boutiqueciss.com.br

Como este truque simples de e-mail previne golpes de phishing que roubam bilhões todos os anos

Pessoa usando celular e laptop em mesa de madeira com xícara de café e caderno com desenho de cadeado.

O e-mail chegou com aquele plim alto demais - o tipo de som que faz o estômago apertar antes de a cabeça ter tempo de conferir qualquer detalhe.

A mensagem dizia que minha entrega tinha ficado retida no centro de distribuição até eu pagar R$ 10,00 - era só clicar no botão azul. A chaleira elétrica desligou com um estalo, e o apartamento ficou silencioso, exceto pelo zumbido baixo do ventilador. Meu polegar pairou sobre o touchpad como se estivesse escondendo culpa. Todo mundo já passou por esse instante em que dá para sentir o dinheiro saindo da conta, porque o texto parece certinho - e o visual convence ainda mais. Naquela manhã, fiz uma coisinha mínima, quase automática, que me impediu de financiar o dia de pagamento de um criminoso. E é tão simples que cheguei a me achar bobo por não ter usado antes - talvez seja exatamente por isso que funciona tão bem. Eu ainda penso naquele plim… e em como um hábito pequeno mudou o final da história. Quer saber qual?

O e-mail que quase me fez pegar a carteira

O logótipo estava impecável, o texto enxuto, sem um erro sequer. Não era aquele phishing caricato que a gente aprende a desprezar. O e-mail ainda vinha com meu nome - nada do genérico “Prezado cliente” que costuma entregar o jogo. A prévia do link mostrava um endereço com aparência respeitável, e a pressão do prazo estava ali: não gritava, mas era urgente o suficiente para parecer “adulto” e razoável.

A parte que grudou na garganta foi simples: eu estava mesmo esperando um pacote. Claro que estava. É assim que eles fisgam - nos pontos macios, quando a vida está corrida e a lista de tarefas vem colada com pequenos custos. A mensagem passou direto pelas defesas, como um atacante esperto que empurra a bola no canto enquanto você ainda procura o apito. Só que uma pontada de curiosidade me puxou de volta - a mesma sensação de quando seu nome vem ligeiramente errado num cartão de aniversário.

Em vez de clicar, eu olhei para a linha “Para:”. Pequena, discreta, ali ao lado do meu nome. E o que apareceu fez os pelos do braço arrepiarem.

O truque simples com sinal de mais (+) que virou o jogo (e trava phishing)

Meses antes, eu tinha começado a dar para cada empresa uma versão própria do meu e-mail usando o sinal de mais (+). Se meu endereço fosse [email protected], eu me cadastrava na Amazon como [email protected], nos Correios como [email protected], no banco como [email protected]. Leva segundos, e a maioria dos serviços de e-mail trata tudo o que vem depois do “+” como se fosse a mesma caixa de entrada. É como um aperto de mão secreto que você cria para si mesmo e guarda no bolso.

Dê a cada empresa o seu próprio e-mail (com +).

A beleza está num detalhe silencioso: se um e-mail diz que é dos Correios, mas chega para [email protected] em vez de [email protected], eu sei que aquilo não veio pelo cadastro verdadeiro que tenho com eles. Pode até ser marketing legítimo - mas não está ligado ao meu login. Quando há dinheiro em jogo, essa discrepância vira um sinalizador na noite. Golpistas conseguem copiar logótipo e “falsificar” nome de remetente; quase nunca sabem o alias exato que você usou no serviço real.

Eu não “venci” nenhum hacker. Só fiz o chute deles passar raspando.

Como isso funciona em caixas de entrada de verdade

Gmail, Outlook.com e iCloud entendem o sinal de mais. Tudo o que for enviado para [email protected] continua chegando em [email protected]. Isso significa que você cria rótulos descartáveis na hora, sem abrir contas novas. E de quebra dá para perceber quem vazou seu endereço - o que, admito, tem um lado estranhamente satisfatório.

Cadastre-se na Netflix com nome+netflix@. Cadastre-se na academia com nome+academia@. Se você for esquecidinho, guarde uma lista curta no app de notas. Aí, quando chegar um e-mail dizendo “Seu pagamento falhou, clique aqui”, mas ele estiver endereçado ao seu e-mail “limpo” (sem o +), você ganha um motivo concreto para parar. Essa pausa vale ouro.

Crie um filtro e deixe o hábito automático

O segundo passo é onde o truque vira cinto de segurança. Configure um filtro para que qualquer e-mail que afirme ser de uma marca só caia na sua caixa principal se estiver endereçado ao alias correspondente. No Gmail, dá para filtrar pelo campo “Para:” e mandar o que não bate para uma pasta chamada “Conferir antes”. Outlook e Apple Mail têm regras parecidas.

Você está armando uma “linha de tropeço” para si mesmo - e seu eu do futuro vai agradecer numa terça-feira em que o cérebro estiver virado em mingau.

