paroquiadoamial.pt

O truque do sinal de mais (+) no e-mail que trava o phishing

Pessoa a usar computador portátil e smartphone numa mesa de madeira com chá e caderno ao lado.

O e-mail caiu com um ping demasiado alegre - daqueles que te apertam o estômago antes de o cérebro ter tempo de confirmar o que está, de facto, a acontecer.

Dizia que a minha entrega estava retida no centro de distribuição até eu pagar £1.45 - era só carregar no botão azul. A chaleira desligou-se com um clique, a casa ficou silenciosa tirando o tic-tac discreto do radiador, e o meu polegar ficou suspenso sobre o touchpad, como se escondesse uma culpa. Toda a gente já passou por isto: quase sentimos o dinheiro a sair da conta, porque a mensagem “soa” certa e ainda por cima parece perfeita. Nessa manhã fiz uma coisa mínima - quase preguiçosa - que me impediu de financiar o dia de pagamento de um criminoso. É tão simples que até me senti parvo por não a ter usado mais cedo; talvez seja por isso que resulta tão bem. Ainda penso naquele ping e em como um hábito pequeno mudou o final desta história. Curioso?

O e-mail que me fez ir à carteira

O logótipo estava irrepreensível, a linguagem polida, sem um erro à vista. Não era aquele phishing tosco, quase de banda desenhada, a que já nos habituámos a torcer o nariz. Até trazia o meu nome, em vez do típico “Caro Cliente” que costuma denunciar a jogada. A pré-visualização do link mostrava um URL com ar respeitável, e a urgência estava lá - não a gritar, apenas o suficiente para parecer adulta, sensata e inevitável.

A parte que me ficou atravessada foi esta: eu estava mesmo à espera de uma encomenda. Claro que estava. É assim que nos apanham - nos pontos fracos, quando a vida anda cheia e a lista de tarefas vem colada de pequenas despesas. A mensagem passou pelas defesas como um avançado esperto que encosta para o canto enquanto ainda estamos à procura do apito. E, no entanto, foi um pequeno puxão de curiosidade que me salvou - aquele alerta subtil de quando o teu nome aparece ligeiramente errado num cartão de aniversário.

Olhei para a linha “Para:”. Uma coisa minúscula, descartável, ali ao lado do meu nome. O que vi fez-me arrepiar o braço.

O truque simples que mudou tudo

Meses antes, eu começara a dar a cada empresa a sua própria variação do meu e-mail, usando o sinal de mais. Se o meu endereço fosse [email protected], registava-me na Amazon como [email protected], nos CTT como [email protected], no banco como [email protected]. Demora segundos, e a maioria dos serviços de e-mail trata tudo o que vem depois do “+” como a mesma caixa de entrada. É como dar a ti próprio um aperto de mão secreto e guardá-lo no bolso. Dá a cada empresa o seu próprio e-mail.

O melhor está no detalhe silencioso: se uma mensagem diz que é dos CTT, mas chega a [email protected] em vez de [email protected], eu sei que não veio “pelo caminho” da minha conta real com essa entidade. Pode até ser publicidade legítima - mas não está ligada ao meu registo. Quando há dinheiro em jogo, essa discrepância é um sinal luminoso na noite. Os burlões conseguem copiar logótipos e falsificar nomes; raramente sabem qual foi exactamente o alias que deste à empresa verdadeira.

Não fui mais esperto do que o hacker; só o obriguei a falhar a jogada.

Como funciona em caixas de entrada reais

Gmail, Outlook.com e iCloud reconhecem o sinal “+”. Um e-mail enviado para [email protected] continua a aterrar em [email protected]. O mesmo acontece no Outlook.com e no iCloud. Ou seja: crias pequenas etiquetas descartáveis, no momento, sem abrires novas contas. E ainda dá para perceber, num relance, quem deixou fugir os teus dados - o que, de forma estranha, sabe bem.

Regista-te na Netflix com [email protected]. Regista-te no ginásio com [email protected]. Se fores esquecido, mantém uma lista curta nas notas do telemóvel. Depois, quando cair um “O seu pagamento falhou, clique aqui”, mas o e-mail estiver endereçado à versão simples do teu endereço, ganhas um motivo concreto para parar. Essa pausa vale ouro.

Cria um filtro para ficar automático

O segundo passo é o que transforma o truque num cinto de segurança. Configura um filtro para que qualquer e-mail que diga vir de uma marca só entre na tua caixa principal se tiver sido enviado para o alias correcto. No Gmail podes filtrar pelo campo “Para” e empurrar o que não bate certo para uma pasta chamada “Verificar Primeiro”. O Outlook e o Apple Mail também permitem regras semelhantes. Na prática, estás a montar um fio de tropeçar para ti próprio - e o teu eu de amanhã agradece numa terça-feira em que o cérebro está em papa.

