A alguns anos atrás, pesquisadores das universidades de Harvard e Berkeley publicaram um estudo interessante sobre phishing (armadilha virtual que tem como propósito enganar pessoas pelas Internet para obter senhas e outros dados.) Depois de aplicarem um estudo de usabilidade para ver quão bem as pessoas conseguem perceber tentativas de phishing, eles chegaram a esse resultado:

• 23% dos participantes do estudo não olham para barra de endereço do navegador, para a barra de status ou para os indicadores de segurança.
• 68% clicavam sem hesitar em janelas que informavam que os certificados de segurança dos sites eram fraudulentos.
• Educação, idade, sexo, experiência anterior, ou horas de uso de computadores não mostraram qualquer correlação estatisticamente significante com a possibilidade de cair numa armadilha.

Para tornar tudo ainda pior, basta saber que os participantes sabiam que poderiam ser enganados e estavam tentando não cair nas armadilhas. “No nosso estudo pedimos aos participantes para procurar por armadilhas,” os pesquisadores explicam, “logo, os participantes se sairiam melhor que os usuários do mundo real em detectar sites fraudulentos.

Claramente, armadilhas virtuais são um sério problema para todos, e qualquer lugar pode ser vulnerável. Jeff Anderson, CIO da Universidade de Auburn, em Montgomery, sabendo disso, enviou um email alertando todos os estudantes da universidade para ficarem espertos quanto sites fraudulentos.

De: Jeff W. Anderson, Ph.D.
Para: Todo mundo
Prioridade: Alta
Assunto: Alerta de Armadilhas por Email

Nós percebemos um aumento no número de armadilhas por email similares a mensagem abaixo. A Universidade de Auburn nunca pedirá que envie seu nome de usuário e senha por email. Você não deve fornecer informações pessoais, incluindo senhas, através do email.

Aqui está um exemplo recente de armadilha:

———————————————————
Assunto: ATENÇÃO: ASSINANTE DO WEBMAIL EDU:

ATENÇÃO: ASSINANTE DO WEBMAIL EDU:

Este email é para informar todos os usuários do nosso {EDU WEBMAIL} que nós estamos atualizando nosso site em dois dias a partir de agora. Então, você que tem um email nosso, deverá enviar seus dados detalhados para que possamos saber que ainda faz uso do nosso email.
Informamos que apagaremos todas as contas de email não utilizadas para liberar espaço para novos usuários. Então você precisa nos enviar os detalhes da sua conta que são:

*Nome de usuário:
*Senha:

Caso não faça isso, seu email será desativado imediatamente da nossa base de dados.

Seus dados devem ser enviados para o seguinte endereço:

(fim do exemplo de armadilha)
———————————————————

Outras armadilhas incluem mensagens que parecem terem sido enviadas de instituições financeiras ou companhias como a Microsoft. Seu banco jamais irá pedir que envie informações sobre sua conta por email, e a Microsoft não envia atualizações por email.

Quando receber este tipo de mensagens, você não deve respondê-las e deve apagá-las imediatamente. Essa também é uma boa prática para evitar que você clique em links suspeitos dentro das mensagens de email.

Se você acha que foi vítima de armadilha virtual para obter os dados da sua conta de email, por favor contate o suporte através do número 244-3500 ou pelo endereço helpdesk@aum.edu

Obrigado,

Jeff W. Anderson. Ph.D.
Chief Information Officer
Universidade de Auburn – Montgomery

Obviamente, um simples email não irá prevenir contra armadilhas virtuais – especialmente devido a variedade de sites convincentes – mas pelo menos deveria lembrar as pessoas a nunca, jamais enviar suas senhas por email.

Ou nem tanto. Alguns dias depois Jeff se viu forçado a enviar uma atualização do seu email anterior.

De: Jeff W. Anderson, Ph.D.
Para: Todo mundo
Prioridade: Alta
Assunto: Atualização do Alerta de Armadilhas por Email

Eu gostaria de enfatizar, novamente, que você NUNCA deve enviar seu nome de usuário e senha para QUALQUER UM por email. Se você for solicitado a enviar estas informações, saiba que essa é só uma tentativa de roubar seus dados com propósitos fraudulentos.

No meu alerta anterior, eu incluí um email de armadilha como exemplo. Alguns estudantes entenderam erroneamente que eu estava solicitando seus nomes de usuário e senhas, e responderam com estas informações. Considerem-se alertados que você não deve fornecer essas informações para ninguém.

Se você receber algum email solicitando seus dados, por favor, ligue para o suporte no número 244-3500, ou encaminhe o email para helpdesk@aum.edu. Não responda a mensagem, mesmo que ela diga que o seu email será cancelado.

Peço desculpas pelo mal-entendido.

Obrigado,

Jeff W. Anderson. Ph.D.
Chief Information Officer
Universidade de Auburn – Montgomery

Obrigado ao Justin, estudante da Universidade de Auburn, por ter nos repassado estes emails.

---

Tradução livre do artigo “Go phishing” do site The Daily WTF.