As medidas de phishing estão se tornando cada vez mais necessárias à medida que os hackers tentam roubar suas informações pessoais e fundos online todos os dias.
De acordo com um relatório recente do Scam Sniffer, em fevereiro, cerca de 57.000 vítimas sofreram perdas de cerca de US$ 47 milhões devido a golpes de criptophishing. Eles apontaram que “a maioria das vítimas foi atraída para sites de phishing por meio de comentários de phishing de contas falsas do Twitter”.
Portanto, para evitar cair nas mãos de fraudadores, você precisa ser capaz de reconhecer o phishing e saber como proteger a si mesmo e ao seu dinheiro. Neste artigo, discutiremos isso em detalhes.
Último ataque de hackers em bolsas
A empresa de segurança cibernética Lookout anunciou a divulgação de uma nova ferramenta de phishing chamada CryptoChameleon. Esta ferramenta demonstra uma nova tática voltada para algumas bolsas de criptomoedas como Binance, Gemini, Coinbase, bem como a Comissão Federal de Comunicações dos EUA (FCC) por meio de telefones celulares. Os invasores podem criar cópias de páginas de logon único (SSO) e usar uma combinação de e-mail e chamadas de voz para obter dados do usuário.
O relatório observa que o CryptoChameleon atacou funcionários da Comissão Federal de Comunicações e da Binance. Além disso, os usuários da Binance, Gemini, ShakePay e outras exchanges foram afetados. CryptoChameleon usa números de telefone e sites que parecem legítimos e representam o serviço de suporte da empresa no Gmail, iCloud, Outlook, X e outros serviços.
A Lookout informou que conseguiu falar com algumas das vítimas e confirmou que uma combinação de telefonemas e mensagens foi usada para forçar a vítima a concluir o processo.
“Em um cenário, uma vítima recebeu um telefonema não solicitado que falsificou a linha de atendimento ao cliente de uma empresa real. A pessoa do outro lado da linha era o autor da ameaça, mas parecia ser um membro da equipe de suporte daquela empresa.”
Os hackers informaram ao usuário que sua conta havia sido hackeada, mas iriam ajudá-lo a restaurá-la. Durante uma conversa telefônica com a vítima, os invasores enviariam uma mensagem redirecionando para uma página de phishing.
A análise da empresa revelou mais de 100 tentativas de phishing bem-sucedidas e atividades de phishing contínuas, principalmente em servidores Hostwinds, Hostinger e RetnNet russos. A grande maioria das vítimas está localizada nos Estados Unidos.
Como reconheço o phishing?
O principal objetivo do phishing é obter informações confidenciais do usuário.
Os invasores geralmente enviam e-mails com links maliciosos em nome de sites ou exchanges. Podem ser avisos de segurança, invasão de contas, pesquisas diversas, etc. Os fraudadores geralmente enfatizam a urgência da ação ou atraem a atenção oferecendo uma grande recompensa pela participação.
Sinais que podem indicar que o e-mail é fraudulento:
A mensagem usa subdomínios e URLs com erros ortográficos
A mensagem é escrita de uma forma que inspira medo ou senso de urgência.
O e-mail solicita que você confirme informações pessoais, como informações financeiras ou uma senha.
A mensagem foi escrita de forma analfabeta e contém erros ortográficos e gramaticais.
Existem outros métodos de verificação usados por empresas como Binance, WhiteBIT e KuCoin, que possuem uma forma adicional de verificar a autenticidade de um e-mail com o recurso Anti-Phishing. Após ativá-lo, o usuário deverá inserir um código personalizado que sinalizará que o e-mail veio dessas empresas. Após salvar o código, toda vez que o usuário receber um e-mail técnico das exchanges, ele conterá este código.
Como evitar golpes de phishing?
Use senhas fortes e habilite a autenticação de dois fatores: Use uma senha forte e exclusiva para todas as contas. Não os anote em um local de fácil acesso nem os compartilhe com outras pessoas. Para armazenar e gerenciar senhas complexas, é melhor usar um gerenciador de senhas, como 1Password, LastPass, Dashlane e outros. Habilite a autenticação de dois fatores para todas as contas para fornecer uma camada extra de segurança. Para fazer isso, você pode instalar um aplicativo 2FA em seu telefone, como Google Authenticator, Authy, 2FAS, etc.
Não ignore as notificações de atualização: patches e atualizações de segurança são lançados principalmente para solucionar as técnicas atuais de ataques cibernéticos, fechando lacunas de segurança. Configure seu software para atualização automática para evitar novas ameaças.
Verifique o endereço do site antes de inserir suas informações: Muitas vezes, o URL de uma página pode diferir do domínio por uma única letra e, às vezes, por maiúsculas e minúsculas. Por exemplo, 1-l, I-l (“i” maiúsculo e “l” minúsculo). Também não é recomendado inserir senhas e logins em sites sem HTTPS (um ícone de cadeado próximo a ele) — ele protege a conexão e criptografa os dados.
Não clique em links suspeitos: normalmente, os golpistas usam links sobre como ganhar milhões de dólares ou presentes como isca. Portanto, não clique nesses links e sempre confira todos os sorteios e eventos da empresa em andamento.
Resumo
Compreender os esquemas de phishing e os seus sinais é o mais importante no combate a este tipo de fraude.
Ao saber como reconhecer ataques prejudiciais e quais métodos os invasores usam, os usuários podem proteger melhor seus dados pessoais. E seguindo as recomendações acima, eles podem reduzir a probabilidade de roubo.\