A regra prática que eu deixo num bloquinho adesivo do lado do monitor é direta: se o alias não confere, é golpe - apague. Sim, existem exceções: uma newsletter enviada por plataforma separada, um cupom que você realmente pediu. Isso dá para recuperar depois. Mas só encostar em dados bancários quando o aperto de mão secreto bate? É assim que o dinheiro continua no seu bolso.

Por que criminosos detestam esse truque

Campanhas de phishing dependem de escala. Criminosos compram ou raspam listas de e-mails “normais” e disparam mensagens para milhares de pessoas, contando com a pequena parcela que vai clicar. Eles conseguem falsificar o nome no campo “De:” para parecer seu banco e até copiar rodapés e avisos legais. O que não é simples é adivinhar o alias que você criou para aquele serviço específico três meses atrás, enquanto assistia a um jogo na TV e mexia no telemóvel.

Claro: existem ataques mais sofisticados que respondem dentro de uma conversa real, ou que comprometem um fornecedor e acabam usando o alias correto. Esses casos são mais raros e costumam mirar empresas com faturas altas e equipas financeiras sobrecarregadas. O ponto aqui não é “mágica”. É um filtro humano, rápido, que elimina a maior parte do lixo - para sobrar atenção para o que, de fato, merece uma ligação.

A realidade triste é que phishing e comprometimento de e-mail corporativo continuam arrancando bilhões por ano de pessoas comuns e empresas, de modo silencioso e constrangedor, sem grande manchete. O sinal de mais (+) não vai defender todos os chutes ao gol. Mas transforma metade do campo em área proibida para golpista.

Dois quase-golpes que ainda me dão vergonha alheia

Uma amiga minha, a Lorna, tem um café pequeno perto da estação - daqueles em que o café vem quente e a conversa, mais quente ainda. Ela recebeu um e-mail da “Receita Federal” falando de restituição de impostos, valor bonitinho, na hora “certa”. O contador dela estava de férias e o trimestre tinha sido difícil. A mensagem vinha com logótipos, linguagem formal e a pressão de uma janela de 48 horas. Ela me disse que quase clicou com as mãos ainda cheirando a limão da pia.

Ela não clicou. No campo “Para:”, estava nome@ e não nome+receita@. Isso deu a ela só o fôlego necessário para me encaminhar a mensagem e esperar. Dez minutos depois, alívio. E, dois meses mais tarde, a comunicação verdadeira chegou em papel - como normalmente acontece.

Outro caso: um estudante que eu conheço estava se mudando para a residência universitária e recebeu um e-mail pedindo o pagamento do primeiro aluguel. Ele estava em pânico com chaves, caixas e prazos. Viu o brasão da universidade e já pegou o cartão. Aí notou que tinha chegado no e-mail básico, não no nome+universidade@ que ele usava para tudo do campus desde a semana de recepção.

Ele ligou para o setor de alojamento usando o número do site oficial, não o que vinha no e-mail. Não havia cobrança nenhuma pendente. O golpista ganhou silêncio. Ele ganhou uma noite bem dormida.

O teste de sanidade de 20 segundos

O truque do alias é a primeira cerca. Uma segunda ajuda. Aqui vai o micro-ritual que eu faço antes de deixar dinheiro sair - mesmo em dias corridos. E sejamos honestos: ninguém faz isso todos os dias. Tudo bem. Faça quando tiver cheiro de risco.

  • Confira a linha “Para:”. O endereço bate com o alias secreto daquela marca?
  • Abra o remetente e leia o domínio real por trás do nome “bonito” em “De:”. Um clique, sem pressa.
  • Entre no site digitando você mesmo no navegador. Digite o nome da empresa no navegador, não clique no link do e-mail.
  • Se o assunto envolver boletos, faturas ou dados bancários, ligue para um número que você já confia (site oficial, contrato, app), não para o número que veio no e-mail.
  • Espere cinco minutos. Faça um chá ou um café. Volte com olhos novos.

Esse último parece bobo até você testar. Você sente o calor da caneca, o ritmo da casa desacelera e o “encanto” quebra. Urgência é o software favorito do golpista. Pausar é o botão de desinstalar.

Configure em cinco minutos

Dá para colocar o truque do alias para funcionar sem virar sua vida do avesso - dá até para fazer no telemóvel entre uma estação e outra do metrô.

  • Escolha cinco serviços em que você não pode correr risco de perder dinheiro: seu banco, sua operadora, sua empresa de energia, os Correios e um site de compras.
  • Atualize seus cadastros para usar nome+banco@, nome+operadora@, nome+energia@, nome+correios@, nome+compras@. A maioria dos sites aceita o “+”. Se algum não aceitar, pule para a próxima seção.
  • Crie uma nota chamada “Aliases” e liste os endereços. Você só vai precisar consultar algumas vezes até virar memória muscular.
  • Crie um filtro por alias. No Gmail: pesquise por para:[email protected], clique em “Criar filtro”, marque “Marcar com estrela” e “Aplicar marcador: Banco”. Depois crie outro filtro que procure mensagens que contenham o nome do banco e que tenham sido enviadas para seu endereço sem “+”, mandando para “Conferir antes”. Outlook.com e iCloud Mail oferecem regras semelhantes em Ajustes/Configurações.
  • Conte para uma pessoa que você ama o que fez. A melhor dica de segurança é a que você realmente compartilha.

