Todos nós recebemos mensagens de spam suficientes hoje em dia para que possamos evitar os golpes óbvios: se um número desconhecido enviar uma mensagem de texto pedindo dinheiro ou um endereço de e-mail com spam avisar sobre um vírus de computador, você provavelmente os excluirá e seguirá em frente. Mas se a mensagem vier de uma empresa em que você confia, como a Microsoft, com um endereço de e-mail legítimo, você não seria culpado por presumir que esse e-mail era real. Neste caso específico, entretanto, não é, e você deve estar atento ao interagir com ele.
Conforme relatado por Zach Whittaker do TechCrunch, os golpistas estão enviando e-mails de um endereço de e-mail interno legítimo da Microsoft: (e-mail protegido). A Microsoft usa esse endereço para enviar uma série de mensagens importantes, como códigos de autenticação de dois fatores (2FA), bem como outros PSAs sobre contas de usuários. Se você receber um e-mail com esse endereço e procurá-lo on-line, descobrirá que é real, o que pode convencê-lo de que o e-mail em si também é real.
Em seu relatório, Whittaker destacou como recebeu vários e-mails deste endereço de e-mail. De acordo com Whittaker, as próprias mensagens foram construídas de maneira bastante grosseira, com links de spam no corpo. Alguns dos e-mails tinham assuntos alegando atividade fraudulenta na conta da Microsoft de Whittaker, enquanto outros diziam que Whittaker tinha “(uma) nova mensagem privada” e que precisava “verificar o código de verificação de e-mail da conta de acesso, o código de verificação de e-mail da conta”. Certo. Mesmo que os golpistas não estejam publicando textos excelentes em suas linhas de assunto e e-mails, eles são sofisticados o suficiente para enviar mensagens de endereços de e-mail legítimos da Microsoft, o que aumenta as chances de as pessoas caírem nesses golpes, mesmo que os e-mails sejam mal feitos.
A Microsoft não comentou quando o TechCrunch entrou em contato, mas confirmou que recebeu a solicitação. Para ser justo, embora não esteja claro como os golpistas conseguem isso, a Microsoft não é a única empresa que lida com esse tipo de esquema. No início deste ano, a Betterment teve um problema semelhante com o abuso do sistema de terceiros que utiliza para comunicações com os clientes. Namecheap, um registrador de domínios, também tem problemas com golpistas que abusam de seus endereços de e-mail legítimos.
O que você acha até agora?
Como identificar e-mails falsos de endereços legítimos
Verificar o endereço de e-mail de uma mensagem suspeita costuma ser o primeiro passo para determinar sua legitimidade, portanto, o fato de os golpistas poderem assumir o controle desses endereços pode parecer assustador. Mas há muitas outras informações que você pode observar para evitar ser vítima desses e-mails de phishing.
Primeiro, embora o endereço possa ser legítimo, links fraudulentos não são prováveis. Passe o cursor sobre os hiperlinks do e-mail para revelar o URL. Se você vir links encurtados ou URLs longos e confusos, presuma o pior. Seja crítico também sobre como o e-mail é construído. Se houver erros ortográficos ou gramaticais na linha de assunto ou no corpo, ou se o design geral não estiver alinhado com os padrões da empresa em questão, provavelmente é fraudulento.
