ANPD alerta sobre campanha de Phishing usando o nome da entidade

ANPD alerta sobre campanha de Phishing usando o nome da entidade. Alerta sobre o envio de e-mails falsos em nome da ANPD com a tentativa de phishing.

A ANPD emitiu no dia ontem, 24 de março, um alerta de que fraudadores estão usando o nome da entidade para atacar usuários e conseguir roubar dados pessoais, obter outras vantagens ou mesmo infectar os computadores para ganhos futuros.

Phishing é uma das táticas que mais usadas por hackers, um problema antigo e online que ainda é um grande problema, embora as pessoas achem que são inteligentes o suficiente para não serem enganadas em uma fraude.

Quando se trata de phishing, tudo o que eles precisam é de um “tema do momento” e de um monte de endereços de e-mail, e não precisamos dizer que os grandes temas do momento são Privacidade, LGPD, ANPD e Covid-19. Um phisher geralmente não têm muito conhecimento técnico como um hacker … eles só precisam de um baixo nível de habilidades de escrita e design de computador para criar e-mails e sites falsos que pareçam legítimos o suficiente para enganá-lo.

Em um ataque de phishing, um hacker cria um email que parece ser legítimo e o envia para um ou mais indivíduos ou funcionários. Seu objetivo – enganar os usuários para que cliquem em um link ou anexo mal-intencionado ou divulguem credenciais de login por meio de sites enganosos, permitindo que o ladrão contorne facilmente as defesas e lhes permita acessar a rede ou ativos comerciais e financeiros importantes.

Infelizmente, os hackers estão ficando melhores em enganar os usuários. De acordo com o Relatório de investigações de violações de dados da Verizon de 2016, 30% dos e-mails de phishing foram abertos e, desses, 12% clicaram no anexo ou link malicioso, permitindo que o ataque fosse bem-sucedido. Traduzindo: “ainda estamos sendo enganados”. Para piorar as coisas, à medida que os invasores se tornam mais hábeis em enganar os usuários, a separação do conteúdo legítimo dos golpes está ficando mais difícil.

No ataque de Phishing usando a ANPD os hackers se utilizaram das incertezas e do recente início das operações da ANPD, para atacarem usuários mais desavisados e tentarem roubar suas informações.

Reproduzimos a seguir o comunicado publicado pela ANPD em sua íntegra:

Chegou ao conhecimento da ANPD que circula na internet uma campanha de phishing, na qual algumas mensagens têm como remetente o endereço de e-mail vazamento@anpd.gov.br, que não pertence à ANPD. A orientação é que caso recebam esses e-mails os excluam e não cliquem nos eventuais anexos recebidos nem nos links indicados. Também é recomendado adicionar o remetente à lista de lixo eletrônico (spam).

Os e-mails do tipo phishing possuem diversos formatos, mas, em geral, têm o objetivo de obter dados pessoais, solicitações de confirmação de credenciais, contas, senhas ou outras informações sensíveis.

Nesse tipo de e-mail, também é muito comum a existência de algum anexo, que muitas vezes esconde algum vírus embutido no conteúdo. Para atrair as vítimas, as mensagens phishing costumam chamar a atenção para algum tipo de oferta irrecusável ou para temas de comoção social, como são os casos recentes de vazamentos de grandes volumes de dados pessoais.

Fique atento! A ANPD não envia e-mails contendo links com redirecionamentos ou arquivos anexos.

* Phishing (de “fishing”) vem de uma analogia criada pelos fraudadores onde “iscas”, por meio de engenharia social, são usadas para “pescar” senhas, dados financeiros ou outros dados pessoais de usuários na internet, ou ainda para o direcionamento para sites falsos.

Como se proteger?

Fornecedores de soluções de segurança e departamentos de TI estão trabalhando duro para impedir que esses tipos de ataques atinjam os usuários, mas alguns inevitavelmente passarão. Para melhor proteger você e sua organização, você deve aprender a reconhecer os sinais de phishing.

A melhor estratégia para sobreviver a uma tentativa de phishing é ficar longe da isca e do anzol! Mas como podemos fazer isso? Vamos ver algumas 10 recomendações da Phishing.org

1) Mantenha-se informado sobre as técnicas de phishing 

  • Novas tentativas de phishing estão sendo desenvolvidas o tempo todo. Sem ficar por dentro dessas novas técnicas de phishing, você poderia inadvertidamente ser vítima de uma.
  • Fique atento às notícias sobre novos golpes de phishing. Ao descobri-los o mais cedo possível, você terá um risco muito menor de ser capturado por um.
  • Para os administradores de TI, o treinamento contínuo de reconhecimento de segurança e phishing simulado para todos os usuários é altamente recomendado para manter a segurança em destaque em toda a organização.

2) Pense antes de clicar!

  • Não há problema em clicar em links quando você estiver em sites confiáveis. Clicar em links que aparecem em e-mails aleatórios e mensagens instantâneas, no entanto, não é uma jogada inteligente.
  • Passe o mouse sobre os links que você não tem certeza antes de clicar neles. Eles apontam para onde deveriam apontar? Um e-mail de phishing pode reivindicar ser de uma empresa legítima e, quando você clica no link para o site, pode ser exatamente igual ao site real, mas não !
  • O e-mail pode solicitar que você preencha as informações, mas o e-mail pode não conter seu nome. A maioria dos e-mails de phishing começa com “Caro cliente”, por isso você deve estar alerta quando encontrar esses e-mails.
  • Em caso de dúvida, vá diretamente para a fonte em vez de clicar em um link potencialmente perigoso.

