Os e-mails de confirmação de pedido deveriam ser rotina. Você compra algo e, em segundos, um recibo chega à sua caixa de entrada.
Às vezes, porém, as confirmações de pedidos reais são sinalizadas como spam. Outras vezes, os e-mails de phishing que se fazem passar por confirmações de pedidos passam despercebidos. Com 3,4 bilhões de e-mails de phishing enviados diariamente, os golpistas transformaram os recibos de pedidos falsos em um dos truques de phishing mais eficazes.
Isso cria dois problemas:
- Os clientes perdem a confiança quando seus recibos reais nunca chegam.
- Os golpistas exploram a confusão para roubar credenciais de login e detalhes de pagamento.
Os filtros de spam devem resolver isso, mas nem sempre acertam. Então, por que as confirmações de pedidos reais chegam ao spam? Por que os e-mails de phishing passam despercebidos? E, o mais importante, como você percebe a diferença?
Neste guia, explicaremos a você:
- Como os golpistas criam e-mails de pedidos falsos que parecem reais o suficiente para enganar você.
- O que acontece quando você clica em um link de phishing.
- Como você pode se proteger contra esses golpes.
Vamos mergulhar de cabeça!
Por que as confirmações de pedidos legítimos acabam em spam
Você acabou de comprar algo on-line – um novo telefone, compras, ingressos para shows, etc. Você espera que um e-mail de confirmação chegue imediatamente à sua caixa de entrada. Mas ele não está lá. Você atualiza seu e-mail. Mesmo assim, nada. Então, com um palpite, você verifica a pasta de spam.
Lá está ele – bem ao lado de um alerta falso do PayPal e de um e-mail obscuro “Claim Your Reward” (Solicite seu prêmio).
Por que a confirmação real do seu pedido foi parar no spam? Porque os filtros de spam não são perfeitos.
Eles são projetados, entre outras coisas, para verificar e-mails em busca de características suspeitas, como domínios não verificados, muitas imagens ou palavras de gatilho como “urgente” ou “aja agora”. O problema é que muitas confirmações de pedidos legítimos contêm essas mesmas características. Se as configurações de e-mail de uma empresa não estiverem configuradas corretamente, seus e-mails poderão ser sinalizados.
Isso leva a um problema maior. Se as confirmações de pedidos reais continuam indo para o spam, os clientes começam a verificar suas pastas de spam regularmente, um hábito que os golpistas exploram. Quando as pessoas se acostumam a encontrar recibos reais no spam, é mais provável que confiem em um recibo falso.
É isso que torna os e-mails de phishing tão perigosos. Os golpistas não precisam enganar todo mundo, apenas um número suficiente de pessoas que já estão condicionadas a acreditar que “às vezes, e-mails de pedidos reais acabam em spam”.
Então, como essas confirmações falsas de pedidos manipulam as pessoas para que cliquem nelas? Com muita frequência para serem ignoradas.
Mas as confirmações de pedidos legítimos não devem acabar em spam. Com o InboxAlly, você pode treinar as caixas de entrada para reconhecer e priorizar seus e-mails para que os clientes realmente os vejam. Reserve uma demonstração gratuita e experimente!
Como os golpistas manipulam a psicologia com e-mails de pedidos falsos
A maioria dos e-mails de phishing não está tentando ser perfeita – eles só precisam fazer com que você reaja antes de pensar.
Digamos que você receba um e-mail: “Seu pagamento de US$ 399,99 foi processado”.
Você não se lembra de ter feito essa compra e seu coração dispara. Logo abaixo da cobrança, há um botão azul “Cancelar e reembolsar”. Em um momento de pânico, clicar nele parece ser a maneira mais rápida de resolver o problema.
É exatamente com isso que os golpistas contam.
As confirmações de ordens falsas dependem de duas emoções:
- Você está em pânico: Uma cobrança de centenas de dólares é algo que você precisa interromper agora.
