O que é Clone Phishing? Como funciona e como evitar fraudes

Todos nós já recebemos mensagens de correio eletrónico suspeitas que alegam ser de fontes de confiança, como mercados online, marcas de retalho, serviços de redes sociais e instituições bancárias.

Os burlões criam estes clones de correio eletrónico de phishing para imitarem empresas genuínas, na esperança de nos induzirem a clicar em ligações enganosas e a descarregar malware, tudo concebido para roubar as nossas informações pessoais e financeiras.

Vamos analisar mais detalhadamente o clone phishing, explorando os principais aspectos, como a forma como funciona na prática, e as medidas preventivas diárias que pode tomar para evitar tornar-se uma vítima.

O que são esquemas de phishing de clones?

Em suma, o clone phishing é uma técnica de imitação comum, através da qual os cibercriminosos tentam explorar a confiança de um alvo imitando correspondência de empresas, marcas, agências e instituições legítimas.

Estes esquemas baseados em correio eletrónico, que podem ser altamente convincentes, contêm um tema essencial de apelo à ação, normalmente instando o destinatário a retificar um problema através da partilha de logins e informações pessoais, ou descarregando anexos inadvertidamente nocivos.

Por exemplo, um e-mail de clonagem de banco online pode pedir ao destinatário que inicie sessão para cancelar uma transação suspeita (embora inexistente); uma burla nas redes sociais pode pedir ao destinatário que aborde uma suspeita de pirataria de conta e uma burla na Amazon pode pedir ao destinatário que cancele uma encomenda acidental.

Se o destinatário cair na armadilha do burlão e seguir a hiperligação fornecida, não será obviamente conduzido a uma fonte autêntica, mas sim a um sítio duplicado "falsificado" com o objetivo de roubar qualquer informação introduzida.

Para além de serem utilizados para levar a cabo esquemas de phishing cada vez mais orientados para os alvos, os dados roubados dos utilizadores - quer sejam fornecidos voluntariamente quer sejam obtidos por malware - podem ser utilizados para levar a cabo várias actividades fraudulentas, incluindo fraude de identidade e roubo financeiro.

Clone Phishing ou Spear Phishing?

Antes de nos debruçarmos sobre as especificidades do funcionamento das campanhas de clone phishing, vamos primeiro identificar as suas diferenças em relação a outro tipo semelhante de esquema baseado em correio eletrónico: o spear phishing.

Comecemos pelas principais caraterísticas dos esquemas de e-mail de phishing clone:

• Focado em grande escala: Embora os e-mails de phishing possam parecer incidentes isolados para alguns destinatários, estes esquemas são normalmente dirigidos a grandes listas de e-mails, sendo distribuídos a milhares de milhões de pessoas em todo o mundo todos os anos
• Saudações genéricas: Os destinatários não são normalmente abordados pelo seu nome, começando as mensagens por saudações genéricas como "Caro Senhor/Senhora/Cliente", o que as torna altamente suspeitas desde o início
• Falsificação de identidade: Os burlões fazem-se passar por fontes oficiais, normalmente amplamente conhecidas e de confiança, incluindo marcas de comércio eletrónico, plataformas de redes sociais, bancos/empresas financeiras, empresas de serviços públicos e até agências governamentais
• Sinais de phishing: Endereço de remetente estranho, possíveis erros ortográficos, ligações/anexos suspeitos e pedidos de ação urgente para retificar questões como atividade suspeita na conta, pagamentos não autorizados, compras acidentais, reembolsos e prémios pendentes, etc. (mais sobre sinais de alerta de phishing mais à frente)

Embora os esquemas de e-mail de spear phishing partilhem o mesmo objetivo, as suas principais caraterísticas revelam uma abordagem mais pessoal:

• Ataque estreito Focado: Ao contrário dos esquemas de phishing clone, o spear phishing envolve um método de ataque mais personalizado, visando indivíduos específicos de empresas e organizações com acesso alargado a informações privilegiadas
• Saudações pessoais: A investigação do burlão sobre o negócio permite-lhe utilizar uma saudação pessoal real para o destinatário, como "Caro Sr. Johnson"; os alvos mais comuns incluem administradores de sistemas, executivos e até figuras de alto nível como CEOs
• O toque personalizado: A pesquisa do burlão pode também permitir-lhe adotar um tom mais informal/familiar, mencionando o nome da empresa do destinatário e fazendo referência a colegas, associados e clientes reais para ganhar confiança
• Sinais de phishing: O spear phishing pode ter uma roupagem um pouco diferente da variedade clone, mas continua a conter sinais de alerta semelhantes, como um endereço de remetente estranho, má gramática, pedidos de um novo pagamento a ser efectuado ou de um problema urgente a ser resolvido através da partilha de informações sensíveis ou do descarregamento de um anexo, etc