A regra simples que tenho num Post-it ao lado do ecrã é esta: Se o alias não corresponde, é falso - apaga. Sim, haverá excepções. Uma newsletter enviada por outra plataforma. Um voucher que até querias. Isso recupera-se. Mas mexer em dados bancários só quando o aperto de mão secreto coincide? É aí que o dinheiro fica onde deve: no teu bolso.

Porque é que os criminosos detestam este truque

Campanhas de phishing vivem de escala. Compram ou recolhem listas de endereços “limpos” (sem aliases) e disparam mensagens em massa, à espera de que uma percentagem carregue. Conseguem falsificar o nome no campo “De” para parecer o teu banco e até copiar rodapés. O que não conseguem facilmente é adivinhar o pequeno alias que criaste para um serviço específico há três meses, numa noite qualquer em que estavas a ver o resumo do futebol com um olho só.

Sim, existem ataques mais sofisticados: responder a um fio de e-mails real, ou comprometer um fornecedor e apanhar o teu alias verdadeiro. Isso é menos comum e costuma visar empresas - facturas grandes, equipas financeiras atarefadas. A utilidade deste truque não é ser magia. É ser um filtro humano, rápido, que limpa o lixo em massa para que a tua atenção sobre para as raras situações em que o que se impõe é um telefonema.

A verdade triste é que o phishing e o business email compromise continuam a arrancar milhares de milhões às pessoas todos os anos - em silêncio, com vergonha, sem manchetes. O sinal “+” não vai defender todos os remates. Mas faz com que metade do campo deixe de ser utilizável para os burlões.

Dois quase-desastres que ainda me dão vergonha alheia

A minha amiga Lorna tem um café pequeno perto da estação - daqueles em que o café vem quente e a conversa ainda mais. Recebeu um e-mail “da HMRC” sobre um reembolso de IVA: quantia simpática, na altura certa. O contabilista dela estava de férias e o trimestre tinha corrido mal. A mensagem trazia os logótipos certos e a pressão de uma janela de 48 horas. Ela contou-me que quase carregou no link enquanto ainda tinha as mãos a cheirar a limão da loiça.

Não carregou. Na linha “Para:” estava [email protected] e não [email protected]. Isso deu-lhe ar suficiente para me encaminhar o e-mail e esperar. Dez minutos depois, alívio. Dois meses mais tarde, chegou a carta verdadeira da HMRC em papel - como acontece sempre.

Outro caso: um estudante que conheço estava a mudar-se para a residência universitária e recebeu um e-mail a pedir o primeiro pagamento da renda. Andava em pânico com chaves, caixas e prazos. Viu o brasão da universidade e foi logo buscar o cartão. Depois reparou que tinha chegado ao endereço básico, e não ao [email protected] que ele usava para tudo o que era do campus desde a semana de recepção aos caloiros. Ligou para os serviços de alojamento usando o número do site, não o do e-mail. Não havia pagamento nenhum a fazer. O burlão levou com silêncio. Ele dormiu descansado.

A verificação de sanidade em 20 segundos

O truque do alias é a primeira vedação. Uma segunda ajuda também. Aqui vai a rotina curtinha que faço antes de mexer em dinheiro, mesmo nos dias em que tudo é correria. E sejamos honestos: ninguém faz isto sempre. Não faz mal. Faz quando o cheiro é de risco.

  • Olha para a linha “Para:”. Bate certo com o alias secreto dessa marca?
  • Confirma o domínio real por baixo do nome no campo “De:”. Toca ou clica uma vez e não te apresses.
  • Abre o browser e procura a marca por ti. Escreve o nome da empresa no browser, não uses o link do e-mail.
  • Se o assunto envolver facturas ou dados bancários, telefona usando um número que já conheças - não o que vem na mensagem.
  • Deixa passar cinco minutos. Faz um chá. Volta com olhos frescos.

Este último ponto parece parvo até o experimentares. Sentes o calor da caneca, o ritmo abranda e o encanto quebra-se. A urgência é o software preferido de um burlão. Parar é o botão de desinstalar.

Configura em cinco minutos

Aqui vai uma forma rápida de pôr o truque dos aliases a funcionar sem virares a tua vida do avesso. É simples o suficiente para fazer no telemóvel entre estações.

