7 exemplos reais de e-mails de phishing: esquemas de e-mail a evitar

As mensagens de correio eletrónico de phishing são tentativas de roubo de informações sensíveis que parecem vir de uma organização legítima. Descubra os riscos e as tácticas dos e-mails de phishing. Aprenda a identificar estas mensagens fraudulentas e proteja-se.

Clicou numa ligação de phishing? Faça uma análise de vírus gratuita aqui.

Descarregar a verificação gratuita de vírus e malware

Phishing e-mail - exemplos reais de e-mails fraudulentos

O que é uma mensagem de correio eletrónico de phishing? Como detetar uma burla por correio eletrónico

Um e-mail de phishing é uma mensagem fraudulenta criada para enganar os destinatários e levá-los a revelar informações sensíveis, como palavras-passe ou números de cartões de crédito. Estes e-mails imitam frequentemente fontes legítimas, como bancos ou sítios Web populares, para parecerem credíveis. O seu objetivo é explorar a confiança de uma pessoa nestas instituições, persuadindo-a a fornecer informações pessoais, a clicar em ligações maliciosas ou a descarregar anexos que contêm malware.

Os principais indicadores de e-mails de phishing incluem saudações genéricas, erros ortográficos e gramaticais (embora nem sempre) e linguagem urgente ou ameaçadora que pressiona o destinatário a agir rapidamente.

Links ou anexos suspeitos e endereços de e-mail de remetentes que não correspondem à organização legítima que dizem representar também são sinais indicadores. Além disso, os pedidos de informações sensíveis, que as organizações legítimas normalmente não pedem por correio eletrónico, são um sinal de alerta.

Exemplos de e-mails de phishing: o que não se deve fazer

Fraudes do PayPal

Esta fraude envolve e-mails que parecem vir do PayPal, muitas vezes com logótipos e formatação convincentes. Os e-mails alegam normalmente que existe um problema com a conta do destinatário e pedem-lhe que clique numa ligação para verificar ou atualizar as informações da conta. A hiperligação conduz a um site falso do PayPal, concebido para parecer autêntico, onde as vítimas introduzem inadvertidamente as suas credenciais de início de sessão, que são depois roubadas pelos burlões. Pode ser parecido com o exemplo a seguir, para outros exemplos, visite este post.

Re: [Importante] - A tua conta foi temporariamente limitada. A sua conta foi limitada até termos notícias suas. Enquanto a tua conta estiver limitada, algumas opções da tua conta não estarão disponíveis.

Exemplo de e-mail de phishing do Paypal - e-mail real de fraude do Paypal

IRS / esquemas de reembolso de impostos

Neste ataque de phishing, as pessoas recebem mensagens de correio eletrónico que parecem vir do IRS. Os e-mails criam frequentemente um sentido de urgência, alegando que há um problema com os impostos ou com a declaração de impostos do destinatário. Escrevemos recentemente sobre as fraudes do IRS com o malware Emotet, mas este é apenas um exemplo. O tema comum dos e-mails de phishing scam do IRS é o facto de estes e-mails pedirem normalmente informações pessoais e financeiras, sob o pretexto de resolverem o problema. No entanto, o IRS não entra em contacto com os contribuintes por correio eletrónico para solicitar informações pessoais ou financeiras.

Exemplo de e-mail de burla do IRS

IRS Online Center - Formulários W-9 do IRS: Informe-me se desejar que lhe seja enviada também uma cópia em papel. Com os melhores cumprimentos, [SIC] Barbara LaCosta, Inspetora, Departamento do Tesouro

Fraudes no Google Docs

Esta fraude envolve e-mails que convidam os destinatários a visualizar um documento no Google Docs. O e-mail pode parecer vir de alguém que a pessoa conhece, o que faz parte do engano. Clicar no link do e-mail não leva a uma página real do Google Docs, mas sim a um site malicioso que pode ser concebido para roubar as credenciais da conta Google ou instalar malware no computador da vítima. Escrevemos sobre o ataque do Google Docs Infostealer. Normalmente, o e-mail parece que alguém está a tentar colaborar consigo, mas se não estava à espera de um e-mail deste tipo, o melhor conselho é evitar clicar nele.

Exemplo de esquema de phishing do Google Docs - captura de ecrã do e-mail

Fraudes de suporte técnico

Estas mensagens de correio eletrónico de phishing podem tentar fazer com que o utilizador clique numa janela pop-up que se parece com uma mensagem de erro, por exemplo, da FTC.gov, como esta:

Ameaças detectadas: Clique ou ligue imediatamente, pois foi detectada uma atividade suspeita.

Fraudes nas redes sociais

As redes sociais são uma fonte inesgotável para os burlões fazerem phishing aos utilizadores e obterem os seus dados pessoais. Uma em cada quatro pessoas que declararam ter perdido dinheiro com fraudes desde 2021 disse que a fraude começou nas redes sociais. As perdas relatadas para golpes nas redes sociais durante o mesmo período atingiram um valor impressionante de US $ 2,7 bilhões, muito mais alto do que qualquer outro método de contato.

