A Ascensão do Email Fake: Como Identificar e se Proteger

Antes de compreendermos os prejuízos do email fake, é importante ser capaz de identificar um deles quando o virmos na caixa de email.

Um email fake, basicamente, refere-se a emails forjados ou fraudulentos que são enviados com o objetivo de enganar o destinatário.

A finalidade varia muito de acordo com cada tipo de email fake, podendo buscar informações pessoais e confidenciais para golpes financeiros, instalação de malwares (vírus) no dispositivo do destinatário ou até mesmo direcionar a falsos sites de compras de produtos a preços estranhamente atraentes.

Como identificar um email fake?

Todo email fake possui algumas características fundamentais que, se observadas adequadamente, irão proteger você de ser vítima de algum tipo de golpe. Vejamos:

  • Remetente suspeito: veja se o nome do remetente não possui caracteres estranhos ou erros de grafia.
  • Emails não oficiais: desconfie de remementes de email que não utilizam domínios oficiais (como “gmail.com”, ou grafias diferentes, como “SafetiMaills.com” - “Ao invés de SafetyMails.com”, ou ainda “SafetyMails.Superdesconto.com”;
  • Solicitações inapropriadas: emails jamais devem solicitar dados pessoais, como senhas, números de cartão de crédito ou dados bancários, entre outros;
  • Ortografia: parece óbvio, mas emails fraudulentos não costumam prezar pela qualidade da sua ortografia. Normalmente possuem erros grosseiros no assunto do email ou no nome do remente, por exemplo;
  • Links encurtados: hyperlinks que utilizam serviços de encurtadores (como o bit.ly) podem estar mascarando o destino final. Não clique.
  • Links mascarados: muitos hyperlinks são colocados sobre palavras (onde você não é capaz de ver a URL integralmente). Para facilitar, apenas passe o ponteiro do mouse sobre o hyperlink e pronto: você verá a URL de destino sendo exibida e saberá se ela é confiável ou não.
  • Urgência: emails que pedem que uma atitude seja tomada imediatamente, em caráter de urgência, são suspeitas;
  • Anexos: emails com anexos podem representar um perigo. Órgãos do governo, principalmente os fiscais, lojas de e-commerce, jamais enviam emails com anexos. Não abra este tipo de arquivo, exceto em casos em que o remetente seja altamente conhecido e confiável.
  • Promessas irreais: sabe aquele produto de $1.800 sendo oferecido em “lote especial” a $400? Fuja!
  • Design e Formatação: esses tipos de emails costumam ter layouts pobres, com imagens de baixa qualidade, muitas vezes buscando parecer com algum site famoso.

Dicas de Mestre para identificar um email fake

Aqui vão mais 2 dicas infalíveis, mas que irão exigir um pouco mais de malícia e conhecimento técnico para identificar um email fake.

Data de publicação do site: muitos sites de vendas falsas, que prometem produtos a preços demasiadamente convidativos, são criados apenas para a finalidade do golpe e depois são abandonados. Eles vendem e nunca mais respondem os seus contatos. Então, tenha extremo cuidado com sites de publicação super recente.

E como saber isso?

Para sites no Brasil (.com.br), acesse https://registro.br/tecnologia/ferramentas/whois/. Para sites de outros domínos, acesse https://who.is/.

pesquisar nome de domínio no site Whois

Digite o domínio a ser pesquisado e veja os resultados.

Whois: resultado da pesquisa sobre domínio

Autenticações de email: para ser enviado e recebido pelos provedores de emails, as mensagens precisam passar por algumas autenticações de segurança, como o SPF, DKIM e DMARC.

Você pode saber, utilizando qualquer webmail, se estas autenticações estão funcionais e adequadas em um email.

No Gmail, por exemplo, basta abrir a mensagem e procurar pelo ícone de “mais” (o que tem 3 pontinhos) e procurar no menu pela opção “<> Mostrar original”.

Exemplo de um e-mail falso

Obviamente, cada webmail terá a sua própria maneira de identificar se as autenticações estão funcionais. Mas saber disso já é uma dica de ouro, não é verdade?

Tipos de email fake

Agora que você já sabe como identificar um email fake e como evitá-lo, está na hora de saber também quais são os tipos mais comuns de email fake que você pode encontrar na sua caixa de email.

