Como Proteger o Email de Ataques de Phishing

O que é o phishing?

O phishing é uma forma de ciberataque em que o atacante tenta enganar a vítima para que esta revele informações sensíveis, como palavras-passe, números de cartão de crédito ou dados pessoais. O atacante faz-se passar por uma organização ou pessoa de confiança através de email, SMS ou de uma página web falsa.

Segundo vários relatórios, o phishing é responsável por mais de 90% de todos os ciberataques. Em Portugal, são especialmente frequentes os ataques que se fazem passar por bancos, pela Autoridade Tributária, por serviços de transporte e por serviços online populares. Qualquer empresa, independentemente da sua dimensão, pode ser alvo de phishing. Uma conta de email profissional com autenticação adequada é a primeira linha de defesa.

Tipos de ataques de phishing

Phishing por email

A forma mais comum de phishing. O atacante envia emails em massa que aparentam vir de uma organização legítima. O email costuma conter uma ligação para uma página web falsa idêntica à verdadeira, ou um anexo infetado.

Spear phishing

Um ataque direcionado a uma pessoa ou organização específica. O atacante investiga a vítima através das redes sociais e de dados públicos e, em seguida, elabora um email personalizado que parece muito convincente. Bastante mais perigoso do que o phishing em massa, porque é mais difícil de detetar.

Whaling

Um subtipo de spear phishing que tem como alvo colaboradores de topo (CEO, CFO, diretores). Os emails fazem-se frequentemente passar por documentos legais, declarações fiscais ou pedidos urgentes de transferência de dinheiro.

Business Email Compromise (BEC)

O atacante compromete ou faz-se passar pelo email de um colaborador (normalmente um quadro superior) e envia pedidos de transferência de dinheiro ou de dados sensíveis a outros colaboradores. Os ataques BEC são extremamente lucrativos para os atacantes - o prejuízo médio ultrapassa os 100.000 € por ataque.

Smishing e Vishing

O smishing utiliza mensagens SMS e o vishing utiliza chamadas telefónicas para enganar. Em Portugal, são comuns as mensagens SMS que se fazem passar por serviços de transporte, exigindo o pagamento de "taxas adicionais de entrega".

Como reconhecer um email de phishing

Vários sinais indicam que um email pode ser uma tentativa de phishing. Preste atenção ao seguinte antes de clicar em qualquer ligação ou de abrir um anexo.

• Endereço de remetente suspeito: Verifique o endereço de email exato, e não apenas o nome do remetente. Os atacantes usam endereços como "suporte@banco-de-portugal.com" em vez do domínio real do banco.
• Urgência e ameaças: "A sua conta será bloqueada em 24 horas" ou "Confirme os seus dados com urgência" são táticas clássicas de phishing.
• Erros gramaticais: As organizações profissionais têm revisores. Muitos erros gramaticais e expressões estranhas são sinais de alerta.
• Saudação genérica: "Caro cliente" em vez do seu nome - as organizações legítimas costumam tratá-lo pelo nome.
• Ligações suspeitas: Passe o rato sobre a ligação (sem clicar!) para ver o URL real. Se for diferente do esperado, não clique.
• Anexos inesperados: Nunca abra anexos que não estava à espera, sobretudo ficheiros .exe, .zip ou .doc com macros.
• Pedido de dados sensíveis: Nenhuma organização legítima pede uma palavra-passe, um PIN ou um número de cartão por email.

Proteção técnica: SPF, DKIM e DMARC

SPF, DKIM e DMARC são três protocolos complementares que, em conjunto, oferecem uma forte proteção contra o spoofing de email - a técnica que os atacantes usam para enviar emails com um endereço de remetente falso.

SPF (Sender Policy Framework)

O SPF permite ao proprietário do domínio definir quais os servidores autorizados a enviar emails em nome desse domínio. O servidor de receção verifica o registo SPF no DNS e rejeita os emails provenientes de servidores não autorizados.

