Ninguém conhece a ninguém, mas todo mundo tem teu número de telefone móvel. Números com o prefixo de Índia que te escrevem WhatsApps num castelhano discutível e estranhos que te bombardeiam com telefonemas não desejados. O phishing está à ordem do dia e a cada vez são mais os ciberdelincuentes que tentam roubar teus dados pessoais.
"Tens um iPhone? Cuidado! Detectou-se um novo tipo de ataque de phishing chamado MFA bombing", alertam desde a empresa especializada em ciberseguridad Check Point. Falamos com seu director geral em Espanha e Portugal, Mario García, para saber em que consiste este novo ataque que bloqueia os móveis de Apple e como o evitar.
O ataque de phishing que bloqueia os iPhone de Apple
O MFA bombing, também conhecido como bombardeio MFA, é um tipo de ataque no que os ciberdelincuentes enviam numerosas notificações a teu telefone móvel informando sobre um erro na função de restauração de tua senha de Apple, ou o que é o mesmo, solicitações de autenticação multifactor (MFA). A MFA é um mecanismo de segurança (uma senha e um código) para evitar que utentes não autorizados acedam a nossas contas.
Por que te pedem que restabeleças tua senha? "Procuram obter acesso não autorizado a tuas contas, através de uma grande quantidade de notificações push ou telefonemas telefónicos solicitando credenciais de autenticação", aponta García. Deste modo, com as notificações em massa, podem chegar a bloquear os dispositivos Apple.
Como evitar um ataque de 'MFA Bombing'
Acto seguido, os atacantes chamam à vítima fazendo-se passar pelo suporte de Apple com o objectivo de "verificar" um código de um sozinho uso e aceder assim às contas vinculadas.
Em primeiro lugar, "é fundamental permanecer alerta ante um repentino aumento nas solicitações e verificar sua autenticidad dantes de proporcionar informação confidencial", aconselha García.
Como identificar uma fraude de phishing
Em que há que se fixar? "O phishing está estreitamente relacionado com o roubo de identidade, já que os ciberdelincuentes procuram obter informação pessoal e confidencial das vítimas (inclui credenciais de acesso a contas e outra informação pessoal sensível)", enfatiza o experiente.
Ao obter esta informação, os atacantes podem suplantar a identidade das vítimas, o que lhes permite levar a cabo ataques mais efectivos utilizando os nomes e direcções de correio. Para identificar possíveis tentativas de phishing, "é importante extremar a precaução com correios electrónicos ou mensagens inesperadas que solicitem dados pessoais ou financeiros. Não fincar em qualquer tipo de enlace suspeito e não descarregar nenhum arquivo anexo de remitente desconhecido", recalca García.
Outros conselhos de ciberseguridad
Ainda que a inteligência artificial (IA) permite que os textos sejam mais correctos gramaticalmente falando, sempre é aconselhável estar alerta ante erros gramaticales ou ortográficos.
Em qualquer caso e ante o mínimo vislumbre de dúvida, sempre resulta essencial "verificar a autenticidad dos remitentes e os enlaces dantes de proporcionar informação sensível".
Como verificar que um número de telefone é autêntico
Assim mesmo, ante qualquer tipo de telefonema inesperado na que se solicitem dados pessoais como e-mails, chaves ou números de telefone, devemos a autenticar.
Para verificar a autenticidad de um número de telefone é recomendável pendurar e contactar directamente com a empresa ou organização que supostamente está a chamar. Por outro lado, há que evitar responder a telefonemas ou mensagens não solicitadas que solicitem informação pessoal ou financeira.
Instalar a autenticação multifactor
"É fundamental implementar medidas de segurança como a autenticação multifactor para acrescentar uma capa adicional de segurança, o que garante que inclusive se uma senha se vê comprometida, o acesso não autorizado segue bloqueado", recorda o director geral de Check Point Software.
O especialista também opina que, para lutar contra este tipo de fraudes, se requer a máxima atenção e um enfoque proactivo da segurança que inclua a educação em ciberseguridad. Isto ajudará à hora de reconhecer sinais de phishing e realizar a verificação da autenticidad dos números de telefone e a actualização regular de senhas.