Você está aqui: Página Inicial > Como identificar uma tentativa de golpe por e-mail

Notícias

Como identificar uma tentativa de golpe por e-mail

publicado: 24/05/2018 19h12, última modificação: 24/05/2018 20h36

A Superintendência de Tecnologia da Informação foi questionada hoje (24/05/2018) a respeito de uma mensagem recebida por alguns usuários sobre uma suposta mudança de servidor em que cada proprietário de conta teria que clicar em um link para evitar que a mesma fosse bloqueada. Segue abaixo o conteúdo original:

De: "Imprensa UFPB" <rtroiano001@inicia.es>
Enviadas: Quinta-feira, 24 de maio de 2018 10:02:37
Assunto: Prezado aluno / funcionário da Universidade Estadual Paulista

--
Prezado aluno / funcionário da Universidade Estadual Paulista,

Isso é para informá-lo de que estamos atualizando nosso servidor de webmail para fornecer a você o melhor, mais rápido e seguro serviço de e-mail mais confiável. Esta atualização vem com uma ampla gama de serviços adicionais, como ENCRIPTAÇÃO DE TERMINAR PARA FINAL (ETEE) e também e QUOTA DE AUMENTO AUTOMÁTICO DE AUMENTO (AIWQ). Nós estaremos desligando nosso servidor anterior e você pode não conseguir acessar seu email, para evitar essa desconexão você é obrigado a clicar no link abaixo e acessar sua conta de webmail novamente para permitir que o servidor de webmail recém-aprimorado identifique sua conta.

Clique no link abaixo para renovar sua conta;

mail.ufrn.br

Não fazer isso pode resultar na perda de seus dados importantes e a conta pode ser permanentemente desativada.

================================================== =============================
Não envie sua senha ou informações pessoais para ninguém
================================================== =============================

Obrigado,
UFPB - Universidade Estadual Paulista,
R. Araraquara - Vila Tabajara, Pres. Prudente - SP, 19014-020, Brasil
Provedor de Serviços de Correio da UFPB.

 

Como essa situação é bastante recorrente, aproveitamos o ensejo, tanto para mostrar evidências claras na mensagem específica em questão, quanto para dar dicas gerais de como reconhecer uma tentativa de golpe.

 

Relação de itens suspeitos no e-mail malicioso

  1. O autor do golpe sequer se deu ao trabalho de personalizar o conteúdo à Universidade Federal da Paraíba. Aparentemente, apenas copiou uma mensagem enviada a outra instituição (no caso, a Universidade Estadual Paulista - UNESP);
  2. A origem da mensagem contém dois erros: vem identificada como sendo de "Imprensa UFPB" (órgão completamente estranho aos membros da nossa comunidade acadêmica) e o endereço de origem é "rtroiano001@inicia.es" (endereço não só alheio à instituição, como sediado em outro país - no caso a Espanha);
  3. Não há sentido em "Enviadas: Quinta-feira ...". É bastante comum nesse tipo de mensagem a presença de erros gramaticais ou frases sem sentido. Muitas vezes, o autor sequer fala a nossa língua e faz tradução por alguma ferramenta automatizada;
  4. O teor da mensagem por si só já desperta suspeitas por fugir à forma esperada para um comunicado institucional (usa termos pseudotécnicos desnecessários, linguagem informal e demonstra completo desconhecimento sobre órgãos e o funcionamento da Instituição);
  5.  O endereço que aparece para a suposta mudança é "mail.ufrn.br" (o que já não faria sentido para mudar uma senha da UFPB). Porém, ao passar o mouse sobre ele, vê-se que o endereço que ele realmente vai abrir é "https://imaria.com.ng/auth/br1/?https://webmail.unesp.br/". O fato de que ele mostre na mensagem um endereço (mesmo que esse fosse da UFPB) e redirecione para outro é um forte indício de fraudeFraude no endereço
  6. Além de mais uma vez aparecer o nome de outra instituição (com respectivo endereço dessa), o fato de assinar a mensagem com "Provedor de Serviços de Correio da UFPB" demonstra desconhecimento sobre a estrutura de funcionamento da nossa instituição.

 

Tais características vêm sendo encontradas em todas as tentativas de fraude que nos são reportadas. Entretanto, não seria difícil a um criminoso mais criterioso enviar uma mensagem maliciosa bem melhor elaborada, o que poderia gerar dúvidas mesmo a usuários mais experientes. Sendo assim, como identificar tais tentativas?

Como identificar uma mensagem maliciosa?

As tentativas de golpe por e-mail basicamente têm se concentrado em três frentes: solicitar ao usuário que responda à mensagem com suas informações confidenciais (senhas, por exemplo), que acesse algum link externo e informe tais dados ou que instale algum programa em seu computador

Primeiramente, falemos sobre as situações em que é pedido que o usuário responda o e-mail com seu usuário e senha. É simples: a STI jamais vai pedir que você responda a um e-mail informando sua senha. Qualquer mensagem dessa natureza deve ser tratada como uma tentativa de golpe. Simplesmente ignore-a.

O segundo método, o famoso "clique aqui", tenta fazer com que o usuário acesse uma página e informe seus dados secretos. Esse é o caso do exemplo que citamos no início desse informativo. Na maioria das vezes, é fácil de identificar o golpe, pois o link tenta redirecionar o usuário para um endereço fora da UFPB. Entretanto, existe a possibilidade de que um eventual endereço invadido dentro da instituição seja usado para tentar confundir os usuários. Portanto, vale a regra de ouro: para trocar a senha do seu e-mail, recuse-se a fazê-lo que não pela forma convencional. Dentro do webmail sempre há um link para a troca. Idem para o SIGAA/SIGRH e outros sistemas específicos.

O terceiro caso, que induz à instalação de um programa malicioso no dispositivo, tem sido mais comum em casos de phishing contra usuários de banco. Ainda assim, por existir a possibilidade, resolvemos mencioná-lo.

 

Existe a possibilidade de perda de meus dados?

Embora improvável, pois guardamos cópias de segurança dos dados armazenados, não podemos afirmar que seja impossível um incidente de perda de informações importantes. Também não pode ser descartada totalmente a chance de uma migração de sistemas com dados incompatíveis. Mas, caso algo tão improvável viesse a acontecer, haveria uma ampla divulgação pelo site da UFPB e/ou da STI e demais meios oficiais de comunicação. Portanto, qualquer solicitação de operação atípica deve ser temporariamente ignorada enquanto for considerada suspeita, até que se possa ser confirmada por outros meios. A STI mantém abertos seu canais de comunicações para consultas sobre eventuais dúvidas.

 

Resumindo...

Mensagens com estilo fora do convencionalmente utilizado para a comunicação oficial têm um alto indício de fraude. Entretanto, mesmo mensagens bem escritas, fazendo referências a órgãos ou pessoas realmente ligadas à instituição e até mesmo que usem endereços instituicionais (*.ufpb.br), quando tentam conduzir o usuário a operações atípicas envolvendo suas informações confidenciais ou comprometimento de sua segurança, devem ser consideradas como suspeitas e ignoradas até que se tenha confirmação pelos meios oficiais.