Neste 8 de outubro, 2019, foto de arquivo que uma mulher digita em um teclado em Nova York. Os golpes de phishing que infectam um computador e potencialmente permitem que hackers invadam contas bancárias e outras são altamente evitáveis, mas é preciso vigilância eterna por parte dos usuários de computador. (AP Photo / Jenny Kane, Arquivo)
O e-mail parecia legítimo, então Danielle Radin clicou no link que continha, esperando ter seus produtos incluídos em um guia de presentes de Natal.
"Eu imediatamente me arrependi, "diz Radin, dono do Mantra Magnets, um site que vende produtos de bem-estar. "Levei-me a algum site aleatório que parecia aqueles pop-ups dizendo que você ganhou na loteria."
Poucos dias depois daquele clique, três semanas atrás, Radin começou a receber notificações de que pessoas no Equador, China e outros lugares estavam tentando acessar sua conta de e-mail. Ela não ficou surpresa; ela sabia que sua pequena empresa com sede em San Diego fora alvo de um esquema de phishing.
Enquanto os cibercriminosos atacam em qualquer época do ano, eles são particularmente ativos durante as épocas de feriados e de declaração de imposto de renda, quando os usuários de computador esperam ver mais e-mails - e os golpistas estão cada vez mais visando pequenas empresas com golpes de phishing, enviar mensagens que parecem legítimas, mas, em vez disso, causam danos. Um proprietário ou funcionário desavisado clica em um link ou anexo e, como Radin, descobre que um software malicioso invadiu seus PCs.
Os especialistas em segurança cibernética descobriram que os criminosos que costumavam envolver milhares de usuários de computador na esperança de enganar alguns refinaram seus métodos. Os golpistas encontram pequenas empresas por meio de sites, sites de mídia social e combinando catálogos de endereços de e-mail. Eles também extraem dados pessoais de violações em varejistas e outras grandes empresas. Então, usando um processo chamado engenharia social, eles criam e-mails que parecem cada vez mais realistas, como se eles realmente viessem de um chefe, colega, amigo, cliente ou fornecedor potencial, um banco e até mesmo o IRS.
"Nos últimos um ou dois anos, eles realizaram campanhas mais profissionais, "diz Perry Toone, dono da Thexyz, um provedor de serviços de e-mail com sede em Toronto. "Pode levar alguns minutos para eu determinar que eles são golpes de phishing. Isso me diz que eles estão fazendo um trabalho muito bom."
Radin acredita que os golpistas a encontraram por meio de seu site ou blog. Como muitas pequenas empresas, ela tem um endereço de e-mail em seu site, e os golpistas descobriram que ela poderia estar interessada em vender por meio de um guia de presentes de Natal. Mas encontrar um alvo é uma coisa; o golpe não funcionará a menos que engane um destinatário de e-mail fazendo-o clicar. Mesmo aqueles que são experientes em tecnologia às vezes podem baixar a guarda. Radin foi enganada, embora ela seja a autora de "Todos foram hackeados, "um livro vendido online.
Freqüentemente, um golpe é bem-sucedido porque há apenas um fragmento de dúvida em um usuário de computador - o e-mail é realista o suficiente para que o proprietário ou funcionário sinta que precisa lê-lo. Às vezes, um funcionário clica por medo ou senso de responsabilidade, disse Rahul Telang, professor de sistemas de informação no Heinz College da Carnegie Mellon University.
"Pode não soar muito pessoal, mas você tem uma ideia de que deve ir em frente - você sente que o e-mail está vindo do chefe, " ele diz.
Nesta foto sem data fornecida por Danielle Radin, Radin posa para uma foto. Enquanto os cibercriminosos atacam em qualquer época do ano, eles são particularmente ativos durante as épocas de feriado e de declaração de imposto de renda, quando os usuários de computador esperam ver mais e-mails, e os golpistas estão cada vez mais visando pequenas empresas com golpes de phishing, enviar mensagens que parecem legítimas, mas, em vez disso, causam danos. Um proprietário ou funcionário desavisado clica em um link ou anexo e, como Radin, descobre que um software malicioso invadiu seus PCs. (Danielle Radin via AP)
Os usuários de computador podem não estar olhando tão de perto quanto deveriam para um e-mail - pode haver sinais sutis de que uma mensagem é um problema. Terry Cole, dono da Cole Informatics, uma empresa cujo trabalho inclui segurança cibernética, lembra de ter recebido um e-mail que realmente parecia ser de um colega. Ele foi uma das várias pessoas do setor a recebê-lo.
"Ele disse que esse colega havia me enviado uma mensagem privada segura que estava pronta para eu ler e incluía um link para clicar. Isso era absolutamente consistente com minhas experiências normais de comunicação com ele, "diz Cole, cuja empresa está localizada em Parsons, Tennessee.
Cole não fez nesse caso o que costuma fazer e aconselha a todos:verifique o endereço de e-mail para ter certeza de que está totalmente correto. Quando ele clicou no link, isso o levou a um site falso que afirmava estar conectado à Microsoft e pedia sua identidade e senha. Ele não foi mais longe e não sofreu danos ao seu PC.
Os feriados oferecem oportunidades extras aos golpistas:cartões de felicitações por e-mail, avisos de remessa de pacotes, ofertas de descontos - todas falsas. Os cibercriminosos também buscam informações pessoais de proprietários e funcionários sob o pretexto de precisar deles para criar um formulário fiscal W-2 ou 1099; nesta época do ano, os pensamentos dos donos de empresas estão se voltando para os impostos.
"Algo que afirma conhecer você, seu nome, onde você trabalha e deseja que alguma ação seja mais difícil de detectar, "diz Sherrod DeGrippo, diretor sênior de pesquisa e detecção de ameaças na Proofpoint, uma empresa de segurança cibernética com sede em Sunnyvale, Califórnia.
Um golpe comum em feriados é um e-mail supostamente do chefe dizendo a um funcionário para comprar vales-presente e enviar os números de volta por e-mail, DeGrippo diz.
"Quando parece vir de um chefe ou CEO, Acho que existe essa tendência entre os funcionários de seguir essas orientações. Eles estão jogando com suas emoções, " ela diz.
Muitas vezes, um golpe consegue fazer um funcionário clicar em um e-mail pessoal enquanto está em um PC da empresa - muitos funcionários verificam seu e-mail pessoal durante o trabalho. Mesmo que o e-mail tenha chegado em uma mensagem pessoal, é a máquina da empresa que pode ser infectada.
As empresas podem se proteger em parte restringindo o acesso dos funcionários a sites de e-mail pessoal, Telang diz. Ele também sugere seminários para ajudar os funcionários a entender os riscos que até mesmo e-mails de aparência legítima podem apresentar.
Alguns dos golpes visam monitorar as teclas digitadas por um usuário. Assim, qualquer pessoa que acesse uma empresa ou conta pessoal de qualquer tipo pode estar concedendo a um criminoso acesso ao seu dinheiro ou dados pessoais confidenciais. Uma ferramenta para evitar que uma conta bancária seja esvaziada ou um cartão de crédito esgotado é ter contas com autenticação multifator; que requer uma senha e um código separado enviado a um dispositivo diferente e que é diferente para cada login.
© 2019 Associated Press. Todos os direitos reservados.