Estatísticas de diferentes tipos de e-mails de spam do mailmodo
Source: mailmodo

Phishing

Tratam-se de mensagens feitas para se parecerem com emails enviados de uma fonte legítima, como um banco ou um e-commerce ou empresa de tecnologia. O objetivo é obter informações pessoais como senhas ou números de cartões de crédito.

Em muitos casos, esse email fake é acrescido de dados obtidos de maneira pública do destinatário (como o nome da pessoa, a empresa onde trabalha e o seu cargo, por exemplo, que podem ser facilmente obtidos de redes sociais), de modo a dar maior credibilidade à mensagem.

Whaling

Trata-se de um tipo de phishing mais elaborado, visando atingir pessoas de alto perfil, como executivos ou decisores nas empresas. Este tipo de email fake trata de falar sobre questões legais ou questões executivas críticas, exigindo uma resposta imediata.

Dentre os exemplos que podemos dar, estão mensagens sobre impostos atrasados, receita federal, notificações extrajudiciais, entre outros.

Scam

Este email fake visa fraudar os destinatários, convencendo-os a enviar dinheiro ou acessar a links que levam a ofertas falsas. Normalmente, após uma primeira abordagem, quando o destinatário responde, o fraudador começa a falar sobre oportunidades e pede dinheiro para dar início a algum processo ou procedimento que irá gerar uma grande soma de dinheiro como recompensa.

Malware

Se vamos falar de algum tipo de email fake que seja extremamente prejudicial, aí está: estes emails envolvem o envio de mensagens em massa com links que, uma vez clicados, instalam softwares maliciosos que poderão, entre outros coisas:

  • registrar, através de um keylogger, todas as teclas digitadas para poder roubar informações confidenciais (como senhas de emails, de bancos, etc);
  • instalação de um ramsomware, que é um tipo de software que criptografa os arquivos no dispositivo do destinatário (PC, notebook, smartphone, tablet, etc) e exige um resgate para a liberação.

SPAM

Talvez o tipo menos nocivo de email fake, os emails de spam envolvem o envio de mensagens não solicitadas em massa, normalmente com fins publicitários, para destinatários que não solicitaram o seu recebimento.

Entretanto, há casos de spam que possuem malware ou técnicas de phishing. Ficar atento é fundamental.

Cada tipo de email fake possui suas características e métodos, mas todos compartilham entre si o objetivo de enganar o destinatário.

Emails descartáveis são email fake?

Via de regra, os emails descartáveis (ou emails temporários) não são email fake, pois o seu objetivo primordial é dar ao usuário a possibilidade de ter uma conta de email por um período curto de tempo antes de serem descartados ou deletados.

Entre os objetivos desse tipo de email, estão:

  • Temporário: são configurados para existir apenas por um período de tempo
  • Anônimos: não se sabe quem é a pessoa por trás daquele endereço de email, e não requer nenhum tipo de informação pessoal para a sua criação.
  • Convenientes: podem ser criados rapidamente para uso imediato e de uma vez só

Entre os seus usos comuns:

  • Testar serviços: usados para inscrever-se em fóruns online ou ambientes onde o endereço de email fique exposto;
  • Evitar spam: usados apenas uma vez, contornam os processos tradicionais de verificação de email, e evitam que mensagens futuras possam ser enviadas.

PORÉM, este tipo de email pode representar um perigo e um canal para abusos, como:

  • Potencial para abuso: podem ser usados de maneira inadequada para contornar verificações de segurança, inscrever-se repetidamente em serviços com ofertas limitadas a novos usuários, ou para enviar mensagens anônimas que poderiam ser mal-intencionadas
  • Fraudes: utilizar um email fake em um site de e-commerce, juntamente a um cartão de crédito falso, torna a compra fraudulenta difícil ou impossível de rastrear o fraudador.

Dica para empresas que querem evitar cadastros feitos com email descartável

Se você quer evitar email descartável, email temporário ou email fake nos seus cadastros de landing pages, site, etc, utiliza a API de verificação de emails em tempo real da SafetyMails.

Abra agora mesmo uma conta gratuita e teste as funcionalidades!

Evite os bounces

Carregue e verifique mais de 2 milhões de endereços de email de uma só vez: se você lida
com grandes listas de email, é extremamente importante checá-las frequentemente.

Teste grátis agora

Danos causados por e-mails fake para empresas

Além dos prejuízos que os email fake causam às pessoas físicas, as empresas também sofrem com ações desse tipo de mensagem maliciosa, em muitos níveis.

