Proteger a conta contra phishing, vishing e smishing
O termo phishing descreve golpes de roubo de identidade que envolvem sites, e-mails ou outras mensagens falsas. O objetivo de um ataque de phishing é obter acesso à sua conta e a informações confidenciais. Um invasor pode criar um site próprio que imita um site confiável ou enviar uma mensagem que pareça vir de uma fonte confiável. As mensagens de phishing podem vir de uma conta falsa ou de uma conta que foi invadida.
Os invasores também podem usar táticas semelhantes para atacar a conta usando vishing (phishing por voz) e smishing (phishing por SMS ou texto) para coletar informações confidenciais. É preciso ter cuidado para não fornecer informações confidenciais por telefone e não clicar em links potencialmente perigosos enviados por SMS. Se você suspeitar de ter recebido uma ligação ou um SMS de phishing, entre em contato com o Atendimento ao cliente da Shopify imediatamente.
Uma mensagem de phishing pode solicitar que você realize as seguintes tarefas:
- visitar um link
- fazer o download de um arquivo
- abrir um anexo
- responder com informações pessoais ou códigos de autenticação em duas etapas
Se você executar qualquer uma dessas ações, poderá infectar o computador ou dispositivo móvel com malware, que é um software mal-intencionado, como worms, cavalos de Troia, bots e vírus. Depois que o dispositivo for infectado, um invasor poderá ter acesso às suas informações pessoais.
Golpes de phishing também podem incluir solicitações diretas de informações pessoais, como as credenciais da conta bancária.
Os golpes de phishing podem solicitar que você forneça informações pessoais das seguintes maneiras:
- por e-mail ou outro sistema de mensagens
- por um formulário
- usando um número de telefone fraudulento
- usando um endereço físico falso
Até mesmo uma solicitação para inserir o e-mail e redefinir a senha pode ser perigosa.
Nesta página
- Reconhecer e-mails legítimos da Shopify
- Conhecer os sinais de alerta
- A Shopify e as solicitações de documentos confidenciais
- Comunicar preocupações usando outro meio de comunicação
- Verificar se a conexão com um site usa HTTPS
- Abrir apenas anexos ou links que você espera receber
- Ter cuidado ao usar redes Wi-Fi públicas
- Seguir as diretrizes do governo se suas informações pessoais forem comprometidas
Reconhecer e-mails legítimos da Shopify
A Shopify só envia e-mails de domínios oficiais, como @shopify.com, @email.shopify.com, @em.shopify.com e @shopify-billpay.melio.com. E-mails de serviços públicos de e-mail, como Gmail, Yahoo, Apple Mail ou Hotmail, não são da Shopify e devem ser tratados como possíveis tentativas de phishing.
Identificar links seguros em e-mails da Shopify
Para garantir a entrega confiável de e-mails, a Shopify pode usar um serviço de remetente confiável para se comunicar com os lojistas. Isso significa que os links nos e-mails podem parecer diferentes e incluir o domínio shopifysvc.com, que é seguro para clicar.
Sempre verifique os URLs antes de clicar. Evite clicar em links de e-mails, a menos que tenha certeza da autenticidade do remetente. Se tiver dúvidas sobre a autenticidade de um e-mail, entre em contato com o Atendimento ao cliente da Shopify para obter ajuda.
O que fazer se você suspeitar de um e-mail de phishing
Se você clicou acidentalmente em um link de um e-mail de phishing, tome as seguintes medidas imediatamente:
- Alterar a senha da conta da Shopify.
- Ative a autenticação em duas etapas para maior segurança.
- Entre em contato com o Atendimento ao cliente da Shopify para verificar se houve algum acesso não autorizado à sua conta.
Sinais de um e-mail de phishing
Fique atento aos seguintes sinais comuns de que um e-mail pode ser uma tentativa de phishing:
- E-mails inesperados de serviços de e-mail gratuitos.
- Solicitações de informações pessoais.
- Erros de gramática e ortografia.
- Linguagem urgente ou ameaçadora.
- Links para sites desconhecidos.
Importância da autenticação em duas etapas
Ativar a autenticação em duas etapas (também conhecida como autenticação de dois fatores ou autenticação multifator) na conta da Shopify proporciona um processo de login mais seguro, pois adiciona uma camada extra de proteção e dificulta o acesso de pessoas não autorizadas à sua conta, principalmente se você suspeitar que recebeu um e-mail de phishing. Saiba mais sobre securing your account with two-step authentication.
Verificar e-mails suspeitos
Se você receber um e-mail que pareça ser do Atendimento ao cliente da Shopify, mas que tenha algo estranho, verifique a legitimidade dele:
- Verifique se o e-mail vem de um domínio oficial da Shopify, como
@shopify.com,@email.shopify.com,@em.shopify.come@shopify-billpay.melio.com. - Tenha cuidado com caracteres ou pontuação incomuns no endereço de e-mail.