Os piratas informáticos podem facilmente clonar perfis de utilizadores reais ou entrar no seu perfil, fingir que é você e enganar os seus contactos. Os burlões podem fingir que enviam um e-mail oficial da plataforma a pedir-lhe que inicie sessão para ativar uma funcionalidade ou para redefinir o seu perfil. No LinkedIn, os utilizadores relatam frequentemente a receção de e-mails suspeitos de potenciais empregadores:

Captura de ecrã da mensagem de correio eletrónico fraudulenta do Linkedin

Estes são extremamente difíceis de identificar, pelo que deve estar atento a quaisquer sinais de alerta, como erros de digitação, pedidos e informações de contacto invulgares, bem como pedidos urgentes para clicar em anexos e/ou ligações.

Fraudes de phishing bancário

Estas mensagens parecem notas oficiais das suas instituições financeiras. No entanto, é fácil detetar uma burla se estas mensagens indicarem transacções inexistentes ou pedirem informações pessoais. Não clique nestes links para preencher estes formulários fraudulentos. Em caso de dúvida, contacte o seu banco para confirmar o problema descrito no e-mail. Descrevemos mais pormenorizadamente as burlas bancárias aqui.

Exemplo de correio eletrónico de phishing bancário

Correio eletrónico de phishing da USPS ou da UPS - por exemplo, "não foi possível entregar a encomenda"

Estas mensagens de correio eletrónico parecem ser provenientes do serviço de entrega de correio, como a USPS ou a UPS. Pedem-lhe que envie uma informação pessoal porque a "encomenda não pôde ser entregue". Resista a clicar em quaisquer ligações e inicie sessão nos sítios fraudulentos para submeter as suas informações pessoais. Esteja atento a erros de digitação e outros sinais de alerta. Veja alguns destes exemplos de e-mails de phishing da UPS (fonte: https://www.ups.com/assets/resources/webcontent/en_US/fraud_email_examples.pdf):

Exemplo de burla da UPS
Exemplo de phishing da UPS

A USPS partilhou alguns vídeos sobre como detetar um e-mail de phishing da USPS aqui: https://www.uspis.gov/news/scam-article/fake-usps-emails

Exemplo de burla da USPS

Temas comuns de e-mails de phishing

Os e-mails de phishing, concebidos para enganar os destinatários e levá-los a divulgar informações sensíveis, partilham frequentemente temas comuns:

  1. Urgência: Muitos e-mails de phishing criam um sentido de urgência, pressionando-o a agir rapidamente. Pode ser uma afirmação de que a sua conta será encerrada, uma ameaça de ação legal ou uma oferta por tempo limitado.
  2. Pedidos de informações pessoais: Estes e-mails pedem frequentemente dados pessoais, como palavras-passe, números da segurança social, informações sobre contas bancárias ou números de cartões de crédito.
  3. Ligações ou anexos suspeitos: As mensagens de correio eletrónico de phishing contêm frequentemente hiperligações ou anexos que o remetente o incita a clicar ou abrir. Estes podem conduzir a sítios Web maliciosos ou descarregar malware para o seu dispositivo.
  4. Informações do remetente falsificadas: Os e-mails de phishing podem parecer ser de fontes legítimas, como bancos, agências governamentais ou empresas conhecidas. Muitas vezes, imitam o aspeto das comunicações oficiais.
  5. Erros gramaticais e ortográficos: Embora nem sempre seja o caso, muitos e-mails de phishing contêm erros ortográficos e gramaticais visíveis.
  6. Mensagens ameaçadoras ou alarmantes: Algumas tentativas de phishing utilizam a intimidação, como a ameaça de uma multa ou a acusação de actividades ilegais, para provocar uma resposta.
  7. Ofertas demasiado boas para serem verdadeiras: Podem prometer ganhos inesperados, como ganhar a lotaria ou receber uma herança de um familiar distante.
  8. Pedidos não solicitados: As mensagens de correio eletrónico de phishing surgem frequentemente sem serem solicitadas e podem dizer respeito a um serviço ou produto que nunca utilizou ou a uma conta que nunca abriu.

O reconhecimento destes temas pode ajudá-lo a identificar e a evitar ser vítima de esquemas de phishing.

Porque é que os e-mails de phishing são perigosos?

Os perigos dos e-mails de phishing são significativos. Podem conduzir a roubo de identidade, perdas financeiras e infecções por malware. As vítimas podem ser confrontadas com transacções não autorizadas, perda de controlo sobre contas pessoais e danos a longo prazo na sua pontuação de crédito. O impacto pessoal destas ameaças inclui stress, perda de privacidade e potenciais problemas legais se a identidade de alguém for utilizada para actividades ilegais.

O que acontece se abrir uma mensagem de correio eletrónico de phishing?