3) Instale uma barra de ferramentas anti-phishing

  • Os navegadores de Internet mais populares podem ser personalizados com barras de ferramentas anti-phishing. Essas barras de ferramentas executam verificações rápidas nos sites que você está visitando e as compara a listas de sites de phishing conhecidos.
  • Se você se deparar com um site malicioso, a barra de ferramentas irá alertá-lo sobre isso. Esta é apenas mais uma camada de proteção contra golpes de phishing, e é totalmente gratuita.

4) Verificar a segurança de um site

  • É natural ser um pouco cauteloso ao fornecer informações financeiras confidenciais on-line. Contanto que você esteja em um site seguro, no entanto, você não deve se deparar com nenhum problema. Por isto, antes de enviar qualquer informação, verifique se o URL do site começa com “https” e se deve haver um ícone de cadeado fechado perto da barra de endereço.
  • Verifique também o certificado de segurança do site.
  • Se você receber uma mensagem informando que determinado site pode conter arquivos maliciosos, não abra o site.
  • Nunca baixe arquivos de e-mails ou sites suspeitos.
  • Mesmo os mecanismos de pesquisa podem exibir determinados links que podem levar os usuários a uma página da Web de phishing que oferece produtos de baixo custo. Se o usuário fizer compras em um site desse tipo, os detalhes do cartão de crédito serão acessados ​​por criminosos cibernéticos.

5) Verifique suas contas on-line regularmente 

  • Se você não visitar uma conta online por um tempo, alguém pode estar usando sem que você perceba. Mesmo que você não precise, faça o check-in com cada uma das suas contas online regularmente.
  • Adquira o hábito de alterar suas senhas regularmente também.
  • Para evitar fraudes bancárias e golpes de phishing de cartão de crédito, você deve verificar suas declarações regularmente. Obter extratos mensais para suas contas financeiras e verificar cada entrada cuidadosamente para garantir que nenhuma transação fraudulenta tenha sido feita sem o seu conhecimento.

6) Mantenha seu navegador atualizado

  • Os patches de segurança são liberados para navegadores populares o tempo todo. Eles são lançados em resposta às brechas de segurança que os phishers e outros hackers inevitavelmente descobrem e exploram. Se você normalmente ignorar mensagens sobre a atualização de seus navegadores, pare. No minuto em que uma atualização estiver disponível, faça o download e instale-a.

7) Use Firewalls

  • Firewalls de alta qualidade atuam como buffers entre você, seu computador e intrusos externos.
  • Você pode usar dois tipos diferentes: um firewall de desktop e um firewall de rede. A primeira opção é um tipo de software e a segunda opção é um tipo de hardware. Quando usados ​​em conjunto, reduzem drasticamente as chances de hackers e phishers se infiltrarem no seu computador ou na sua rede.

8) Desconfie de Pop-ups

  • Janelas pop-up geralmente se disfarçam como componentes legítimos de um site. Com muita frequência, porém, são tentativas de phishing.
  • Muitos navegadores populares permitem que você bloqueie pop-ups; você pode permiti-los caso a caso.
  • Se algum conseguir escapar, não clique no botão “cancelar”; esses botões geralmente levam a sites de phishing. Em vez disso, clique no pequeno “x” no canto superior da janela.

9) Nunca forneça informações pessoais

  • Como regra geral, você nunca deve compartilhar informações pessoais ou financeiras pela Internet. Essa regra se estende desde os dias da America Online, quando os usuários precisavam ser avisados ​​constantemente devido ao sucesso dos primeiros golpes de phishing.
  • Em caso de dúvida, visite o site principal da empresa em questão, obtenha seu número e ligue para ele.
  • A maioria dos e-mails de phishing direcionam você para páginas em que são necessárias entradas para informações financeiras ou pessoais.
  • Um usuário da Internet nunca deve fazer entradas confidenciais através dos links fornecidos nos emails.
  • Nunca envie um email com informações confidenciais para ninguém.
  • Crie o hábito de verificar o endereço do site. Um site seguro sempre começa com “https” (embora exista ainda a possibilidade de uso de certificado falso, mas é um bom começo…)

10) Use um bom software antivírus

  • Existem vários motivos para usar o software antivírus. As assinaturas especiais incluídas no software antivírus protegem contra soluções alternativas e brechas de tecnologia conhecidas.
  • Certifique-se de manter seu software atualizado. Novas definições são adicionadas o tempo todo porque novos golpes também estão sendo criados o tempo todo.
  • As configurações de anti-spyware e firewall devem ser usadas para impedir ataques de phishing e os usuários devem atualizar os programas regularmente.
  • A proteção por firewall impede o acesso a arquivos maliciosos, bloqueando os ataques. O software antivírus verifica todos os arquivos que chegam pela Internet ao seu computador. Isso ajuda a evitar danos ao seu sistema.

Você não precisa viver com medo de golpes de phishing. Lembre-se que não há uma única maneira à prova de erros para evitar ataques de phishing, portanto estar atualizado e saber as principais técnicas utilizadas e como se proteger delas  é um bom começo.

Fonte: Gov.br ANPD

Veja também:

 

 

 

Sobre mindsecblog 1772 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

3 Trackbacks / Pingbacks

  1. Acer atingido por aparente ataque do grupo de ransomware REvil.
  2. Ransomware do Exchange tem atividade 'limitada' até agora
  3. Hackers éticos ganharam milhões em programas em recompensa

Deixe sua opinião!