- Em caso de dúvida, entre em contato com o Atendimento ao cliente da Shopify diretamente pelos canais oficiais para confirmar.
Conheça os sinais de alerta
Proteja-se contra phishing entendendo os sinais de alerta. Leia as mensagens com atenção, independentemente de quem pareça ser o remetente, e analise os sites com cuidado, por mais familiares que pareçam.
Linguagem vaga ou genérica
Embora o phishing possa ser bem pesquisado e personalizado para você e sua empresa, a linguagem genérica é uma característica dos golpes de phishing. Desconfie de mensagens que pareçam vir de uma organização confiável, mas que comecem com declarações vagas, como Prezado titular da conta.
Além disso, se uma mensagem prometer uma oportunidade de negócio ou financeira importante, mas não incluir informações suficientes para você confirmar que o remetente o conhece, pode ser um golpe.
Sou Frederick, um banqueiro.
Pfvr, entre em contato comigo o mais rápido possível sobre a possível herança de um parente falecido.
Não posso dar muitos detalhes por SMS. Me mande um e-mail no endereço abaixo.
Mensagens de negócios de contas pessoais
Invasores sofisticados podem coletar informações suficientes da sua presença online para criar uma mensagem que possa, de forma plausível, vir de um contato real.
Atualização dos preços de atacadoOlá, Georgia:
Só para atualizar você. Segue uma planilha com nossos preços de atacado atuais: fabric-prices-october.xls
Espero que você tenha ficado satisfeito com o último lote de camisetas! Se tiver alguma dúvida ou preocupação, entre em contato.
Julia Chan
Gerente de contas
Example Fabrics
Os invasores podem invadir a conta comercial de um contato ou criar uma conta pessoal falsa para enviar um e-mail de phishing. Por exemplo, se o nome de usuário do e-mail pessoal de sua contato Julia for juliachan3857, um invasor poderá enviar um e-mail de uma conta com o nome de usuário juliachan9665. Esse tipo de ataque se baseia nos seguintes comportamentos:
- As pessoas costumam enviar e-mails da conta errada por engano.
- Mesmo que você saiba o endereço de e-mail pessoal da Julia, pode não olhar com muita atenção e não perceber a diferença.
Tom alarmante ou exaltado
Fique atento a solicitações urgentes que tentam assustar você para que aja sem pensar. Por exemplo:
Tivemos uma falha catastrófica no servidor. Responda com o nome de usuário e a senha nas próximas 24 horas, ou perderá o acesso à loja permanentemente.
Os e-mails podem fazer ofertas que parecem boas demais para ser verdade, como um desconto de 90% de uma empresa de viagens, disponível apenas se você agir agora.
Erros de ortografia, gramática e variações de estilo
Embora um site ou e-mail fraudulento possa parecer profissional, é possível que haja erros de digitação e gramática. Para determinar se um site ou e-mail pode ser fraudulento, procure usos incorretos ou inconsistências nos seguintes itens:
- ortografia
- uso de maiúsculas
- números
- pontuação
- formatação
URLs suspeitos
As tentativas de phishing podem incluir URLs que parecem legítimos à primeira vista. Muitas delas usam URLs escolhidos deliberadamente para se assemelhar a um URL que você já conhece. Por exemplo, se você costuma comprar trajes de banho da Example Apparel no URL legítimo e recebe um e-mail com um link para um URL falso, saberá que se trata de uma tentativa de phishing.
O URL real direciona você para um site no domínio example-apparel.com, que pertence à Example Apparel, e o URL falso direciona para um site mal-intencionado no domínio com-aquatic.net, que provavelmente pertence a criminosos.
| URL legítimo | URL falso |
|---|---|
| example-apparel.com/aquatic/swimmies | example-apparel.com-aquatic.net/swimmies |
A Shopify e as solicitações de documentos confidenciais
A Shopify nunca solicita informações confidenciais diretamente por e-mail, seja no corpo do texto, em imagem ou como anexo.
Veja a seguir exemplos de documentos confidenciais:
- qualquer forma de identificação
- senhas
- informações do cartão de crédito
- informações bancárias
- números de identidade nacional, como SIN (número de seguro social) ou SSN (número de seguro social)
A Shopify só solicita que você envie documentos confidenciais por meio de uma página de upload segura que comece com app.shopify.com ou .shopify.com.
Tire dúvidas usando outro meio de comunicação
Converse com o suposto remetente de uma mensagem suspeita pessoalmente ou por telefone e tire suas dúvidas sobre uma página da web falando com alguém da organização.