Um registo SPF no DNS tem este aspeto: v=spf1 include:_spf.google.com include:mail.beohosting.com -all. Este registo indica que apenas os servidores de email do Google e da BeoHosting estão autorizados a enviar emails a partir do seu domínio. A etiqueta "-all" no final significa que todos os restantes devem ser rejeitados.

DKIM (DomainKeys Identified Mail)

O DKIM acrescenta uma assinatura digital a cada email que envia. O servidor de receção utiliza a chave pública publicada no DNS para verificar que o email não foi alterado em trânsito e que provém realmente do seu domínio.

O DKIM utiliza criptografia assimétrica - uma chave privada no seu servidor de email assina cada email, e a chave pública no DNS permite a verificação. Sem uma assinatura válida, o email será assinalado como suspeito.

DMARC (Domain-based Message Authentication, Reporting, and Conformance)

O DMARC é uma evolução do SPF e do DKIM que indica ao servidor de receção o que fazer com os emails que falham as verificações SPF/DKIM. O DMARC fornece ainda relatórios sobre tentativas de abuso do seu domínio.

• p=none: Apenas monitorização - não afeta a entrega, mas envia relatórios. Use isto no início para perceber o que está a acontecer.
• p=quarantine: Os emails que falham as verificações vão para a pasta de spam. O nível recomendado para a maioria dos sites.
• p=reject: Os emails que falham as verificações são totalmente rejeitados. A definição mais rigorosa, para máxima proteção.

A recomendação é começar com p=none, monitorizar os relatórios durante um mês e, depois, avançar para p=quarantine e, por fim, p=reject. Desta forma, não bloqueará acidentalmente emails legítimos.

Formação dos colaboradores

A proteção técnica é apenas um lado da moeda. O fator humano continua a ser o elo mais fraco da cadeia de segurança. A formação regular dos colaboradores é fundamental para a proteção contra o phishing.

Elementos de um programa de formação

• Testes de phishing simulados: Envie periodicamente emails de phishing de teste aos colaboradores e acompanhe quem clica. Ferramentas como o KnowBe4 ou o Gophish automatizam este processo.
• Workshops regulares: Workshops trimestrais com exemplos de ataques de phishing atuais. Mostre exemplos reais de ataques dirigidos ao seu setor.
• Procedimentos claros: Defina o procedimento para comunicar emails suspeitos. Os colaboradores têm de saber a quem recorrer e o que fazer.
• Autenticação de dois fatores: 2FA obrigatória para todas as contas empresariais. Mesmo que um atacante obtenha a palavra-passe, não consegue aceder à conta sem o segundo fator.
• Gestor de palavras-passe: Utilize gestores de palavras-passe como o Bitwarden ou o 1Password para palavras-passe únicas e fortes em cada conta.

O que fazer se for vítima de phishing

• Mude as palavras-passe imediatamente: Da conta comprometida e de todas as outras contas onde usa a mesma palavra-passe.
• Avise a equipa de TI: Comunique o incidente de imediato - o tempo é crítico para limitar os danos.
• Verifique as transações bancárias: Se introduziu dados financeiros, contacte o banco e bloqueie o cartão.
• Analise o computador: Execute uma análise antivírus completa se abriu um anexo suspeito.
• Documente o incidente: Guarde o email de phishing, capturas de ecrã e todos os detalhes relevantes para a investigação posterior.
• Denuncie o ataque: Comunique a tentativa de phishing ao CERT.PT (cert.pt) e ao fornecedor de alojamento do site falso.

Conclusão

Os ataques de phishing estão a tornar-se cada vez mais sofisticados e difíceis de reconhecer. Uma combinação de proteção técnica (SPF, DKIM, DMARC), formação dos colaboradores e procedimentos claros é a única abordagem eficaz. Configure SPF, DKIM e DMARC para o seu domínio através da configuração de DNS, forme os colaboradores para reconhecer emails suspeitos e construa uma cultura de segurança em que todos são responsáveis por proteger a empresa das ameaças cibernéticas.