Exemplos e dicas de prevenção
A engenharia social é a arte de manipular as pessoas, para que elas entreguem informações confidenciais. Os tipos de informações que esses criminosos buscam podem variar, mas quando os indivíduos são direcionados, os criminosos geralmente tentam induzi-lo a fornecer suas senhas e outras informações bancárias ou acessar o seu computador para instalar secretamente software malicioso - que lhes dará acesso as contas dos serviços online que você utiliza, além de obter controle sobre seu computador.
Os criminosos usam táticas de engenharia social porque geralmente é mais fácil explorar sua tendência natural de confiar do que descobrir maneiras de invadir seus softwares. Por exemplo, é muito mais fácil enganar alguém para lhe fornecer a senha do que tentar adivinhar a senha, mesmo com uso de sistemas específicos para essa finalidade (a menos que a sua senha seja realmente fraca).
Segurança é saber em quem e no que confiar. É importante saber quando confiar e quando não confiar e quando a pessoa com quem você está se comunicando é realmente quem ela diz ser. O mesmo se aplica às interações online e ao uso de sites: quando você confia que o site que você está usando é legítimo ou seguro para fornecer suas informações?
Pergunte a qualquer profissional de segurança da informação e eles dirão que o elo mais fraco da cadeia de segurança é o ser humano que aceita uma pessoa ou cenário pelo valor de face. Não importa quantas fechaduras e trancas estão em suas portas e janelas, ou se há cães de guarda, sistemas de alarme, holofotes, cercas com arame farpado e pessoal de segurança armado; se você confia na pessoa no portão que diz que é o entregador de pizza e você a deixa entrar sem primeiro verificar se é legítima, você está completamente exposto a qualquer risco que ela represente.
Leia também: 5 ferramentas open source para segurança de rede
Como é um ataque de engenharia social?
E-mail de um amigo
Se um criminoso conseguir invadir ou projetar socialmente a senha de e-mail de uma pessoa, ele terá acesso à lista de contatos dessa pessoa - e porque a maioria das pessoas usa uma senha em todos os lugares, provavelmente também terá acesso aos contatos de rede social dessa pessoa.
Depois que o criminoso tem essa conta de e-mail sob seu controle, eles enviam e-mails para todos os contatos da pessoa ou deixam mensagens nas páginas sociais de seus amigos e, possivelmente, nas páginas dos amigos da pessoa.
Aproveitando sua confiança e curiosidade, essas mensagens contém:
Um link que você só precisa verificar - e, como o link é de um amigo e você é curioso, confiará no link e clicará - e será infectado com malware, para que o criminoso possa dominar sua máquina e coletar suas informações. informações de contatos e enganá-los como você foi enganado.
Download de fotos, músicas, filmes, documentos, etc., com software malicioso incorporado. Se você fizer o download - o que é provável que você faça, pois acha que é do seu amigo -, você será infectado. Agora, o criminoso tem acesso à sua máquina, conta de e-mail, contas e contatos de redes sociais, e o ataque se espalha para todos que você conhece. E assim por diante.
E-mail de outra fonte confiável
Os ataques de phishing são um subconjunto da estratégia de engenharia social que imita uma fonte confiável e cria um cenário aparentemente lógico para a entrega de credenciais de login ou outros dados pessoais sensíveis. De acordo com dados da Webroot (empresa norte americana privada que fornece segurança na Internet para consumidores e empresas), as instituições financeiras representam a grande maioria das empresas personificadas e de acordo com o Relatório anual de investigações de violação de dados da Verizon (empresa norte americana especializada em telecomunicações), ataques de engenharia social, incluindo phishing e pretexto (veja abaixo), são responsáveis por 93% das violações de dados bem-sucedidas.
Usando uma história ou pretexto convincente, essas mensagens podem:
Pedir urgentemente sua ajuda. Seu 'amigo' está preso no país X, foi assaltado, espancado e está no hospital. Eles precisam que você envie dinheiro para que possam chegar em casa e dizem como enviar o dinheiro ao criminoso.
Usar tentativas de phishing com um fundo legítimo. Normalmente, um phisher envia um email, mensagem instantânea, comentário ou mensagem de texto que parece vir de uma empresa, banco, escola ou instituição legítima e popular.
Pedir para você doar para um evento beneficente, ou alguma outra causa. Provavelmente com instruções sobre como enviar o dinheiro para o criminoso. Buscando bondade e generosidade, esses phishers pedem ajuda ou apoio para qualquer desastre, campanha política ou caridade que esteja momentaneamente no holofote das mídias.
