Blog / Como fazer

Cuidados a ter na abertura de um email

A maioria dos ataques cibernéticos a particulares ou empresas começa pelo e-mail.
O utilizador é induzido a abrir um ficheiro anexo ou a clicar num link. Os atacantes enganam as vítimas criando e-mails elaborados para criar um falso sentimento de confiança e/ou de urgência. No contexto de uma organização ou empresa, todo utilizador é um alvo e, se comprometido, um canal para uma possível violação que pode sair cara.

Boas práticas na abertura de e-mails

Siga este conjunto de orientações e boas práticas na utilização de e-mails e proteja-se contra pessoas e conteúdos maliciosos.
  • Ao receber um e-mail de carácter duvidoso ou que induza carácter de urgência, desconfie e não execute nenhuma ação relacionada solicitada no seu conteúdo.
  • Desconfie de e-mails a alertar sobre problemas na palavra-chave de qualquer conta, o seu e-mail, o seu banco, fornecedores de luz, água e gás, etc.
  • Não abra anexos sem antes tiver verificado a veracidade do conteúdo do e-mail.
  • Não abra anexos compactados (ZIP, RAR, 7z,...) protegidos por palavra-chave, normalmente é uma tentativa de escapar à verificação do antivírus do servidor de e-mail e do dispositivo da vítima.
  • Desconfie de mensagens com erros de linguagem, embora também não confie em todas as mensagens apenas porque não apresentam erros;
  • Correlacione o remetente do e-mail com a entidade mencionada no conteúdo, por exemplo, se o conteúdo está relacionado com o seu banco, o endereço de e-mail do remetente deverá ter o mesmo nome de domínio.

Veja um exemplo prático de procedimentos na abertura de um e-mail

Este caso, é um e-mail de Phishing real, tentando-se fazer passar por uma entidade bancária. O objetivo é que o utilizador clique no link do botão, e ao abrir, o seu dispositivo pode ficar infetado com um vírus informático (Trojan) ou aparece-lhe uma página que se fará passar pelo banco, com o objetivo de recolher as suas credenciais de acesso.

Procedimentos a seguir

  1. assunto do e-mail, mesmo apesar da sua morfologia duvidosa, tenta induzir carácter de urgência;

  2. Repare que o endereço de e-mail do remetente não tem o domínio do banco, neste exemplo deveria ser do tipo @bancomontepio.pt ou @clientes.bancomontepio.pt;
  3. O corpo do e-mail, neste exemplo, não apresenta erros de construção nem de ortografia, o que não significa que seja de confiança, neste exemplo prevalece o carácter de urgência para induzir ao clique no botão;
  4. O botão com um link para um endereço, nunca clique antes de analisar, e/ou se desconfia do e-mail. Passe com o rato por cima e avalie o link que aparece: se tem domínio diferente do banco, é para suspeitar. Tenha também em conta que muitas vezes os atacantes utilizam serviços que simplificam o link (encurtadores de URL), duvide sempre.

Para este exemplo, a melhor ação é não fazer nada para além de o apagar, anulando quaisquer hipóteses de o atacante ser bem sucedido.

O Phishing
É um tipo de ataque em que se utilizam técnicas de embuste em meios digitais para capturar informações privadas.
Os atacantes tentam enganar os destinatários de e-mails para que estes disponibilizem informação sensível, através do clique em anexos e/ou links (hiperligações) maliciosos ou através da partilha de dados em páginas fraudulentas. Para o efeito, o atacante simula uma marca ou entidade credível, por exemplo o seu banco, o seu fornecedor de energia, o seu fornecedor do serviço de e-mail, etc.