O phishing (pronuncia-se como "fishing") é um ataque que tenta roubar o seu dinheiro ao levá-lo a revelar informações pessoais - tais como números de cartões de crédito, informações bancárias ou palavras-passe - em sites que fingem ser legítimos. Normalmente, os cibercriminosos fingem ser empresas fidedignas, amigos ou conhecidos numa mensagem falsa, que contém uma ligação para um site de phishing.
Selecione os títulos abaixo para obter mais informações
O phishing é uma forma popular de cibercrime por ser tão eficiente. Os cibercriminosos têm sido bem-sucedidos através de e-mails, mensagens sms e mensagens diretas nas redes sociais ou em videojogos, para que as pessoas respondam com as suas informações pessoais. A melhor defesa é estar informado e saber o que deve procurar.
Eis algumas formas de reconhecer um e-mail de phishing:
-
Chamada urgente para ação ou ameaças – desconfie de e-mails e mensagens do Teams que afirmam que tem de clicar, ligar ou abrir um anexo imediatamente. Muitas vezes, afirmam que tem de agir agora para reclamar uma recompensa ou evitar uma penalidade. Criar uma falsa sensação de urgência é um truque comum de ataques de phishing e esquemas fraudulentos. Fazem-no para que não pense muito nisso ou consulte um assistente de confiança que o possa avisar.
: Sempre que vir uma mensagem a pedir-lhe para agir de imediato, faça uma pausa e leia cuidadosamente a mensagem. Tem a certeza de que é verdadeira? Resista ao impulso inicial e mantenha-se em segurança.
-
Primeira vez, remetentes pouco frequentes ou remetentes marcados como [Externo] - Embora não seja incomum receber um e-mail ou mensagem do Teams de alguém pela primeira vez, especialmente se estiverem fora da sua organização, isto pode ser um sinal de phishing. Abrande e tome cuidado extra nestas alturas. Quando receber um e-mail ou uma mensagem do Teams de alguém que não reconhece ou que o Outlook ou o Teams identifica como um novo remetente, dedique algum tempo a examiná-lo com mais cuidado ao utilizar algumas das medidas abaixo.
-
Ortografia e má gramática – normalmente, as empresas e organizações profissionais têm uma equipa editorial e de escrita para garantir que os clientes obtêm conteúdos profissionais de alta qualidade. Se uma mensagem de e-mail tiver erros ortográficos ou gramaticais óbvios, pode ser uma fraude. Por vezes, estes erros são o resultado de uma tradução inadequada de um idioma estrangeiro, podendo igualmente ser deliberados numa tentativa de escapar aos filtros que tentam bloquear estes ataques.
-
Saudações genéricas - Uma organização que trabalhe consigo deverá saber o seu nome. Hoje em dia, personalizar um e-mail é bastante fácil. Se o e-mail começar com um "Exmos. Srs.", isso poderá ser um sinal de que o e-mail não é proveniente do seu banco ou site de compras.
-
Domínios de e-mail não correspondentes – se o e-mail afirmar ser proveniente de uma empresa de renome, como a Microsoft ou o seu banco, mas o e-mail estiver a ser enviado a partir de outro domínio de e-mail, como Gmail.com, ou microsoftsupport.ru é provavelmente um esquema fraudulento. Esteja atento relativamente a erros ortográficos subtis no nome legítimo. Por exemplo, micros0ft.com em que o "o" foi substituído por um "0" ou rnicrosoft.com, em que "m" foi substituído por "rn" Estes são truques comuns por parte dos criminosos.
-
O Outlook mostra-lhe uma faixa que indica que não conseguimos verificar o remetente – o Outlook mostra-lhe esta faixa quando algo nos cabeçalhos de e-mail é suspeito. Talvez o e-mail tenha falhado na autenticação utilizando padrões de Internet geralmente aceites. Talvez o campo De possa ter um valor que se desvia das normas da indústria para deturpar o remetente real e enganar o servidor de e-mail. Seja o que for, deve manter-se cauteloso quanto ao conteúdo do e-mail.
-
Ligações suspeitas ou anexos inesperados – se suspeitar que uma mensagem de e-mail ou uma mensagem no Teams é um esquema fraudulento, não abra quaisquer ligações ou anexos que veja. Em vez disso, paire o rato sobre, mas não clique na ligação. Observe o endereço que aparece quando paira o cursor do rato sobre a ligação. Pergunte a si mesmo se esse endereço corresponde à ligação que foi digitada na mensagem. No exemplo seguinte, colocar o rato sobre a ligação revela o endereço Web real na caixa com o fundo amarelo. A cadeia de números não se assemelha ao endereço Web da empresa.
: No Android, prima longamente a ligação para obter uma página de propriedades que revelará o destino verdadeiro da ligação. No iOS, faça o que a Apple chama de "Leve, imprensa longa".