Apresentar um problema que exija que você "verifique" suas informações clicando no link exibido e fornecendo informações em seu formulário. O local do link pode parecer muito legítimo com todos os logotipos e conteúdo corretos (de fato, os criminosos podem ter copiado o formato e o conteúdo exatos do site legítimo). Como tudo parece legítimo, você confia no e-mail e no site falso e fornece todas as informações que o bandido está solicitando. Esses tipos de golpes de phishing geralmente incluem um aviso do que acontecerá se você deixar de agir logo, porque os criminosos sabem que se eles conseguirem que você aja antes que você pense, é mais provável que você caia na tentativa de phishing.
Notificá-lo que você é um 'vencedor'. Talvez o e-mail afirme ser de uma loteria ou de algum sorteio popular, ou de um parente morto ou da milionésima pessoa a clicar em seu site, etc. Para fornecer seus 'ganhos', você deve fornecer informações sobre sua conta bancária para que eles saibam como enviá-lo para você ou forneça seu endereço e número de telefone para que eles possam enviar o prêmio, e você também poderá ser solicitado a provar quem é geralmente enviando cópia de documentos pessoais. Esses são os 'gananciosos phishing' em que mesmo que o pretexto da história seja escasso, as pessoas querem o que é oferecido e não se recusam a divulgar suas informações, e depois correm o risco de ter suas contas bancárias esvaziadas e sua identidade roubada.
Se colocar como um chefe ou colega de trabalho. Ele pode solicitar uma atualização de um projeto importante e exclusivo em que sua empresa está trabalhando, informações de pagamento referentes a um cartão de crédito da empresa ou alguma outra consulta disfarçada de negócios do dia-a-dia.
Cenários de isca
Esses esquemas de engenharia social sabem que se você divulgarem algo que as pessoas querem, muitas pessoas mordem a isca. Esses esquemas são frequentemente encontrados em sites ponto a ponto, oferecendo o download de algo como um novo filme ou música recente de sucesso. Mas os esquemas também são encontrados em sites de redes sociais, sites maliciosos que você encontra nos resultados de pesquisa e assim por diante.
Ou, o esquema pode aparecer muito surpreendentemente em sites de classificados, sites de leilões, etc. Para que não levante sua suspeita, você poderá ver que o vendedor tem uma boa classificação/reputação (tudo planejado e elaborado com antecedência).
As pessoas que mordem a isca podem estar infectadas com software mal-intencionado que pode gerar inúmeras explorações contra si e seus contatos, podem perder dinheiro sem receber o item comprado e se forem tolos o suficiente para pagar com um cheque, podem encontrar a conta bancária vazia.
Resposta a uma pergunta que você nunca fez
Os criminosos podem fingir estar respondendo à sua solicitação de ajuda de uma empresa e ao mesmo tempo oferecer mais ajuda. Eles escolhem empresas que milhões de pessoas usam, como uma empresa ou banco de software. Se você não usar o produto ou serviço, ignorará o e-mail, telefonema ou mensagem, mas se usar o serviço, há uma boa chance de você responder, porque provavelmente deseja ajuda com um problema.
Por exemplo, mesmo que você saiba que não fez uma pergunta originalmente, mas se você possuir um problema com o sistema operacional do seu computador, você aproveitará a oportunidade para corrigi-lo. De graça! No momento em que você responde, compra a história do bandido, confia a eles e se abre para a exploração.
O representante, que é na verdade um criminoso, precisará “autenticar você”, fazer login no “sistema deles” ou no computador e solicitará que você conceda acesso remoto ao seu computador, para que ele possa “consertá-lo” ou diga a você os comandos para que você possa consertá-lo com a ajuda deles - onde alguns dos comandos que eles digitarem abrirão uma maneira de o criminoso voltar mais tarde ao seu computador sem seu consentimento e conhecimento.
Criando desconfiança
Algumas práticas de engenharia social tem como objetivo criar desconfiança ou iniciar conflitos; isso geralmente é realizado por pessoas que você conhece e que estão com raiva de você, mas também é feito por pessoas desagradáveis que estão tentando causar estragos, pessoas que desejam primeiro criar desconfiança em sua mente sobre os outros, para que possam entrar como um herói e ganhe sua confiança, ou por extorsionistas que desejam manipular informações e depois ameaçá-lo com a divulgação.
Essa forma de engenharia social geralmente começa com o acesso a uma conta de e-mail ou outra conta de comunicação em um cliente de IM, rede social, bate-papo, fórum etc. Eles realizam isso através de hackers, engenharia social ou simplesmente adivinhando senhas realmente fracas.