Começando sobre os prejuízos financeiros, funcionários desatentos podem acabar realizar o pagamento de faturas ilegítimas, como no caso abaixo, onde um fraudador tenta se fazer passar pelo registro.br:

O enviador do email claramente está tentando se passar pelo registro.br e exigindo a cobrança de uma anuidade de um domínio na Internet.

Pontos que podem ser observados

  • o layout do email, claramente, não é do registro.br
  • o valor da suposta fatura é muito superior ao que normalmente se paga
  • o vencimento é o mesmo dia da data do envio do email (exigindo urgência no pagamento)
  • o remetente não tem qualquer possibilidade de ser real

O segundo prejuízo está diretamente relacionado à reputação da empresa. Um email fake pode levar ao roubo de dados pessoais e dados pessoais sensíveis, encriptação de bancos de dados, etc, levando a perdas financeiras, à comunicação do incidente de proteção de dados à Autoridade Nacional de Proteção de Dados, além de ter que publicizar o incidente.

Dessa maneira, a credibilidade do negócio fica abalada, erodindo a relação com os clientes atuais e causando entraves no relacionamento e análise de conformidade de novos clientes. Esse tipo de dano é extremamente custoso para recuperar.

A depender do tamanho do problema, isso poderá envolver, inclusive, multas pesadas dos órgãos reguladores, além de eventuais custas judiciais.

O terceiro problema pode ser considerado uma mistura dos dois primeiros, pois envolve a interrupção das operações. Quando um email fake resulta em um ataque bem sucedido, ele pode comprometer sistemas vitais, que precisarão ser desligados para mitigação de problemas. Essa eventual interrupção dos negócios pode levar a prejuízos financeiros e desgaste do relacionamento com clientes, e ainda exigir custos operacionais adicionais.

Por isso, é importantíssimo que as empresas estejam constantemente trabalhando em prol da maturidade das suas políticas e ações de proteção de dados e privacidade, com a adoção de softwares, tecnologias e práticas de proteção, mapeamento dos seus fornecedores, treinamento constante das suas equipes em termos de conscientização e práticas seguras (como a política de mesa limpa, por exemplo, acessos com níveis separados, controle de dispositivos móveis, redes protegidas, etc).

Email fake e eleições: uma ameaça às democracias

Em período eleitoral, a integridade e a transparência do processo são essenciais. Afinal, estamos falando do futuro de uma nação.

Quando a sociedade fala sobre as “fake news”, elas costumam estar intimamente associadas nas mentes das pessoas às redes sociais e aplicativos de mensagem, como o Whatsapp e o Telegram. Entretanto, SMS, Email, e até panfletagem são canais por onde esse tipo de prática pode ser exercida.

No âmbito digital, o email fake pode ser uma ferramenta de alto poder destrutivo quando falamos sobre eleições. É uma maneira de fazer uma informação falsa ser distribuída sem controle para um grupo-alvo muito específico, já que é possível saber não apenas quem será alvo da ação, como também é possível monitorar o comportamento de cada pessoa em relação a esse conteúdo.

Dentre os malefícios do email fake em processos eleitorais, podemos citar:

  • Disseminação de desinformação: políticos ou candidatos mal-intencionados e seus assessores podem espalhar informações falsas sobre os adversários, desde acusações falsas até resultados distorcidos de pesquisas eleitorais, informações incorretas sobre locais de votação etc.
  • Manipulação da opinião pública: o envio desse tipo de e-mail falso com informações depreciativas ou falsas sobre pessoas ou pesquisas eleitorais, disseminando teorias conspiratórias, pode influenciar os destinatários a alterar sua percepção sobre seus candidatos, levando a uma mudança na intenção de voto e até mesmo desacreditando o processo eleitoral como um todo.
  • Impacto nos resultados eleitorais: o impacto desses e-mails falsos pode ser tão profundo que pode acabar alterando o curso de uma eleição, desestimulando a participação dos eleitores e afetando o comparecimento.

Combate ao Email Fake: tecnologias emergentes

Obviamente, o mercado não está de olhos fechados a todo esse cenário ameaçador. Muito pelo contrário. O email fake é um fenômeno que tem sido acompanhado de perto há décadas e muitas medidas de segurança vem sendo adotadas.