E se um site bloquear o sinal de mais (+)?

Alguns serviços ainda implicam com o “+”. Estranho, mas acontece. Você tem alternativas. O recurso Ocultar Meu E-mail do iCloud cria endereços únicos e encaminha para sua caixa. Serviços como SimpleLogin ou Firefox Relay fazem algo parecido. Se você tiver um domínio próprio (por exemplo, seunome.com.br), dá para criar aliases do tipo [email protected] que caem todos no mesmo lugar.

Para sites teimosos, mantenha um alias separado e mais “genérico” apenas para itens de baixo risco, como newsletters. Guarde os aliases únicos e caprichados para contas que movimentam dinheiro ou expõem dados pessoais. O objetivo é visibilidade: se alguém fingir ser sua empresa de energia, mas a mensagem cair no seu endereço “pega-tudo” de newsletter, essa diferença ainda ajuda.

Um reforço que vale junto: autenticação em dois fatores e senhas únicas

O alias ajuda você a reconhecer a fraude antes do clique. Para o que passar pela peneira, vale somar dois hábitos simples: autenticação em dois fatores (2FA) e senhas diferentes para cada serviço. Assim, mesmo que um criminoso consiga sua senha em algum vazamento antigo, ele não consegue entrar sem o segundo fator - e uma senha reaproveitada não vira dominó derrubando outras contas.

Um gerenciador de senhas também muda o jogo por um motivo prático: ele se recusa a preencher credenciais em sites falsos, porque o domínio não bate. É o mesmo princípio do alias - só que aplicado ao login.

Um hábito pequeno que muda sua postura online

A melhor parte disso tudo é perceber como muda seu “jeito” de navegar. Você passa a bater o olho no campo “Para:” como um piloto checa o altímetro. Deixa de ser tarefa e vira reflexo. Em um mundo que tenta puxar sua manga o tempo todo, você fica um pouco mais calmo. Em tardes caóticas, você se pega fazendo a checagem sem nem notar, enquanto o café esfria ao lado do teclado.

E existe um prazer discreto nisso. Descobrir quem vendeu seus dados quando um alias começa a receber lixo. Ver um filtro empurrar um falso e-mail “do banco” para uma pasta chamada “Boa tentativa”. Não é paranoia - é arrumação, como trancar a porta de casa antes de sair. Você continua vivendo; só não deixa as luzes acesas o dia inteiro.

Para empresas, equipas e faturas grandes: aliases com (+) como padrão

Se o seu trabalho encosta em dinheiro, transforme o truque do sinal de mais (+) no seu idioma padrão. Use financeiro+fornecedor@ para cada fornecedor. Use projetos+nomecliente@ em trabalhos cobrados por hora. A equipa percebe na hora quando um e-mail sobre dados bancários não está endereçado ao alias certo - e isso já reduz muito o risco.

No Microsoft 365 e no Google Workspace, administradores podem criar regras para sinalizar mensagens que “parecem” vir de um fornecedor, mas chegam ao alias errado. E combine isso com uma política sem exceções: qualquer pedido de mudança de conta bancária exige ligação de retorno para um número já registado (contrato, cadastro, site oficial). Nada de ligar para o número do e-mail. Nada de “só desta vez”.

Golpes de e-mail corporativo continuam limpando caixas de empresas de São Paulo a Belo Horizonte. O criminoso é paciente; o e-mail, calmo e convincente. Você vence calma com hábitos ainda mais calmos.

Órgãos de segurança e entidades antifraude repetem alertas sobre prejuízos anuais na casa dos bilhões. Não é exagero para manchete - é a soma silenciosa de gente que achou que estava sendo sensata. Seu hábito quieto de checar o alias faz você virar a pessoa “estranhamente sortuda” do grupo: clica menos, liga uma vez, e o dinheiro fica exatamente onde estava.

A satisfação discreta de ficar “difícil de enganar”

Eu queria dizer que sempre fui esperto - ou que aprendi isso do jeito mais fácil. Já cheguei perto antes. A diferença agora é que eu construí uma cerca usando o meu próprio endereço de e-mail, e passo por ela todo dia sem tropeçar. Não me atrasa. Só me empurra na direção certa.

Aquele golpe da entrega não levou meus R$ 10,00. Em vez de clicar, eu digitei o nome da transportadora no navegador, não vi nada pendente e voltei para o meu chá. Às vezes o plim ainda me dá um sobressalto, mas o reflexo ficou. Confira o alias. Respire. Um truque simples, uma cabeça mais calma e muito dinheiro que continua intocado.

Comentários

Ainda não há comentários. Seja o primeiro!

Deixar um comentário