Especialistas em segurança da Cylance explicam o que é engenharia social, quais os tipos de ataques mais comuns e como evitá-los
O termo “engenharia social” é usado na área de segurança da informação para descrever um método de ataque no qual alguém faz uso de persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações, ou seja, a manipulação psicológica e emocional de pessoas para a execução de ações específicas.
Recentemente, uma autora da Wired escreveu sobre como caiu em um ataque de engenharia social no Twitter devido ao que ela chama de “um pote de mel da vaidade acadêmica”. Virginia Heffernan descreve a situação da seguinte forma: “Sim, senhor, Lawrence Henry Summers estava conversando comigo em particular porque, bem, ele leu um artigo meu e achou inteligente. E agora Larry Summers queria meu feedback sobre um de seus artigos… Eu estava em um novo patamar de lisonjeio; talvez inebriada.”
A maioria das pessoas que cai em algum golpe online ou ataque de engenharia social esconde-se de vergonha e mantém essa notícia o mais privada possível, por medo de parecer tola. Mas a realidade é que muitas pessoas caem nesse tipo de ataque. É por isso que os cibercriminosos continuam fazendo isso para conseguir o que querem. Funciona.
Sem vergonha, só aprendizado
Como poderemos aprender com esses erros, a menos que possamos discuti-los de maneira aberta e transparente, sem vergonha? Há uma tendência de longa data no setor de segurança para buscar um culpado depois que uma violação ou invasão acontece. Queremos saber quem fez isso. Foi um ataque de outra empresa? Foi apenas um atacante de baixo nível que comprou algum ransomware barato online e entrou pela porta da frente por pura sorte?
O problema é que o “quem fez” não é tão importante assim. Claro, se você está tentando obter justiça ou está trabalhando com as autoridades legais, faz sentido tentar perseguir quem atacou você. Mas a indústria precisa se concentrar em como os ataques aconteceram. Nesse caso, Heffernan usa uma dose pesada de autodepreciação para mostrar aos leitores da Wired como ela se sentiu atraída por esse tipo de ataque: pura vaidade.
Os atacantes bem-sucedidos sabem como as pessoas funcionam e como explorar as fraquezas humanas. Você não precisa ser psiquiatra para saber que pode aproveitar o orgulho e o ego de uma pessoa para enganá-la. É o equivalente a colocar um grande pedaço de queijo em uma ratoeira. A técnica funciona porque nós caímos nela, de novo e de novo.
Mais artigos como esse, dirigidos ao público em geral, mas aplicáveis também a empregadores e empregados, ajudarão a difundir a conscientização sobre os ataques de engenharia social. Em vez de ficarmos com vergonha de nós (ou nossa empresa) termos nos tornado vítimas, devemos discutir abertamente esses eventos com aqueles que nos rodeiam, para que outros possam aprender com nossos erros.
Outros tipos de golpes da Internet
O “pote de mel da vaidade” é apenas um truque que os engenheiros sociais usam. Fique atento a estes golpes, que estão bem populares ultimamente:
Golpe na temporada de impostos – pode ter várias formas, mas geralmente é mais prevalente antes da temporada de impostos. Por exemplo, um e-mail de phishing é enviado para o destino que contém um link malicioso. O e-mail supostamente é da Receita Federal ou do próprio contador do usuário. Mais comumente, esse tipo de e-mail dirá que são necessárias mais informações do usuário ou que algo está errado em seus registros fiscais, ou que foi pago mais ou menos que na última temporada de impostos e solicita que “clique no link” para fazer login em sua conta na Receita Federal e corrigir o problema. Alerta de spoiler: o link não leva ao site legítimo.
Golpe de romance – nessa ameaça crescente e particularmente maléfica, os vigaristas da Internet se apresentam como mulheres ou homens solteiros desejáveis, na tentativa de convencer as pessoas a se apaixonarem por elas, para depois tentarem roubar seu dinheiro. Esse golpe é particularmente cruel e geralmente atinge homens e mulheres recentemente divorciados. Isso pode levar as vítimas a grandes prejuízos, somas de dinheiro muito altas, à medida que o criminoso brinca com o desejo da pessoa de se conectar com outra e com sua vontade altruísta de ajudar alguém em necessidade. O FBI relatou prejuízos superiores a US$ 230 milhões em 2016 devido a golpes de romance, relativos a apenas 15 mil casos registrados nos Estados Unidos, de modo que esse tipo de golpe está entre os mais bem-sucedidos entre os criminosos.