Os cibercriminosos também o podem persuadir a visitar sites falsos com outros métodos, tais como mensagens de texto ou chamadas telefónicas. Se se sente ameaçado ou pressionado, talvez seja altura de desligar, encontrar o número de telefone do estabelecimento e ligar de volta quando a sua cabeça estiver limpa. Os cibercriminosos sofisticados montam centros de atendimento para ligar ou enviar mensagens de texto automáticas a potenciais alvos. Estas mensagens frequentemente incluem pedidos para que introduza um número PIN ou outro tipo de informações pessoais.
Para obter mais informações, veja Como detetar um esquema de "ordem falsa".
É um administrador ou um profissional de TI?
Nesse caso, deve estar ciente de que as tentativas de phishing podem estar a visar os seus utilizadores do Teams. Tome medidas. Saiba mais sobre o que fazer aqui.
Se tiver uma subscrição do Microsoft 365 com Proteção Avançada Contra Ameaças, pode ativar a ATP Anti-phishing para ajudar a proteger os seus utilizadores. Saiba mais
-
Nunca clique em ligações ou anexos em e-mails suspeitos ou mensagens do Teams. Se receber uma mensagem suspeita de uma organização e estiver na dúvida em relação à sua legitimidade, aceda ao seu browser e abra um novo separador. Em seguida, aceda ao site da organização através de um favorito que tenha guardado ou de uma pesquisa na Web. Fale com eles através de números oficiais ou e-mails do respetivo site. Ligue para a organização utilizando um número de telefone listado na parte de trás de um cartão de membro, impresso numa fatura ou extrato ou que encontre no site oficial da organização.
-
Se a mensagem suspeita parecer ser proveniente de uma pessoa que conhece, contacte essa pessoa através de outro meio , como por mensagem de texto ou chamada telefónica para confirmar.
-
Denuncie a mensagem (ver abaixo).
-
Apague-a.
-
Microsoft 365 Outlook – com a mensagem suspeita selecionada, selecione Comunicar mensagem no friso e, em seguida, selecione Phishing. Esta é a forma mais rápida de denunciar e remover a mensagem da sua caixa de entrada, e irá ajudar-nos a melhorar os nossos filtros para que veja menos mensagens como essas no futuro. Para obter mais informações, consulte utilizar o suplemento Denunciar Mensagem.
-
Outlook.com - Selecione a caixa de verificação junto à mensagem suspeita na sua caixa de entrada do Outlook.com. Selecione a seta junto a Lixo e, em seguida, selecione Esquema de phishing.
-
Mensagens do Teams – se estiver no Microsoft Teams, paire o cursor sobre a mensagem maliciosa sema selecionar e, em seguida, selecione Mais opções > Mais ações > Comunicar esta mensagem. Quando lhe for pedido para "Reportar esta mensagem", selecione a opção Risco de segurança – Spam, phishing, conteúdo malicioso selecionado e, em seguida, selecione Relatório. Clique no botão Relatório .
Se estiver a ver sinais de um esquema fraudulento e suspeitar de uma mensagem, você, todos os outros utilizadores expostos à mesma, são mais seguros do que arrependidos! Reporte-o.
: Se estiver a utilizar um cliente de e-mail que não o Outlook, escreva um novo e-mail para phish@office365.microsoft.com e inclua o e-mail de phishing como um anexo. Não reencaminhe o e-mail suspeito; é necessário que o recebamos como um anexo para que possamos examinar os cabeçalhos na mensagem.
Se estiver num site suspeito:
Enquanto estiver num site suspeito no Microsoft Edge, selecione o ícone Definições e Mais (...) em direção ao canto superior direito da janela e, em seguida, Ajuda e feedback > Comunicar site não seguro. Em alternativa, clique aqui.
: Alt+F abrirá o menu Definições e Mais .
Para mais informações, consulte Navegar na Web em segurança com o Microsoft Edge.
Se suspeita que poderá ter sido vítima de um ataque de phishing, existem algumas coisas que pode fazer.
-
Enquanto a sua memória ainda estiver fresca, anote o maior número possível de dados sobre o ataque de que se recorda. Em particular, tente anotar informações como nomes de utilizador, números de conta ou palavras-passe que possa ter partilhado e onde o ataque ocorreu, como no Teams ou no Outlook.
-
Altere imediatamente as palavras-passe em todas as contas afetadas e em qualquer outro local onde possa utilizar a mesma palavra-passe. Ao alterar as suas palavras-passe, deve criar palavras-passe exclusivas para cada conta. Dê uma vista de olhos pelo artigo Criar e usar palavras-passe fortes.
-
Confirme que tem a autenticação multifator (também conhecida como verificação de dois passos) ativada para cada conta que puder. Consulte o artigo O que é: Autenticação multifator
-
Se este ataque afetar as suas contas escolares ou profissionais, deve notificar as pessoas de suporte de TI no seu trabalho ou escola sobre o possível ataque. Se partilhou informações sobre os seus cartões de crédito ou contas bancárias, poderá querer contactar essas empresas e alertá-las para uma possível fraude.
-
Se perdeu dinheiro, ou foi vítima de roubo de identidade, não hesite, denuncie-o às autoridades locais. Os detalhes no passo 1 serão muito úteis para as autoridades.