Vamos conhecer algumas delas:

  • Sistemas de autenticação robustos: DMARC, DKIM e SPF, que são protocolos de segurança de e-mail que ajudam a verificar se os remetentes são quem dizem ser e garantem que os e-mails não foram alterados em trânsito;
  • Filtros avançados de e-mail: há filtros baseados em análise contextual, analisando quem envia, quando, como e com que frequência, e qual é o comportamento do destinatário com esses e-mails. Além disso, há filtros comportamentais, que rastreiam as ações do destinatário (como denunciar um e-mail como spam ou excluí-lo não lido), ajudando o algoritmo do provedor a aprimorar suas proteções contra phishing;
  • Inteligência artificial: sistemas que estão se tornando capazes de criar algoritmos avançados de investigação de e-mails falsos que analisam o texto dos e-mails em busca de sinais como urgência exagerada, erros gramaticais típicos e outros indicadores de fraude;

Principais medidas contra o email fake: formação e informação

As tecnologias estão presentes para facilitar a vida das pessoas, isso é um fato. Mas ela não pode ficar com todo o trabalho. É preciso que a inteligência humana seja aquela mais importante no processo de tomada de decisão.

Por isso, a educação digital é uma poderosa ferramenta de defesa contra o crescente número de emails falsos.

Nas escolas

Desde pequenos, os alunos são inseridos em um universo que hoje é, basicamente, digital: smartphones, redes sociais, compras online, cartões digitais, pagamentos por aproximação.

É preciso que elas sejam educadas, desde cedo, sobre segurança na internet. E não é só falar sobre o popular antivírus, mas sobre os cuidados no cadastro e uso de senhas, no uso das suas impressões digitais, no cuidado ao acessar determinados tipos de websites, etc.

Aqui, mais importante ainda, é enfatizar a segurança contra email fake, já que o jovem está tão ligado nas redes sociais, que acaba imaginando que o email é uma tecnologia ultrapassada, sendo que é extremamente útil e demandada, principalmente na vida como consumidor ativo e na vida adulta profissional.

Nas empresas

Desde a contratação, os colaboradores deve ser instruídos e inseridos na realidade da privacidade e proteção de dados, inclusive no que diz respeito ao uso de suas contas de email, sejam profissionais ou pessoais, protegendo a infraestrutura da empresa contra os emails fake e os seus prejuízos decorrentes.

Para a criação de uma cultura de segurança:

Instalação de antimalware: em todos os ativos da empresa

Workshops e webinars: podem haver ambientes de e-learning com os conteúdos mais básicos sobre segurança da informação e sobre as políticas da empresa, seguido de treinamentos recorrentes presenciais ou à distância para os membros de todas as equipes, anualmente, como forma de atualização;

Adoção de políticas claras de privacidade, proteção de dados e segurança da informação: documentos oficiais contendo todas as orientações da empresa no sentido de evitar problemas e parametrizar o que deve ser feito em caso de dúvidas ou incidentes, com a ciência de todos os colaboradores;

Checklist contra Email Fake

Pensando na praticidade do seu dia-a-dia elaboramos esse breve checklist para você usar sempre que considerar necessário. Utilize nas suas palestras, treinamentos, e onde mais quiser.

Pontuação de advertência: 0
Sobre o remetente
É conhecido?
Se for não, investigue
Conteúdo
Apresenta erros gramaticais?
Se for sim, tenha cuidado
Possui senso de urgência exacerbado?
Se for sim, tenha cuidado
Ao passar o mouse sobre links, eles lhe parecem estranhos?
Se for sim, tenha cuidado
O domínio que aparece nos links é diferente do que está no remetente?
Se for sim, tenha cuidado
Anexos
O email apresenta anexos?
Se for sim, garanta que o remetente é conhecido!
O email com anexo foi solicitado?
Se for não, não abra o anexo
Segurança
Você tem um antimalware (antivírus) instalado?
Se não, evite abrir anexos
Verificou SPF, DKIM e DMARC?
Se não, avalie caso ainda tenha dúvidas sobre o remetente
Depois de tudo, ainda possui dúvidas?
Se sim, procure usar meios alternativos para confirmação, como uma mensagem whatsapp ou um telefonema para o remente (caso o conheça)
Pontuação de advertência: 0

Utilizando tecnologias como antispam, boas práticas, inteligência artificial, treinamento de usuários e educação digital continuada para pessoas, ensinando sobre o email fake e promovendo melhores políticas para proteger informações pessoais e empresariais.