Embora a capacidade de detetar esquemas de phishing clone e spear phishing seja útil, a lição mais importante a retirar é a seguinte: ao lidar com qualquer tipo de correio eletrónico suspeito, não se envolva com o seu conteúdo até o ter analisado minuciosamente.

Como funcionam os esquemas de phishing de clones?

Uma estratégia eficaz para evitar uma forma particular de cibercrime é compreender como é montada - e o mesmo se aplica aos esquemas de phishing de clones. 

Eis como os burlões criam normalmente estas campanhas, passo a passo:

• Falsificação de identidade no sítio Web: O burlão cria um sítio web/página falsificada concebida para reproduzir uma fonte genuína e de confiança (como uma empresa de comércio eletrónico, uma plataforma de redes sociais, uma agência governamental, etc.); o sítio terá uma ligação insegura (prefixo "http" em vez de "https") e o burlão pode também criar e listar endereços de correio eletrónico com um aspeto convincente para reforçar o estratagema
• Criação de e-mail clone: O burlão cria uma réplica de uma mensagem de correio eletrónico autêntica da mesma fonte, imitando a estrutura, o estilo, a linguagem e o tom, ao mesmo tempo que faz alterações subtis, como a alteração do URL da hiperligação de início de sessão da conta (para redirecionar os destinatários para o sítio malicioso do burlão); utiliza saudações genéricas e pode também acrescentar anexos com injeção de malware
• Clonar distribuição de e-mail: Uma vez que o orquestrador carrega no botão enviar, as engrenagens do esquema são postas em movimento; com o e-mail clone a ser entregue a uma grande lista de potenciais vítimas (provavelmente na casa dos milhares ou mais), o burlão senta-se e espera
• O destinatário morde o isco: Convencido de que a mensagem de correio eletrónico enganosa e o seu apelo à ação são genuínos, o destinatário é atraído para a fraude e começa a participar; segue as suas instruções, quer clicando numa ligação (que conduz ao sítio Web falso), quer descarregando um anexo aparentemente inócuo (na realidade, repleto de malware)
• Interação com conteúdos maliciosos: Agora que se encontra no sítio falsificado, a vítima involuntária introduz as suas informações pessoais/financeiras nos campos de introdução de dados, tais como os logins da conta e outros dados como o nome, a morada, a data de nascimento e o número da segurança social, etc.; se tiver descarregado um anexo com malware da mensagem de correio eletrónico, o software malicioso pode ter-se instalado discretamente
• O burlão rouba os dados: A ligação insegura do site falso torna todos os dados pessoais/financeiros introduzidos potencialmente vulneráveis a serem roubados pelo burlão e subsequentemente explorados para fins nefastos; se a vítima descarregou um anexo malicioso, o malware pode ter-se instalado automaticamente e começado a recolher dados do seu dispositivo, que podem também acabar por ser roubados remotamente pelo burlão

Como evitar esquemas de phishing de clones

Embora os esquemas de phishing de clones não estejam a mostrar sinais de abrandamento, a boa notícia é que a maioria deles - mesmo os mais convincentes - pode ser identificada. 

Eis alguns sinais de alerta a que deve estar atento quando se trata de lidar com mensagens de correio eletrónico suspeitas, bem como algumas medidas preventivas a tomar para garantir que os seus dados permanecem seguros:

