Apenas 3% das pessoas sabe identificar com precisão e-mails de phishing

A Intel Security ouviu aproximadamente 20 mil pessoas, em 144 países, para analisar o conhecimento do utilizador comum sobre e-mails de phishing e sua capacidade para detetá-los. O teste apresentava dez e-mails compilados pela Intel Security e pedia que os participantes identificassem quais deles eram uma tentativa de phishing e quais eram legítimos. Somente 3% da amostra foi capaz de identificar corretamente todos os exemplos. 80% de todos os participantes identificaram incorretamente pelo menos um dos e-mails fraudulentos, o que já seria suficiente para tornarem-se vítimas de um ataque.

Os resultados do teste mostraram que o grupo na faixa etária entre 35 e 44 anos teve melhor desempenho, respondendo com precisão a 68% das perguntas. Em média, as mulheres abaixo de 18 anos e acima de 55 pareceram ter mais dificuldade em distinguir entre e-mails falsos e legítimos, identificando corretamente seis em dez mensagens. Ao todo, os homens apresentaram uma taxa de respostas um pouco mais alta do que as mulheres, com uma taxa média de 67% comparada com uma taxa de 63% para as mulheres.

Dos 144 países representados na pesquisa, os cinco países que apresentaram melhor desempenho foram França (1), Suécia (2), Hungria (3), Holanda (4) e Espanha (5). Os EUA ocuparam a 27ª posição geral na capacidade de deteção de phishing, com 68% de precisão. Dentro dos EUA, o estado com mais respostas corretas foi o Iowa, com uma média de 68% de perguntas respondidas corretamente. A Dakota do Norte forneceu a menor quantidade de respostas corretas, com uma média de 56%. Os habitantes de Nova York e da Califórnia responderam corretamente a 66,44% e 65,73% das questões, respectivamente, abaixo da média nacional.

Os cibercriminosos utilizam e-mails de phishing para fazer com que os consumidores cliquem em links de sites criados unicamente com a finalidade de roubar informações. Eles enganam os utilizadores, levando-os a digitar os seus nomes, endereços, IDs de login, senhas e/ou informações de cartão de crédito em sites que parecem pertencer a empresas reais. Em alguns casos, basta clicar no link fornecido no e-mail para fazer download automaticamente de um malware no dispositivo do utilizador. Depois que o malware estiver instalado, hackers podem facilmente roubar as informações da vítima sem o seu conhecimento.

A pesquisa também descobriu que o e-mail que mais causou dúvidas na identificação foi um e-mail legítimo. O e-mail pedia que o destinatário realizasse uma ação para obter anúncios gratuitamente. Com frequência, as pessoas associam um prémio ou algo gratuito a um esquema de phishing ou a spam, que é provavelmente a razão pela qual um grande número de pessoas errou ao classificar o e-mail.

“Os e-mails de phishing, com frequência, parecem-se com os de sites confiáveis, mas eles são projetados para enganar e levar a compartilhar informações pessoais,” diz Gary Davis, Chief Consumer Security Evangelist da Intel Security. “Analise os seus e-mails com cuidado e procure por pistas típicas de phishing como aspecto visual pobre, gramática incorreta e outras pistas que possam indicar que o e-mail foi enviado por um golpista”.

A recomendação geral é sempre desconfiar de e-mails enviados de remetentes desconhecidos ou suspeitos e jamais clicar em algum link desses e-mails.

Além de manter softwares de proteção e navegadores sempre atualizados, é importante inspecionar os e-mails quanto a indicadores óbvios de perigo, como palavras com erros ortográficos, domínios com URLs incorretos, recursos visuais não profissionais e remetentes desconhecidos.

Finalmente, em vez de clicar num link fornecido num e-mail, visite o site da empresa que alega ter enviado o e-mail para se certificar que a negociação está a ser anunciada também na página da empresa.

*Jocelyn Auricchio é jornalista da B!T no Brasil