Adoro o notebook Toshiba que comprei no ano passado. Guardo nele praticamente tudo que se relaciona a trabalho, estudo e finanças. Por isso, quando recebi um e-mail da Toshiba, alertando que o modelo que possuo poderia ter um defeito de memória que ameaçava os dados, fiquei ansioso para descobrir se meu equipamento havia sido afetado. Um link na mensagem me levou para uma página web do fabricante, que prometia baixar um utilitário em meu computador para verificar o módulo de memória defeituoso. Eu só tinha de clicar em um botão.

Mas, quando estava prestes a acionar o mouse, uma dúvida brotou das profundezas da minha credulidade digital. Será que a coisa toda não passaria de um scam? Será que eu estava prestes a baixar e instalar um cavalo-de-tróia, um programa backdoor ou um worm?

No fim das contas, descobri que não era um truque: a Toshiba realmente havia enviado o e-mail com o link incorporado para download de um arquivo executável, localizado em um longo e complexo endereço web. O problema é que façanhas phishing, “seqüestros” de browser e outros scams online, com freqüência, capturam suas vítimas usando mensagens de e-mail com aparência similar.

Felizmente, você pode aprender a detectar estas fraudes de e-mail valendo-se de um punhado de técnicas investigativas e de muito bom senso. Veja, a seguir, como diferenciar uma mensagem genuína de uma comunicação espúria.

NÃO MORDA A ISCA
Você estará protegido da maioria dos ataques por e-mail se tiver em mente uma única coisa: presuma sempre que qualquer mensagem possa ser maliciosa. Não importa quem é o destinatário ou se os logos corporativos, o visual e os links embutidos pareçam autênticos.

É fácil para artistas da fraude criar mensagens falsas, contendo endereços de retorno, imagens e URLs tiradas de web sites oficiais de qualquer companhia.
Encarne o espírito paranóico para examinar mensagens criticamente. Se você não
tiver uma conta no Citibank, o banco não vai enviar para você nenhum e-mail relacionado a sua conta bancária nesta instituição. Mas até mesmo as mensagens que pareçam vir de instituições onde você tem conta podem não ser reais. Lembre-se de seu novo lema: não confiar em ninguém.

Antes de clicar em um link ou tomar qualquer atitude solicitada em uma mensagem, tenha certeza de que ela é genuína. Endereços de retorno, links embutidos e imagens podem iludir. Fique atento a alertas catastróficos e outras técnicas clássicas de fraude, acompanhadas de um link para um web site apócrifo, onde você será solicitado a informar dados pessoais.

Observe as semelhanças entre as mensagens (em inglês) nas duas imagens ao lado: ambas são baseadas em texto, razoavelmente bem escritas e plausíveis (embora a mensagem phishing contenha também digitações e frases mal formuladas, sem lógica). Ambas possuem endereços verdadeiros para o web site de cada empresa (destacados em azul pelo programa de e-mail que os exibe).

A única diferença é que a mensagem do Citibank falsa (acima) também traz um link para um phishing site efêmero, onde um visitante confiante é convocado a digitar informações sigilosas. Em vez de fornecer um link para uma página específica, as mensagens autênticas de empresas (abaixo) que estão atentas para phishing e outras fraudes online, em geral, vão instruir você a visitar ou logar ao web site principal da empresa.

Outra pista: a mensagem phishing pode ser entregue em um endereço de e-mail que você não usa em sua comunicação com a empresa ou instituição em questão. Observe que recebi a mensagem phishing em um endereço amplamente divulgado e indexado (nettips@pcworld.com), enquanto a mensagem PayPal genuína veio para meu endereço pessoal, que eu tinha confirmado previamente com a PayPal. Se você receber uma mensagem em um endereço que nunca registrou junto à empresa, é certeza de que ela é falsa.

CONHEÇA SEUS LINKS
Intuição e natureza desconfiada são um bom ponto de partida, mas, para separar mensagens reais das fictícias, você também precisa decifrar os endereços web contidos nessas correspondências eletrônicas. Nas duas mensagens baseadas em texto das ilustrações exibidas aqui, todos os endereços são texto puro – o que você clica é o que você obtém. Se clicar em https://www.paypal.com, irá para o web site PayPal real. Mas se clicar em http://218.45.31.164/signin/citifi/scripts/login2/index.html não irá para o endereço na web do Citibank.

Mais uma pista: a seqüência de números depois do prefixo http:// da URL. Todo site reside em um endereço Internet Protocol (IP) específico, isto é, você pode ir ao site PCWorld.com digitando 65.220.224.30 na barra de endereço do seu navegador em vez de “www.pcworld.com”. Entretanto, “218.45.31.164” não leva ao site do Citibank, embora o resto do endereço pareça com outros links em que você talvez clique rotineiramente. A única maneira de ter certeza de que você vai parar no site real do Citibank é digitar manualmente a URL baseada no nome de domínio,
www.citibank.com, na janela de endereço do navegador.

Mesmo essa opção, no entanto, requer alguns cuidados atualmente. Se você não tiver certeza para onde leva um endereço IP, não clique nele. Substituir um endereço IP numérico por um nome de domínio em uma URL não é a única maneira pela qual mensagens maliciosas tentam enganar você.

O endereço “www.citibank.com” é o certo, mas “www.citibank.phishing.com” poderia levá-lo a qualquer lugar. Cada nome de domínio termina com um top-level domain (TLD), como .com, .org, .edu ou um TLD específico do país, como .br (Brasil), .cn (China), .uk (United Kingdom ou Reino Unido) ou .ru (Rússia). A palavra logo à esquerda deste TLD, junto com a porção TLD, indica o nome de domínio real: “citibank.com”, por exemplo, é suficiente para que se vá ao site do Citibank.

Quando um phisher modifica um nome de domínio ligeiramente ou insere uma palavra à esquerda do TLD, o nome muda. Os phishers esperam que você não saiba ou não perceba a diferença entre “pcworld.com” e “pcworld-gotcha.com” ou “pcworld.phishing.com”. Os ataques via e-mail também podem
usar o formato web para encobrir o verdadeiro destino de links.

Se uma mensagem é composta com o uso de HTML, o texto do link destacado talvez não seja o mesmo do link real embutido. Foi o caso do e-mail da Toshiba e o que me fez desconfiar de sua origem. A maioria dos programas de e-mail exibe uma URL subjacente ao link embutido na barra de status inferior ou em uma pequena janela pop-up quando você paira o ponteiro do mouse sobre ela.

O CAMINHO SEGURO
Eu precisava descobrir se a mensagem da Toshiba era genuína. Em caso afirmativo, eu teria de testar o módulo de memória defeituoso do meu notebook. Para começar, entrei a URL do provável site da Toshiba – “toshiba.com” – na barra de endereço do navegador, o que me transportou para um site global da companhia.

Depois de pesquisar um pouco, tropecei em uma página que descrevia os mesmos problemas observados no e-mail da Toshiba e usava as mesmas URLs. Voilà! Estava confirmado – o e-mail era legítimo. Mas hora nenhuma cliquei no link embutido na mensagem, optando por chegar ao site da empresa por meio do link. Cuidado nunca é demais.