• Saudação genérica: Uma mensagem de correio eletrónico que alega ser de uma empresa legítima e que não se dirige ao utilizador pelo nome (Caro Senhor/Senhora/Cliente/Utilizador, etc.) é altamente suspeita
• Sentido de urgência: Os burlões querem que aja agora e pense mais tarde, por isso tentam muitas vezes abalar o seu bom senso avisando-o de que um problema urgente, como um pagamento suspeito não autorizado ou uma violação de conta, tem de ser resolvido rapidamente
• Pedir informações: Tenha cuidado com quaisquer mensagens de correio eletrónico ou sítios Web (para os quais tenha sido direcionado) que solicitem informações pessoais/financeiras, independentemente do motivo - especialmente se o sítio Web para o qual foi direcionado tiver uma ligação insegura, um domínio desconhecido ou algo que lhe pareça estranho
• Ortografia, estilo, gramática: É muito improvável que uma mensagem de correio eletrónico com demasiados erros (ortografia, gramática, formatação, gralhas, etc.) provenha de uma fonte legítima que valoriza muito a sua reputação
• Endereço do remetente: Verificar cuidadosamente o endereço do remetente, incluindo a extensão do domínio, tendo em atenção os endereços manifestamente estranhos e os que tentam subtilmente imitar o da empresa real
• Imagens de baixa qualidade: As mensagens de correio eletrónico de empresas autênticas têm normalmente um design profissional; imagens de baixa resolução/não nítidas (como logótipos e banners, etc.) podem, portanto, indicar uma potencial ameaça de phishing
• Comparações de e-mails autênticos: Se recebeu uma mensagem de correio eletrónico suspeita que diz ser de uma empresa com a qual já trabalha, veja como se compara com uma mensagem de correio eletrónico anterior na sua caixa de entrada que sabe ser autêntica
• Anexos de digitalização: Se suspeitar que uma mensagem de correio eletrónico pode ser um esquema de phishing de clones, não descarregue quaisquer anexos até ter verificado primeiro se existe software nocivo utilizando uma aplicação antivírus como o TotalAV; se, por outro lado, estiver preocupado com um anexo que descarregou, certifique-se de que executa imediatamente uma verificação completa do sistema
• Verificar ligações: Os burlões podem alterar facilmente os URLs de destino das hiperligações ("amaazon1ogin.co" em vez de "amazon.com"), pelo que é sempre aconselhável passar o cursor do rato sobre/ver o endereço real antes de clicar
• Sítios Web inseguros: Se tiver sido direcionado (através de uma hiperligação) para um domínio que pretende ser uma empresa legítima, certifique-se de que a ligação é segura ('https' - não 'http'), especialmente se a página pedir informações pessoais/financeiras; as ferramentas de navegação para esquemas de phishing, como o Total WebShield, podem ajudar a evitar o roubo de dados, detectando e bloqueando instantaneamente os sites falsos que constam da lista negra
• O Password Manager não preenche automaticamente: A principal função dos gestores de palavras-passe é criar palavras-passe fortes, armazená-las de forma segura e fornecer logins de preenchimento automático; no entanto, outra vantagem é que, se a funcionalidade de preenchimento automático não estiver a preencher os campos, isso pode indicar que chegou a um site falso; certifique-se de que utiliza uma aplicação respeitável como Palavra-passe total para otimizar a gestão dos seus logins
• Pensar, examinar, agir: Os autores de fraudes aproveitam-se do medo, da ignorância e da impaciência, por isso, nunca aja precipitadamente quando confrontado com um e-mail com o tema da crise - em vez disso, relaxe, mantenha a sua lógica e pensamento crítico intactos, verifique se existem sinais de alerta de phishing e decida a melhor forma de agir
• Verificar a sua conta: Se recebeu uma mensagem de correio eletrónico a avisar de um problema relacionado com a conta, a forma mais rápida de verificar a alegação é, muitas vezes, iniciando sessão na sua conta (manualmente - não utilizando as hiperligações na própria mensagem de correio eletrónico suspeita)
• Verificar com a empresa: Se continuar a ter dúvidas sobre a legitimidade de uma mensagem de correio eletrónico, contacte o apoio ao cliente oficial para verificar (mais uma vez, não utilize as hiperligações da mensagem de correio eletrónico suspeita); pode também pedir uma segunda opinião a um colega/amigo de confiança, o que tem a vantagem adicional de o avisar sobre a potencial ameaça
• Ativar filtros de spam: Certifique-se de que tira partido do filtro automático de spam do seu cliente de correio eletrónico; embora estas ferramentas não sejam infalíveis, podem ser muito eficazes na deteção de e-mails de phishing e de spam em geral
• Utilizar um antivírus fiável: Adicione uma camada vital de proteção às suas actividades em linha com uma cibersegurança de confiança; o O premiado antivírus TotalAV e a sua família de aplicações, como o Total WebShield, o AdBlock e o Total VPN, oferece uma defesa inovadora e líder do sector contra as ameaças actuais em constante evolução, incluindo esquemas de phishing de clones, sites falsos e malware furtivo