A pessoa mal-intencionada pode alterar as comunicações confidenciais (incluindo imagens e áudio) usando técnicas básicas de edição e encaminhá-las a outras pessoas para criar drama, desconfiança, vergonha etc. Elas podem fazer parecer que foram enviadas acidentalmente ou transparecer a você o que realmente está acontecendo.
Como alternativa, eles podem usar o material alterado para extorquir dinheiro da pessoa que invadiram ou do suposto destinatário.
Existem literalmente milhares de variações nos ataques de engenharia social. O único limite para o número de maneiras pelas quais eles podem projetar socialmente os usuários através desse tipo de exploração é a imaginação do criminoso. E você pode experimentar várias formas de explorações em um único ataque. É provável que o criminoso venda suas informações a outras pessoas, para que elas também façam suas façanhas contra você, seus amigos, amigos de seus amigos e assim por diante, pois os criminosos aproveitam a confiança extraviada das pessoas.
Não se torne uma vítima
Embora os ataques de phishing sejam desenfreados, de curta duração e precisem apenas de alguns usuários para morder uma campanha bem-sucedida, existem métodos para se proteger. A maioria não exige muito mais do que simplesmente prestar atenção aos detalhes à sua frente. Lembre-se do seguinte para evitar ser enganado.
Dicas para lembrar:
Desacelere. Os spammers querem que você aja primeiro e pense depois. Se a mensagem transmitir um senso de urgência ou usar táticas de vendas de alta pressão, seja cético; nunca deixe a urgência deles influenciar sua análise cuidadosa.
Pesquise os fatos. Suspeite de qualquer mensagem não solicitada. Se o e-mail parecer de uma empresa que você usa, faça sua própria pesquisa. Use um mecanismo de pesquisa para acessar o site da empresa real ou uma lista telefônica para encontrar o número de telefone.
Não deixe que um link esteja no controle de onde você está. Mantenha o controle localizando o site usando um mecanismo de pesquisa para ter certeza de que acessará o site correto. Passar o mouse sobre os links no e-mail mostrará o URL real na parte inferior, mas uma boa farsa ainda pode orientá-lo errado.
O sequestro de e-mails é galopante. Hackers, spammers e engenheiros sociais assumindo o controle das contas de e-mail das pessoas (e outras contas de comunicação) tornaram-se galopantes. Depois de controlar uma conta de e-mail, eles aproveitam a confiança dos contatos da pessoa. Mesmo quando o remetente parece ser alguém que você conhece, se você não espera um e-mail com um link ou anexo, verifique com seu amigo antes de abrir os links ou fazer o download.
Cuidado com qualquer download. Se você não conhece o remetente pessoalmente e espera um arquivo dele, fazer o download de qualquer coisa é um erro.
Ofertas estrangeiras são falsas. Se você receber um e-mail de uma loteria ou sorteio no exterior, dinheiro de um parente desconhecido ou solicitar transferência de fundos de um país estrangeiro para uma parte do dinheiro, é garantido que ele é uma farsa.
Maneiras de se proteger:
Exclua qualquer solicitação de informações financeiras ou senhas. Se for solicitado a você responder a uma mensagem com informações pessoais, é uma farsa.
Rejeite pedidos de ajuda ou ofertas de ajuda. Empresas e organizações legítimas não entram em contato com você para fornecer ajuda. Se você não solicitou assistência especificamente ao remetente, considere qualquer oferta para "ajudar" a restaurar pontuações de crédito, refinanciar uma casa, responder a sua pergunta etc., uma farsa. Da mesma forma, se você receber uma solicitação de ajuda de uma instituição de caridade ou organização com a qual não tem um relacionamento, exclua-a. Para doar, procure organizações de caridade respeitáveis por conta própria para evitar cair em uma farsa.
Defina seus filtros de spam como alto. Todo programa de e-mail possui filtros de spam. Para encontrar as suas, consulte as opções de configuração e defina-as como alta - lembre-se de verificar sua pasta de spam periodicamente para ver se e-mails legítimos foram acidentalmente para lá. Você também pode procurar um guia passo a passo para configurar seus filtros de spam pesquisando o nome do seu provedor de e-mail e a frase "filtros de spam".
Proteja seus dispositivos de computação. Instale software antivírus, firewalls, filtros de e-mail e mantenha-os atualizados. Defina seu sistema operacional para atualizar automaticamente e se o seu smartphone não atualizar automaticamente, atualize-o manualmente sempre que receber um aviso para isso. Use uma ferramenta anti-phishing oferecida pelo seu navegador da web ou por terceiros para alertá-lo sobre riscos.
Tome esses cuidados no seu dia-a-dia, seja com seus dispositivos pessoais ou da empresa para qual trabalha.
