Miguel Macedo (*)
Poucas emergências têm a capacidade de gerar pânico como uma pandemia viral. É algo que, felizmente, a maioria de nós nunca teve que experimentar até agora. Até o momento de escrita deste artigo, o número global de casos confirmados do novo coronavírus, ou COVID-19, chegou a mais de 300 mil em todo o mundo. Possivelmente, e muito infelizmente, esse número estará desatualizado rapidamente.
É um momento muito complicado para todos os cidadãos. E, infelizmente, cibercriminosos se aproveitam de eventos globais extraordinários como esse para fazer com que seus planos sejam mais bem-sucedidos. Eles estão usando a consciência de massa do surto e um desejo popular por mais informações sobre o vírus para enganar os usuários para que eles forneçam informações pessoais e logins, ou para inadvertidamente instalar malware em seus dispositivos.
Enquanto as organizações reforçam o trabalho remoto para reduzir o impacto do vírus, muitas de vocês estarão se conectando de casa ou por dispositivos mobile, que podem ter menos proteções internas contra tais ameaças. Isso torna mais importante do que nunca saber como os criminosos estão tentando ganhar dinheiro com a COVID-19 e o que você pode fazer para ficar seguro. Aqui está um guia rápido para as principais ameaças online e dicas de segurança:
Phishing – Décadas antes da COVID-19, um tipo diferente de pandemia estava se alastrando pelo mundo. Mensagens phishing têm sido uma das ferramentas mais populares no arsenal dos hackers há anos. Em 2019, a Trend Micro bloqueou quase 48 bilhões de ameaças phishing por email, 91% do total do que detectamos.
O phishing foi criado para enganar o usuário para que ele entregue seus logins ou detalhes pessoais ou financeiros, ou para os persuadir a inadvertidamente baixar malwares. Os cibercriminosos geralmente fazem isso criando cuidadosamente um email para fazê-lo parecer ter sido enviado a partir de uma fonte legítima e confiável.
Uma vez que o usuário foi enganado, ele é convencido a clicar em um link malicioso ou abrir um anexo carregado de malware. Isso pode ser qualquer coisa, desde um trojan bancário projetado para roubar logins bancários online até um pedaço de ransomware que irá bloquear o usuário fora de seu PC até que ele pague uma taxa. Pode até ser um malware que se esconde na máquina infectada, minerando discretamente bitcoins, deixando seu computador mais lento e gerando altas contas de energia.
A má notícia é que mensagens phishing – sejam enviadas por email, redes sociais ou aplicativos de mensagem – estão ficando mais difíceis de serem detectadas. Muitas têm agora linguagem perfeita, logos oficiais e domínios de remetente. Eles também usam frequentemente notícias atuais para enganar o usuário a clicar. E no momento, nada tem mais visibilidade que a pandemia da COVID-19.
O cenário de phishing está sempre mudando. Aqui está uma seleção das fraudes mais comuns no momento:
Atualizações “oficiais” – Muitos desses e-mails supostamente vêm de organizações oficiais como a Organização Mundial da Saúde (OMS). Eles alegam conter atualizações importantes sobre a propagação do vírus e recomendações cruciais sobre como evitar a infecção. Links e anexos destes emails carregam malware e/ou podem redirecionar usuários para sites de phishing.
Mapa do coronavírus – Às vezes, ferramentas legítimas podem ser manipuladas para espalhar malware. Pesquisadores encontraram uma versão do dashboard interativo do coronavírus criado pela Universidade Johns Hopkins que foi alterada para conter o malware de roubo de informações conhecido como AZORult. Se os usuários receberem emails com links para sites do tipo, eles devem ter muita cautela.
Atualizações corporativas – Muitas grandes marcas estão contatando proativamente sua base de clientes para lhes assegurar as medidas que estão a tomar para manter a equipe e os clientes seguros do vírus. Mas os hackers estão se aproveitando disso também e criando mensagens falsas que supostamente vêm das empresas com as quais você pode ter ligação. A FedEx é uma marca global que tem sido utilizada desta forma.
Doações – Outro truque é enviar emails phishing pedindo doações para ajudar com o financiamento de pesquisas sobre o vírus. Uma tática importante de emails phishing é criar um senso de urgência para apressar o leitor a tomar decisões precipitadas.
Clique aqui para uma cura – Um email fraudulento afirma vir de um profissional da área da medicina e contém detalhes sobre uma vacina da COVID-19 que foi “escondida” pelos governos globais. Obviamente, clicar para encontrar a “cura” não existente apenas trará problemas para o receptor.
Reembolso de impostos – No Reino Unido, os usuários receberam e-mails falsificados para parecer como se enviados pelo governo, e prometendo um reembolso de impostos para ajudar os cidadãos a lidar com o choque financeiro da pandemia. Como os governos dos EUA e de outros lugares começam a tomar medidas mais intervencionistas para apoiar suas economias, podemos esperar mais desses tipos de e-mails phishing.
Como se proteger – A boa notícia é que há muito o que você pode fazer para se proteger e proteger sua família de emails phishing como esses. Uma combinação dessas táticas humanas e técnicas ajuda muito a minimizar a ameaça:
• Tenha cautela com quaisquer mensagens de email ou de redes sociais não solicitadas, mesmo que elas pareçam vir de uma organização com boa reputação ou um contato conhecido;
• Não clique em nenhum anexo ou links em e-mails não solicitados;
• Se um e-mail pede seus dados pessoais, cheque diretamente com o remetente em vez de clicar e fornecer esses dados;
• Invista em ferramentas de cibersegurança de fornecedores de confiança, para identificar e bloquear emails fraudulentos e downloads e sites maliciosos;
• Desativar macros em arquivos do Office – estes são frequentemente usados por hackers para executar malware.
(*) – É Channel and Marketing Director da Trend Micro.