  • Escolhe cinco serviços onde odiarias perder dinheiro: o teu banco, a tua operadora móvel, a empresa de energia, os CTT e um site de compras.
  • Actualiza as contas para usarem [email protected], [email protected], [email protected], [email protected], [email protected]. A maioria dos sites aceita o sinal “+”. Se algum não aceitar, passa ao próximo e vê a secção seguinte.
  • Cria uma nota no telemóvel chamada “Aliases” e aponta lá a lista. Só precisas de a consultar umas poucas vezes até ficar automático.
  • Cria um filtro por alias. No Gmail: procura por “to:[email protected]”, clica em “Criar filtro”, escolhe “Marcar com estrela” e “Aplicar marcador: Banco”. Depois cria um segundo filtro que procure e-mails que contenham “Barclays” enviados para o teu endereço simples e manda-os para “Verificar Primeiro”. O Outlook.com e o iCloud Mail têm regras semelhantes nas Definições.
  • Conta a uma pessoa de quem gostes o que fizeste. A melhor dica de segurança é a que consegues partilhar.

E se um site bloquear o sinal de mais?

Alguns serviços ainda implicam com o “+”. Estranho, mas acontece. Tens alternativas. A funcionalidade do iCloud “Ocultar o meu e‑mail” cria endereços únicos e reencaminha para a tua caixa. Serviços como SimpleLogin ou Firefox Relay fazem o mesmo. Se tiveres um domínio (teunome.pt, por exemplo), podes criar aliases do género [email protected] e fazer com que tudo chegue ao mesmo sítio.

Para sites teimosos, mantém um alias curto e separado, só para coisas de baixo risco, como newsletters. Guarda os aliases únicos e “bonitos” para contas que mexem com dinheiro ou expõem dados pessoais. O objectivo é ter visibilidade. Se alguém fingir ser o teu fornecedor de energia mas a mensagem cair no endereço geral das newsletters, essa diferença continua a ser um aviso útil.

Um hábito pequeno que muda o teu dia

A melhor parte disto é a forma como altera a tua postura online. Começas a olhar para a linha “Para:” como um piloto toca no altímetro. Deixa de ser um frete e torna-se reflexo. Ficas um pouco mais calmo num mundo que está sempre a puxar-te pela manga. Em tardes caóticas, vais dar por ti a fazê-lo sem pensar: um olhar rápido enquanto o café arrefece ao lado do teclado.

E há um prazer miúdo também. Descobrir quem vendeu os teus dados quando um alias começa a atrair lixo. Ver um filtro empurrar um falso e-mail do banco para uma pasta chamada “Boa Tentativa”. Não é paranóia. É arrumação - como fechar a porta de trás quando sais. Continuas a viver a tua vida; só não deixas a luz acesa o dia todo.

Para locais de trabalho e facturas grandes

Se o teu trabalho toca em dinheiro, faz do truque do “+” a tua linguagem por defeito. Usa [email protected] para cada fornecedor. Usa [email protected] para trabalho facturável. A tua equipa percebe num instante quando um e-mail sobre dados bancários não corresponde ao alias habitual. No Microsoft 365 e no Google Workspace, os administradores podem criar regras a nível da organização que assinalam e-mails “De” um fornecedor mas “Para” o alias errado.

Junta-lhe uma regra de retorno de chamada sem excepções. Qualquer pedido para alterar uma conta bancária tem de ser confirmado por telefone para um número que já tenhas registado. Nada de ligar para o número que vem no e-mail. Nada de “só desta vez”. O business email compromise continua a esvaziar empresas de Manchester a Milton Keynes. Os criminosos são pacientes e os e-mails são calmos e espertos. Contra calma, ganhas com hábitos ainda mais calmos.

A polícia e entidades antifraude continuam a avisar que as perdas somam milhares de milhões por ano. Não é para chocar; é o suspiro colectivo de quem achou que estava a agir com bom senso. O teu hábito discreto - confirmar o alias - faz de ti o estranho sortudo no grupo do WhatsApp. Clicas menos, ligas uma vez, e o dinheiro fica exactamente onde o deixaste.

A pequena satisfação de ser “inburlável”

Gostava de poder dizer que fui sempre esperto, ou que aprendi isto pelo caminho mais fácil. Já estive perto de cair. A diferença, agora, é que construí uma vedação com o meu próprio endereço de e-mail - e passo por cima dela todos os dias sem tropeçar. Não me atrasa. Só me empurra na direcção certa.

A burla da entrega nunca ficou com os meus £1.45. Escrevi o nome da transportadora no browser, não encontrei nada em dívida, e voltei ao meu chá. Às vezes o ping ainda me dá um sobressalto, mas o reflexo já está lá. Confere o alias. Respira. Um truque simples, uma cabeça mais calma e muito dinheiro que fica por tocar.

Comentários

Ainda não há comentários. Seja o primeiro!

Deixar um comentário