Abrir uma mensagem de correio eletrónico de phishing não é geralmente suficiente para comprometer o seu computador com vírus ou malware. Estes elementos maliciosos são normalmente acionados quando se descarrega um anexo ou se clica numa ligação dentro da mensagem de correio eletrónico. No entanto, abrir a mensagem de correio eletrónico pode alertar o remetente de que o seu endereço de correio eletrónico está ativo, o que pode levar a mais tentativas de phishing. É crucial manter-se vigilante e evitar interagir com qualquer conteúdo suspeito contido nessas mensagens de correio eletrónico.

Manter a calma: Não entre em pânico, mas tome medidas imediatas.

  1. Desligar: Desligue o seu dispositivo da Internet para evitar mais danos ou roubo de dados
  2. Procure vírus e software malicioso: Efectue uma verificação de vírus gratuita aqui.
  3. Altere todas as palavras-passe das suas contas: E-mail, redes sociais, aplicações bancárias - todos os logins que possa imaginar. Se precisar de dicas sobre uma palavra-passe forte, consulte o nossogerador de palavras-passe.
  4. Monitorize a sua exposição na dark web: eis uma excelente ferramenta - digital footprint scan.

O que acontece se responder a uma mensagem de correio eletrónico de phishing?

Responder a mensagens de correio eletrónico de phishing é arriscado por várias razões claras. Mesmo que saiba que se trata de um e-mail falso, responder pode causar mais problemas. A maioria dos ataques de phishing são executados automaticamente e, quando responde, coloca-o no radar do burlão. Lembre-se que estes cibercriminosos estão frequentemente envolvidos em actividades ilegais e podem ser prejudiciais.

Em primeiro lugar, se responder a uma mensagem de correio eletrónico de phishing, estará a fornecer acidentalmente ao burlão a sua assinatura de correio eletrónico pessoal ou da sua empresa. Esta assinatura inclui normalmente números de telefone e outros detalhes, que o burlão pode utilizar para criar mensagens de correio eletrónico falsas mais convincentes para o enganar a si e a outros.

Em segundo lugar, quando responde, diz ao burlão que o seu correio eletrónico está a ser utilizado. Isto torna-o um alvo maior para futuras burlas. O seu endereço de correio eletrónico pode até ser vendido a outros cibercriminosos.

Por último, os detalhes técnicos do seu correio eletrónico podem revelar a sua localização. Isto significa que os burlões podem descobrir onde se encontra, o que aumenta o risco.

Denunciar uma mensagem de correio eletrónico de phishing

A denúncia de tentativas de phishing é um passo fundamental para se proteger a si e aos outros contra as burlas em linha. A Federal Trade Commission, uma agência governamental dos EUA responsável pela proteção dos consumidores, disponibiliza uma plataforma para as pessoas denunciarem o phishing. Isto ajuda a localizar e a atenuar estas burlas.

Para comunicar um incidente de phishing:

  1. Se recebeu uma mensagem de correio eletrónico de phishing, pode reencaminhá-la para o Grupo de Trabalho Anti-Phishing através do seu endereço de correio eletrónico, reportphishing@apwg.org.
  2. No caso de phishing através de mensagem de texto, reencaminhar a mensagem para o número 7726, que corresponde a "SPAM" na maioria dos teclados dos telemóveis.
  3. Por último, também pode denunciar a tentativa de phishing diretamente à FTC. Isto pode ser feito através do seu sítio Web, ReportFraud.ftc.gov.

Cada relatório contribui para a luta contra estas actividades fraudulentas, ajudando a FTC e outras organizações a localizar e a deter os burlões.

Os remetentes de e-mails de phishing enfrentam consequências legais ao abrigo de várias leis de proteção do consumidor. Em muitos países, o phishing é considerado uma ofensa criminal e os autores podem ser processados por fraude, roubo de identidade e cibercrimes. As sanções exactas variam consoante a jurisdição, mas podem incluir multas substanciais e prisão.

O que é o phishing?

O que é um ataque whaling (whale phishing)?

O que é smishing?

O que é spear phishing?

FAQs

O que acontece se abrir uma mensagem de correio eletrónico de phishing?

Se abrir uma mensagem de correio eletrónico de phishing, o seu computador não será infetado, mas o burlão poderá ter acesso a alguns dos seus dados, incluindo a localização, o endereço IP e os sistemas operativos, para os utilizar num ataque mais direcionado contra si no futuro. Se clicar numa ligação na mensagem de correio eletrónico de phishing, esta pode infetar o seu computador com spyware, malware, vírus e outras ameaças. Um e-mail de phishing tem como objetivo enganá-lo para que partilhe informações sensíveis. Aparece frequentemente como uma mensagem urgente de uma fonte fidedigna, levando-o a revelar inadvertidamente dados pessoais, como credenciais de início de sessão ou números de cartão de crédito, através de ligações ou anexos na mensagem de correio eletrónico de phishing.