- Curiosidade: “Seu pacote está pronto para ser entregue”. Mas você nunca pediu nada. O que você quer?
Para aumentar a urgência, os golpistas usam frases criadas para apressar você a agir:
- “Sua conta será cobrada em 24 horas, a menos que seja cancelada.”
- “Clique aqui imediatamente para evitar ser cobrado.”
- “Seu pedido foi enviado – rastreie-o agora”.
Os golpes de phishing aumentam durante as temporadas de férias e os principais eventos de vendas, como a Black Friday, quando as pessoas esperam e-mails de confirmação. E como 51% dos e-mails de phishing se fazem passar por marcas confiáveis como Amazon, Apple ou PayPal, eles se confundem com transações reais – cuidado!
Como identificar uma confirmação de pedido falsa
Alguns e-mails fraudulentos são tão óbvios que você pode identificá-los a uma milha de distância – inglês incorreto, datas erradas, nomes incompletos etc. Mas outros são quase bons demais.
As “melhores” confirmações de ordens falsas parecem reais o suficiente para enganar até mesmo pessoas com experiência em tecnologia. Mas não cair no truque fica mais fácil se você souber o que procurar.
Aqui estão algumas dicas:
- Verifique o endereço de e-mail do remetente.
Uma empresa real não enviará a você uma confirmação de pedido de @gmail.com ou algo parecido com AmazonSupport123@yahoo.com. Os golpistas tendem a usar domínios que quase parecem legítimos, como @amazon-orders.com em vez de @amazon.com. Sempre verifique novamente.
- Observe a formatação e a gramática.
Uma confirmação de pedido real é limpa e profissional. Se o e-mail tiver:
- Uma mistura de fontes diferentes ou espaçamento estranho
- Frases estranhas como “Sua compra foi bem-sucedida no valor de US$ 399,99“
- Um formato de data que não corresponde à sua região (como DD/MM/AAAA em vez de MM/DD/AAAA)
…provavelmente é falso.
- Passe o mouse sobre os links antes de clicar.
Os golpistas precisam que você clique sem pensar. Mas antes que você o faça, passe o mouse sobre o link. Se o e-mail disser que é do PayPal, mas o link indicar paypa1-support.com, fique longe de você. Empresas legítimas nunca pedem que você faça login por e-mail para “verificar” algo.
- Verifique novamente antes de fazer o download de anexos.
As lojas não enviam detalhes de pedidos como arquivos ZIP, documentos do Word ou PDFs que exigem “Ativar conteúdo”. Essa é uma armadilha clássica de malware. Se você não estava esperando um anexo, não o abra.
Os golpistas contam com a confiança que você tem na sua caixa de entrada. Mas agora que você conhece os sinais, não facilitará as coisas para eles. Fique atento e, em caso de dúvida, não clique!
Por que os filtros de spam não capturam todos os e-mails de pedidos falsos
Como já mencionamos, os filtros de spam podem cometer erros. Eles dependem da autenticação do e-mail, da reputação do remetente e da segurança do link para decidir o que é spam. Mas os golpistas têm maneiras de passar por essas defesas.
O que faz com que os filtros de spam não sejam ideais nessas situações?
- Falsos positivos – Uma empresa legítima se esquece de autenticar seus e-mails usando SPF, DKIM ou DMARC e, de repente, suas confirmações de pedidos reais chegam ao spam. Enquanto isso, um golpista que evita cuidadosamente os disparos de spam consegue passar.
- Domínios semelhantes – Uma mensagem de confirmação real vem de @amazon.com. Uma falsa vem de @amazon-orders.com. A diferença é pequena, mas é suficiente para enganar os filtros de spam e as pessoas que não estão observando atentamente.
- E-mails com muitas imagens – As confirmações de pedidos reais geralmente têm logotipos, banners e um mínimo de texto. Mas os filtros de spam não gostam de e-mails com muitas imagens. Às vezes, eles bloqueiam recibos legítimos e permitem e-mails de phishing que atingem o equilíbrio certo entre texto e imagem.
