site popular;
  • procuram atrair a atenção do usuário, seja por curiosidade, por caridade ou pela possibilidade de obter alguma vantagem financeira;
  • informam que a não execução dos procedimentos descritos pode acarretar sérias consequências, como a inscrição em serviços de proteção de crédito e o cancelamento de um cadastro, de uma conta bancária ou de um cartão de crédito;
  • tentam induzir o usuário a fornecer dados pessoais e financeiros, por meio do acesso a páginas falsas, que tentam se passar pela página oficial da instituição; da instalação de códigos maliciosos, projetados para coletar informações sensíveis; e do preenchimento de formulários contidos na mensagem ou em páginas Web.

Para atrair a atenção do usuário as mensagens apresentam diferentes tópicos e temas, normalmente explorando campanhas de publicidade, serviços, a imagem de pessoas e assuntos em destaque no momento. Exemplos de situações envolvendo phishing são:

  • Páginas falsas de comércio eletrônico ou Internet Banking: você recebe um e-mail, em nome de um site de comércio eletrônico ou de uma instituição financeira, que tenta induzi-lo a clicar em um link. Ao fazer isto, você é direcionado para uma página Web falsa, semelhante ao site que você realmente deseja acessar, onde são solicitados os seus dados pessoais e financeiros.
  • Páginas falsas de redes sociais ou de companhias aéreas: você recebe uma mensagem contendo um link para o site da rede social ou da companhia aérea que você utiliza. Ao clicar, você é direcionado para uma página Web falsa onde é solicitado o seu nome de usuário e a sua senha que, ao serem fornecidos, serão enviados aos golpistas que passarão a ter acesso ao site e poderão efetuar ações em seu nome, como enviar mensagens ou emitir passagens aéreas.
  • Mensagens contendo formulários: você recebe uma mensagem eletrônica contendo um formulário com campos para a digitação de dados pessoais e financeiros. A mensagem solicita que você preencha o formulário e apresenta um botão para confirmar o envio das informações. Ao preencher os campos e confirmar o envio, seus dados são transmitidos para os golpistas.
  • Mensagens contendo links para códigos maliciosos: você recebe um e-mail que tenta induzi-lo a clicar em um link, para baixar e abrir/executar um arquivo. Ao clicar, é apresentada uma mensagem de erro ou uma janela pedindo que você salve o arquivo. Após salvo, quando você abri-lo/executá-lo, será instalado um código malicioso em seu computador.
  • Solicitação de recadastramento: você recebe uma mensagem, supostamente enviada pelo grupo de suporte da instituição de ensino que frequenta ou da empresa em que trabalha, informando que o serviço de e-mail está passando por manutenção e que é necessário o recadastramento. Para isto, é preciso que você forneça seus dados pessoais, como nome de usuário e senha.

 

Exemplos de tópicos e temas de mensagens de phishing.
Tópico Tema da mensagem
Serviços de e-mail recadastramento, caixa postal lotada, atualização de banco de dados
Álbuns de fotos e vídeos pessoa supostamente conhecida, celebridades
algum fato noticiado em jornais, revistas ou televisão
traição, nudez ou pornografia, serviço de acompanhantes
Antivírus atualização de vacinas, eliminação de vírus
lançamento de nova versão ou de novas funcionalidades
Associações assistenciais AACD Teleton, Click Fome, Criança Esperança
Avisos judiciais intimação para participação em audiência
comunicado de protesto, ordem de despejo
Cartões de crédito programa de fidelidade, promoção
Cartões virtuais UOL, Voxcards, Yahoo! Cartões, O Carteiro, Emotioncard
Comércio eletrônico cobrança de débitos, confirmação de compra
atualização de cadastro, devolução de produtos
oferta em site de compras coletivas
Companhias aéreas promoção, programa de milhagem
Eleições título eleitoral cancelado, convocação para mesário
Empregos cadastro e atualização de currículos, processo seletivo em aberto
Imposto de renda nova versão ou correção de programa
consulta de restituição, problema nos dados da declaração
Internet Banking unificação de bancos e contas, suspensão de acesso
atualização de cadastro e de cartão de senhas
lançamento ou atualização de módulo de segurança
comprovante de transferência e depósito, cadastramento de computador
Multas e infrações de trânsito aviso de recebimento, recurso, transferência de pontos
Músicas canção dedicada por amigos
Notícias e boatos fato amplamente noticiado, ataque terrorista, tragédia natural
Prêmios loteria, instituição financeira
Programas em geral lançamento de nova versão ou de novas funcionalidades
Promoções vale-compra, assinatura de jornal e revista
desconto elevado, preço muito reduzido, distribuição gratuita
Propagandas produto, curso, treinamento, concurso
Reality shows Big Brother Brasil, A Fazenda, Ídolos
Redes sociais notificação pendente, convite para participação
aviso sobre foto marcada, permissão para divulgação de foto
Serviços de Correios recebimento de telegrama online
Serviços de proteção de crédito regularização de débitos, restrição ou pendência financeira
Serviços de telefonia recebimento de mensagem, pendência de débito
bloqueio de serviços, detalhamento de fatura, créditos gratuitos
Sites com dicas de segurança aviso de conta de e-mail sendo usada para envio de spam (Antispam.br)
cartilha de segurança (CERT.br, FEBRABAN, Abranet, etc.)
Solicitações orçamento, documento, relatório, cotação de preços, lista de produtos

Prevenção:

  • fique atento a mensagens, recebidas em nome de alguma instituição, que tentem induzi-lo a fornecer informações, instalar/executar programas ou clicar em links;
  • questione-se por que instituições com as quais você não tem contato estão lhe enviando mensagens, como se houvesse alguma relação prévia entre vocês (por exemplo, se você não tem conta em um determinado banco, não há porque recadastrar dados ou atualizar módulos de segurança);
  • fique atento a mensagens que apelem demasiadamente pela sua atenção e que, de alguma forma, o ameacem caso você não execute os procedimentos descritos;
  • não considere que uma mensagem é confiável com base na confiança que você deposita em seu remetente, pois ela pode ter sido enviada de contas invadidas, de perfis falsos ou pode ter sido forjada;
  • seja cuidadoso ao acessar links. Procure digitar o endereço diretamente no navegador Web;
  • verifique o link apresentado na mensagem. Golpistas costumam usar técnicas para ofuscar o link real para o phishing. Ao posicionar o mouse sobre o link, muitas vezes é possível ver o endereço real da página falsa ou código malicioso;
  • utilize mecanismos de segurança, como programas antimalwarefirewall pessoal e filtros antiphishing;
  • verifique se a página utiliza conexão segura. Sites de comércio eletrônico ou Internet Banking confiáveis sempre utilizam conexões seguras quando dados sensíveis são solicitados;
  • verifique as informações mostradas no certificado. Caso a página falsa utilize conexão segura, um novo certificado será apresentado e, possivelmente, o endereço mostrado no navegador Web será diferente do endereço correspondente ao site verdadeiro;
  • acesse a página da instituição que supostamente enviou a mensagem e procure por informações (você vai observar que não faz parte da política da maioria das empresas o envio de mensagens, de forma indiscriminada, para os seus usuários).

O material apresentado nesta página, é uma reprodução do conteúdo publicado no site do CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil):