O phishing continua ativo, indica estudo realizado pela Fortinet. O mais preocupante é que usuários muitas vezes não tomam precauções adequadas ou não têm o devido conhecimento para identificar a ameaça. Alguns e-mails de phishing são fáceis de reconher pela sua falta de contexto, erros ortográficos ou gramaticais e pelo conteúdo inesperado. Outros parecem mais legítimos e alguns até são usados como parte de campanhas mais sofisticadas.
Levantamento da Fortinet indica que 63% dos golpes por e-mail chegam por meio de arquivos .zip. Na sequência aparecem extensões como .jpg. (4%), .rar(4%), .xls (4%) .doc (3%), .gif (3%), entre outros. E ao extrair documentos de arquivos .zip, constatou-se que os tipos mais comuns foram executáveis (50,87%), .doc (27,36%), .xls (3,05%), .jpg (2,87%) e .png (2,63%), entre outros. Os temas mais utilizados na engenharia social correspondente aos e-mails de phishing foram: Compras (41%), Dinheiro (25%), Documentos (14%), Outros ( 20%) (ordens urgentes, avisos, pedidos etc).
Para evitar cair em armadilhas, a Fortinet recomenda três passos simples, porém fundamentais. Confira abaixo:
1) Não espere o inesperado
Caso você não esteja aguardando algum documento importante, como acompanhamento de compra ou transferência bancária, e receber algo nesse sentido, provavelmente será um e-mail mal-intencionado. Use sempre o bom senso.
2) Seja cauteloso
Caso esteja esperando um e-mail semelhante ao recebido, mas esteja em dúvida sobre sua legitimidade (por exemplo, se o usuário que trabalha no setor de RH de uma empresa receber um CV), há passos adicionais:
a) Consulte um especialista. Peça ajuda para algum técnico, administrador de TI ou a um amigo especialista para verificar o e-mail suspeito.
b) Faça uma pesquisa on-line. É comum encontrar relatórios em conformidade com os mais recentes exemplos de táticas de engenharia social. Digite a palavra “spam” no campo de busca Google ou digite o assunto do e-mail recebido.
c) Envie o arquivo para um site de varredura. Mesmo que o usuário não tenha um antivírus, existem alguns sites gratuitos que podem verificar arquivos, já que eles estão protegidos com os antivírus mais atualizados.
3) Crie regras para seus e-mails
Por exemplo, um funcionário pode configurar o e-mail de um cliente (por exemplo, com o Outlook) para receber apenas em sua caixa de entrada e-mails de pessoas da empresa, e, no caso de e-mails externos, enviá-los para uma pasta específica e filtrar com temas comuns para rejeitar os que sejam suspeitos. Por mais que pareça uma tarefa entediante, valerá a pena executá-la, por facilitar o gerencimaneto de e-mails e detectar aqueles que possam ser perigosos.