- E-mails de phishing gerados por IA – os e-mails de phishing não são mais tão desleixados como antes. Alguns golpistas usam IA para imitar o estilo de escrita de uma empresa, o que torna seus e-mails mais difíceis de detectar.
Os filtros de spam ajudam, mas não são suficientes. É por isso que entender o que acontece se você clicar em um e-mail de pedido falso é igualmente importante. Então, vamos falar sobre isso…
O que acontece se você clicar em um e-mail de pedido falso?
Um clique. Isso é tudo o que você precisa para transformar um pequeno erro em um grande problema.
Os e-mails de pedidos falsos são criados para roubar algo de você. Veja o que acontece quando você cai em um deles:
Credenciais de login roubadas
Clicar em um link em um e-mail de phishing geralmente leva você a uma página de login falsa que se parece com a da Amazon, do PayPal ou do seu banco. Digite seu nome de usuário e senha e você acabará de dar aos golpistas acesso às suas informações confidenciais.
Infecções por malware
Alguns e-mails de phishing vão além de páginas de login falsas. Os anexos rotulados como “fatura” ou “detalhes do pedido” podem, na verdade, conter:
- Keyloggers – Gravam tudo o que você digita, inclusive senhas e informações pessoais ou financeiras.
- Ransomware – bloqueia seus arquivos e exige dinheiro para desbloqueá-los.
Roubo de cartão de crédito
Alguns e-mails de pedidos falsos incluem um botão“Cancelar seu pagamento“. Clique nele e você chegará a um formulário que solicita os detalhes do seu cartão de crédito. No momento em que você os envia, os golpistas podem fazer compras fraudulentas ou esvaziar sua conta.
80% das violações de segurança envolvem phishing e 35% dos ataques de ransomware começam com um único e-mail malicioso. Se as empresas quiserem proteger os clientes (e a si mesmas), a segurança é algo que não pode ser ignorado.
Você não tem certeza se seus e-mails estão chegando onde deveriam? O testador de e-mail gratuito da InboxAlly mostra a você exatamente como os provedores de caixa de entrada tratam suas mensagens de e-mail. Teste seus e-mails antes que eles prejudiquem sua capacidade de entrega.
Por que você deve usar a autenticação 2FA
Com a autenticação de dois fatores (2FA), você precisa verificar sua identidade de outra forma depois de digitar sua senha – por meio de um aplicativo de autenticação, uma impressão digital ou uma chave física. Mesmo que alguém roube sua senha, você não terá acesso a ela.
A maioria das plataformas oferece 2FA – provedores de e-mail, bancos e mídias sociais. A configuração leva alguns minutos, mas torna muito mais difícil invadir sua conta. O Google, a Microsoft e a Apple recomendam que você a use.
A melhor maneira de usar a 2FA é um aplicativo de autenticação, como o Google Authenticator ou o Authy. Se você receber uma solicitação de 2FA que não solicitou, alguém tem a sua senha. Altere-a imediatamente.
A 2FA impede a maioria das invasões de contas antes que elas aconteçam. É uma das maneiras mais simples e eficazes de manter seus dados confidenciais seguros.
Considerações finais
E-mails falsos de confirmação de pedidos se misturam ao ruído das transações cotidianas. Os golpistas exploram a rotina, a urgência e a confiança, esperando que você reaja antes de pensar. Mas quando você conhece os sinais de alerta, fica mais fácil identificá-los.
O phishing não está desaparecendo. Não é uma questão de se você receberá um e-mail de pedido falso, mas de quando.
Da próxima vez que um deles chegar à sua caixa de entrada, pense antes de clicar. Esse momento de hesitação pode salvar sua segurança, seu dinheiro… e sua sanidade!
E se você estiver tendo problemas para entregar aos clientes seus importantíssimos e-mails de confirmação de pedidos, confira o InboxAlly. Nada diz mais “confiável” do que um e-mail de confirmação que chega no prazo!