Se entrar em contato com o remetente por telefone, use um número que você já tenha ou que apareça em várias fontes online confiáveis. Por exemplo, se receber por e-mail uma solicitação de informações suspeita de sua agência tributária, ligue para a agência usando o número que consta na declaração de tributos do ano anterior. Não ligue para um número exibido em um site ou e-mail suspeito.
Verifique se a conexão com um site usa HTTPS
Ao se conectar a um site em que podem pedir para você inserir nome de usuário e senha ou outros dados confidenciais, verifique se um ícone de cadeado é exibido ao lado do URL no navegador.
O ícone de cadeado informa que a conexão com o site é criptografada com o protocolo HTTPS. Os URLs de conexões criptografadas começam com https://, e não com http://. As conexões que usam http:// enviam dados em texto simples, o que significa que podem ser interceptados no caminho e lidos.
Antes de clicar em um link para um site onde precise inserir informações, verifique se o URL começa com https://.
Abra apenas anexos ou links que estiver esperando receber
Não interaja com anexos, links ou formulários, a menos que os esteja esperando e saiba o que eles contêm. Eles podem não apenas redirecionar você para um site mal-intencionado projetado para roubar seus dados, mas também infectar seu dispositivo com malware.
Quando o texto do link for um URL, verifique se ele corresponde ao URL no próprio link. Por exemplo, um link exibido como https://help.shopify.com no corpo de um e-mail pode direcionar você para uma página de phishing em outro URL.
Muitos ataques de phishing tentam se aproveitar dos serviços bancários online. Se você receber um e-mail suspeito de seu banco com uma oferta especial de linha de crédito, não clique no link. Em vez disso, digite o URL do banco manualmente em uma nova janela e verifique se a oferta é exibida no painel de controle de sua conta.
Tenha cuidado ao usar uma rede Wi-Fi pública
O Wi-Fi público é prático quando você não está em casa ou no trabalho, mas oferece muitas maneiras diferentes para os invasores acessarem suas informações. É possível reduzir os riscos tomando medidas para proteger você e seus dados.
Verifique os nomes dos hotspots
Um invasor pode criar o próprio hotspot de Wi-Fi não criptografado com um nome semelhante a um confiável na mesma área, como a rede de uma cafeteria. Se você se conectar ao hotspot de phishing, o invasor poderá direcioná-lo para a própria página, na qual você pode ser exposto a malware ou solicitado a inserir informações privadas.
Antes de se conectar a um hotspot, confirme se o hotspot que você planeja usar é legítimo. Se não encontrar o nome do hotspot afixado em um lugar visível, pergunte a um funcionário do local.
Desative os pontos de acesso ao seu dispositivo
Mesmo que você tenha se conectado a um hotspot de Wi-Fi público legítimo, ainda pode correr riscos por estar na mesma rede que um invasor. As redes Wi-Fi públicas são muito menos seguras do que as redes privadas, como a de sua casa ou escritório.
Proteja-se desativando o compartilhamento de arquivos em sua rede e ativando o firewall antes de se conectar. Mesmo com essas precauções, ainda não é uma boa ideia enviar ou receber conteúdo confidencial usando uma rede Wi-Fi pública.
Envie e receba dados confidenciais apenas por uma VPN
Uma rede privada virtual (VPN) estabelece uma conexão segura entre seu dispositivo e os servidores da empresa de VPN. A partir daí, os servidores da VPN retransmitem suas informações para a internet. Se um invasor obtiver acesso aos dados que você está transmitindo e recebendo por meio de um hotspot de Wi-Fi público, os dados estarão criptografados e não serão úteis para ele.
Os sites Techradar e PC Mag são bons pontos de partida se você quiser aprender a escolher uma VPN.
Sem uma VPN, a opção mais segura é evitar a transmissão de informações confidenciais em redes Wi-Fi públicas.
Siga as diretrizes do governo se suas informações pessoais forem comprometidas
As informações de identificação pessoal (PII) consistem em dados que podem ser usados para identificar uma pessoa específica ou até mesmo se passar por ela. As PII incluem os seguintes tipos de informações:
- nome completo
- endereço de e-mail
- endereço residencial
- número de telefone
- número do cartão de crédito
- número de identificação nacional, como SIN, SSN ou passaporte
- carteira de motorista
- data de nascimento
Se você forneceu informações de identificação pessoal por um canal suspeito ou se sua conta da Shopify foi comprometida, consulte os guias de seu governo, como estas informações dos governos do Canadá e dos Estados Unidos.
Canadá
O que fazer:
Faça uma denúncia:
Estados Unidos
O que fazer:
Faça uma denúncia: