04 Fev Consegue reconhecer um email de phishing?
A Jigsaw, uma incubadora criada pela Google que desenvolve tecnologia para lidar com desafios globais de segurança, lançou um quiz para ensinar os utilizadores a reconhecerem emails de phishing. Para criar este quiz, a Jigsaw “estudou as mais recentes técnicas utilizadas pelos atacantes, e concebeu o quiz para ensinar as pessoas como reconhecê-los”.
No total, o quiz tem 8 perguntas. Cada uma das perguntas mostra um email e o utilizador tem que escolher se este é legítimo ou se é um email de phishing. Alguns dos emails baseiam-se em ataques reais. É o caso do email que diz que alguém tentou entrar na conta do Gmail do utilizador. Este email baseia-se no email de phishing que foi enviado a John Podesta, presidente da campanha de Hillary Clinton, que permitiu a atacantes russos obterem acesso à sua conta do Gmail, que continha cerca de 60000 emails. Um outro email, nomeadamente o que diz que alguém está a tentar roubar a password do utilizador, é baseado num email de phishing que foi enviado ao jornalista David Satter, que permitiu a atacantes russos obterem acesso à sua conta do Gmail. Satter foi banido da Rússia em 2013, alegadamente por “violações flagrantes” da lei dos vistos, no entanto muitos consideram que a verdadeira razão pela qual o jornalista foi banido foi a sua investigação sobre a autocracia russa. Neste ataque, os atacantes tiraram partido de um redireccionamento alojado no site da Google. Se você colocar o endereço de um site a seguir ao endereço https://www.google.com/amp/, quando clicar no link, será redirecionado para esse site. Por exemplo, se fizer isto com o site da Microjovem, ao clicar no link https://www.google.com/amp/microjovem.pt, será levado para o site da Microjovem. Os atacantes fizeram isto com o site malicioso, o que fez com que o link, superficialmente, aparentasse estar alojado no site da Google.
Após cada email, o quiz irá explicar os sinais que indicam que esse email é ou não um email de phishing. Sendo que a melhor forma de proteger os utilizadores contra o phishing é sensibilizá-los para esta ameaça, este quiz é bastante útil, pois permite aos utilizadores terem a experiência de analisar um email de phishing real, sem correrem o risco de clicar em links maliciosos.
Antes de começar o quiz, ser-lhe-á pedido seu nome e email para tornar os emails mais realistas. Note, no entanto, que estes dados não serão enviados para a Jigsaw, ficando armazenados no seu browser até fechar a janela do site.
Clique aqui para testar os seus conhecimentos.
Quais dos emails são phishing?
Segue-se uma análise de cada um dos emails que são phishing neste quiz:
O email foi enviado através de um endereço de email no domínio google.support, que não é utilizado pela Google. Quando passa o rato por cima do link presente no email, se olhar apenas para a primeira parte do link, pode parecer que o link aponta para o verdadeiro site da Google (google.com). No entanto, se olhar com atenção para o link, verá que este aponta para um subdomínio de um domínio que nada tem a ver com a Google (ml-security.org). Este é um dos truques utilizados pelos atacantes: registam um qualquer domínio e criam subdomínios para a primeira parte do endereço ser igual ao domínio do site da empresa ou instituição pela qual se pretendem fazer passar. Isto é possível porque, após registar um domínio, é possível registar qualquer subdomínio dentro desse domínio. Por exemplo, no caso deste email, o atacante registou o domínio ml-security.org e criou o subdomínio myaccount.google.com-securitysettingspage.ml-security.org, no entanto poderia ter criado um subdomínio para se fazer passar por qualquer outra empresa ou instituição, como o Santander Totta (criando o subdomínio santandertotta.pt.ml-security.org), o Millennium bcp (criando o subdomínio millenniumbcp.pt.ml-security.org) ou o Novo Banco (criando o subdomínio novobanco.pt.ml-security.org). Como lemos os endereços da direita para a esquerda, se olharmos superficialmente para qualquer um destes endereços no browser, pode parecer que são legítimos.
Tal como o supramencionado email, este email foi enviado através de um endereço de email no domínio google.support, que não é utilizado pela Google. Quando passa o rato por cima do link presente no email, se olhar apenas para a primeira parte do link, pode pensar que este link é legítimo, pois aponta para o verdadeiro site da Google (google.com). No entanto, se olhar com atenção, verá que existe um endereço que nada tem a ver com a Google no final do link. Este link trata-se de um redireccionamento, semelhante ao que enganou o jornalista David Satter. Se clicar no link, será efectivamente levado para o site da Google, mas este irá redireccioná-lo para o seguinte endereço: tinyurl.com/y7u8ewlr.
O email foi enviado através de um endereço de email no domínio efacks.com, no entanto o verdadeiro domínio da eFax é efax.com. Quando passa o rato por cima do link presente no email, pode ver que este aponta para um subdomínio de um domínio que nada tem a ver com a eFax (mailru382.co).
Quando passa o rato por cima do link presente no email, pode ver que este aponta para o domínio drive–google.com, no entanto o verdadeiro domínio do Google Drive é drive.google.com.
Quando passa o rato por cima do link, se olhar apenas para a primeira parte do link, pode parecer que o link aponta para o verdadeiro site do Google Drive. No entanto, se olhar com atenção para o link, verá que este aponta para um subdomínio de um domínio que nada tem a ver com o Google Drive (sytez.net).
O quiz indica que os emails enviados pela escola costumam ter como remetente o endereço de email sharon.mosley@westmountschool.org. À primeira vista, pode aparentar este email foi enviado pelo mesmo endereço de email, no entanto, se olhar com atenção, verá que o endereço de email que enviou este email é diferente do habitual. Repare no domínio (westmountDAYschool.com): a palavra “day” não se encontra no domínio habitual. Para além disso, este email contém um PDF em anexo. Sendo que o endereço de email que enviou este email é diferente do habitual, não deve abrir o anexo, pois os ficheiros PDF podem conter vírus ou malware.