Golpe no LinkedIn – normalmente, uma solicitação de conexão é enviada de uma conta falsa do LinkedIn para os funcionários da empresa que um atacante tem como alvo. Em sua seção “Emprego”, o golpista coloca o nome dessa empresa e faz seu trabalho parecer plausível, por exemplo, fingindo ser um profissional de marketing em uma empresa de relações públicas. Ele sabe que é menos provável que os funcionários questionem uma solicitação de conexão de uma pessoa de sua própria empresa. Quanto mais as pessoas caírem no golpe e adicionarem o criminoso como uma conexão do LinkedIn, mais legítimo será seu perfil e a mais pessoas ele será direcionado. Uma vez que tenha muitos “amigos internos”, o fraudador tentará iniciar uma conversa com seus novos colegas para obter conhecimentos privilegiados sobre a empresa que possam ser usados em um ataque.
Golpe no Facebook – funciona como o golpe do LinkedIn, mas o golpista usa informações obtidas lendo a conta do alvo no Facebook para criar um perfil falso personalizado que seja irresistível para a pessoa, com base em seus interesses exatos (por exemplo, imagens exibindo grande riqueza e carros sofisticados, ou posando como um humanitário que resgata gatos de rua na vizinhança da pessoa). Quando a vítima adiciona o criminoso como amigo, ele cria uma teia de mentiras para tentar induzir o usuário a doar dinheiro ou atraí-lo para revelar fatos úteis que possam ser usados para enredar os amigos do usuário. Ele também pode enviar links maliciosos no Messenger para tentar assumir a conta.
Sinais de alerta a observar
Ninguém está completamente imune a cair em trapaças e, como os golpes se tornam cada vez mais criativos e tecnologicamente complexos, não se esqueça de se informar sobre o assunto para evitar ser vítima.
A Cylance dá algumas dicas adicionais que podem ajudar:
Golpes fiscais: lembre-se de que a Receita Federal NUNCA iniciará contato com os contribuintes via e-mail, texto ou canais de mídia social. Ela faz uso dos Correios para comunicar-se com eles.
Se você receber uma mensagem da Receita Federal por qualquer canal alternativo pedindo suas informações pessoais ou alegando que você lhes deve dinheiro, não é real. Se for ameaçado por meio de qualquer canal com ação da polícia, do banco ou de imigração, não é a verdadeira Receita Federal. Se insistirem que você pague agora, por telefone, boleto ou cartão de crédito, não é o “Leão”. Se ligarem para você sobre um assunto urgente, geralmente você já recebeu várias cartas e avisos pelo correio antes, quando tentaram entrar em contato com você.
Golpes de mídia social: faça o download da foto do perfil da pessoa em questão. Em seguida, use o recurso de pesquisa reversa do Google Images para ver se a foto do perfil ou outras imagens da conta existem em outro lugar na web. Se isso acontecer, você pode visitar o site de postagem original (clique em “visitar” nos resultados da pesquisa) para ver se é a mesma pessoa. Usuários/perfis falsos geralmente roubam contas online reais de estranhos inocentes para obter conjuntos completos de fotos para usar em seu perfil falso. Eles podem até mesmo duplicar/clonar uma conta real nos mínimos detalhes para obter uma dose extra de legitimidade.
Golpes de phishing: os phishers têm um objetivo, que é ganhar sua confiança e, em seguida, fingir uma crise da qual só você pode salvá-los enviando dinheiro. Podem levar semanas ou até meses antes de atacar, mas eles vão atacar. A moral da história é nunca, jamais enviar dinheiro para alguém que você nunca conheceu na vida real. Telefonemas não contam: a pessoa na linha pode ser um ator ou o golpista pode usar software de mudança de voz. Se uma pessoa parece ser legítima online, mas constantemente inventa desculpas sobre não conseguir se encontrar com você na vida real, tenha extrema cautela.
Alerta de golpe: se você disser “não” a um golpista quando solicitado a enviar dinheiro para ajudá-lo em uma crise ou um evento infeliz e ele ficar irritado ou abusivo, isso é um enorme alerta de que ele não é quem diz ser. Uma pessoa real teria uma resposta mais realista, como se desculpar por perguntar, demonstrar remorso/culpa ou agradecer por apenas ouvir.
Acima de tudo, confie em seu bom senso. Lembre-se do antigo ditado: “Se algo parece bom demais para ser verdade, provavelmente não é.” Se você acabou de ser demitido de um emprego ruim e, de repente, um recrutador jovem e bonito do seu empregador dos sonhos entra em contato com você do nada com uma oferta de emprego, é provável que seja uma farsa. Se você tem reclamado online por meses sobre sua conta bancária e um novo amigo do Facebook de repente se oferece para pagar sua dívida se você abrir uma conta bancária para o tio rico do Zimbábue e depositar “uma pequena taxa bancária”, é uma farsa. Se você conheceu alguém online de boa reputação cujo perfil diz possuir um diploma avançado em Literatura Inglesa, mas que envia e-mails ou textos cheios de erros de digitação, é uma farsa. Confie em seus instintos, não é à toa que você os tem.
Seja o primeiro a comentar on "Dicas para evitar ataques de engenharia social"