O phishing é uma técnica em que criminosos se fazem passar por marcas confiáveis, incluindo a sua, para enganar as pessoas e levá-las a compartilhar informações confidenciais, como senhas, dados de pagamento ou credenciais de contas.
Como os clientes da Duda criam e gerenciam sites para seus próprios clientes, os ataques de phishing no ecossistema da Duda podem atingir vários níveis: você diretamente ou seus clientes por meio da personificação da sua empresa. Este guia fornece passos práticos para proteger tanto a sua conta Duda quanto os seus clientes.
Os sistemas de Duda não foram comprometidos. Essas campanhas de phishing são conduzidas por agentes externos que utilizam informações comerciais disponíveis publicamente para se passar por clientes da Duda. Este guia é fornecido apenas para fins informativos e não constitui uma assunção de qualquer responsabilidade ou obrigação por parte da Duda.
-
Duda nunca solicitará a senha da sua conta por e-mail, telefone ou chat.
-
Duda nunca solicitará informações de pagamento por meio de links de e-mail.
-
A Duda nunca entrará em contato com você ou seus clientes por meio dos formulários do seu site ou da sua tool de CRM.
Se você receber uma mensagem que faça qualquer uma das coisas descritas acima, ela não é da Duda.
-
Verifique o endereço de e-mail do remetente. Procure por erros de ortografia, caracteres extras ou domínios que imitam endereços legítimos (por exemplo,
support@dudda.coem vez de@duda.co). -
Fique atento a situações de urgência ou ameaças. Mensagens que pressionam você a "agir imediatamente" ou que alertam sobre a suspensão da conta são táticas comuns.
-
hover antes de clicar. Visualize os destinos dos links sem clicar — se o URL não apontar para um domínio que você reconhece, não clique nele.
-
Verifique de forma independente. Se uma mensagem afirmar ser da Duda, acesse sua conta Duda diretamente (não pelo e-mail) para confirmar.
-
Utilize o SSO, se disponível, para centralizar o gerenciamento de acessos e aplicar as políticas de segurança da sua organização.
-
No mínimo, habilite a autenticação de dois fatores (2FA) em sua conta Duda e em todos os serviços associados — e-mail, registro de domínio, hospedagem e provedores de pagamento.
-
Use senhas fortes e exclusivas para cada serviço. Troque-as imediatamente se suspeitar que possam estar comprometidas.
-
Audite regularmente as permissões de usuário e remova o acesso de qualquer pessoa que não precise mais dele.
A autenticação de e-mail configurada corretamente é uma das maneiras mais eficazes de impedir que invasores enviem e-mails que pareçam vir do seu domínio:
-
SPF (Sender Policy Framework) — especifica quais servidores de e-mail estão autorizados a enviar e-mails para o seu domínio.
-
DKIM (DomainKeys Identified Mail) — assina criptograficamente os e-mails enviados para que os destinatários possam verificar se eles realmente vieram do seu domínio.
-
DMARC (Domain-based Message Authentication, Reporting & Conformance) — instrui os servidores de e-mail receptores sobre como lidar com mensagens que falham nas verificações SPF/DKIM e oferece visibilidade sobre remetentes não autorizados.
Analise regularmente os seus relatórios DMARC para detetar a utilização não autorizada do seu domínio.
-
Mantenha os sistemas operacionais, navegadores e plugins atualizados.
-
Utilize um software antivírus/de proteção de endpoints de boa reputação.
-
Ative a criptografia de disco em todos os dispositivos usados para gerenciar os sites dos clientes.
-
Limite as extensões do navegador apenas às confiáveis e necessárias — extensões maliciosas são um vetor comum para roubo de credenciais.
Como os ataques de phishing podem ter como alvo seus clientes, personificando sua empresa, recomendamos:
-
Diga aos seus clientes o que você fará e o que não fará. Deixe claro que você nunca solicitará senhas ou informações de pagamento por e-mail.
-
Incentive os clientes a verificarem as informações antes de agirem. Caso recebam um e-mail inesperado que pareça vir da sua empresa, devem entrar em contato diretamente com você usando um número de telefone ou e-mail conhecido — e não por meio de links na mensagem suspeita.
-
Peça aos clientes que encaminhem e-mails suspeitos para você, para que possa avaliá-los, relatá-los e alertar outros clientes, se necessário.
-
Altere imediatamente todas as senhas das contas afetadas.
-
Contate seu registrador de domínio para proteger o acesso ao domínio e ativar os bloqueios em nível de registrador.
-
Execute uma verificação completa de malware/antivírus em qualquer dispositivo que possa ter interagido com o conteúdo de phishing.
-
Notifique os clientes afetados e oriente-os a monitorar suas contas e entrar em contato com suas instituições financeiras.
-
Denuncie à Duda através do [e-mail/formulário dedicado a phishing] para que possamos rastrear a campanha e prestar assistência.
-
Apresente uma denúncia às autoridades competentes (por exemplo, FBI IC3 em ic3.gov, FTC em reportfraud.ftc.gov ou o equivalente local).
Este guia é fornecido apenas para fins informativos, como um recurso para os clientes da Duda. Este conteúdo não constitui aconselhamento jurídico, de cibersegurança ou profissional. Duda não oferece nenhuma garantia ou declaração quanto à integridade ou eficácia destas recomendações e não assume qualquer responsabilidade por ações de terceiros que representem ameaças ou por quaisquer perdas decorrentes de campanhas de phishing, acesso não autorizado ou outros incidentes de segurança.