Muitas pessoas acreditam que são espertas demais para cair em algum golpe, e os hackers adoram usar este tipo de ingenuidade para realizar ataques, roubar informações e dados pessoais, invadir sistemas e dispositivos e disseminar malware. Aqui, vamos falar mais sobre o que são os ataques de engenharia social e como se proteger deles.
Tabela de Conteúdo
O termo social engineering (engenharia social) é bastante usado para designar uma série de tipos e modalidades de ataques nos quais os hackers usam manipulação psicológica para induzir comportamentos da vítima com o objetivo de facilitar um ataque – como disseminação de malware, invasão de dispositivos, roubo de senhas e dados pessoais e muitas outras coisas.
Os cibercriminosos usam das emoções da vítima (como medo, ganância e curiosidade, por exemplo) para conduzir ataques cibernéticos diversos. Nestes ataques, as ações da vítima são essenciais para concretizar um ataque.
Clicar em um link suspeito, baixar anexos sem verificar a autenticidade deles, visitar websites maliciosos, baixar programas piratas e outras ações do tipo são elementos facilitadores dos ataques de engenharia social.
As táticas de engenharia social podem sim ser consideradas como crime quando usadas para cometer atos ilícitos, como invasão de sistemas, roubo de dados pessoais (que também são usados pelos criminosos para cometer fraudes) e informações bancárias, entre outras coisas.
Vale lembrar que a tipificação dos crimes depende da legislação de cada região e cada país.
No Brasil, os ataques de engenharia social são tipificados pela Lei 12.737/2012 – mais conhecida como Lei Carolina Dieckmann, principalmente por conta do famoso caso de invasão contra fotos e dados pessoais da atriz, o que deu embasamento para a criação da lei.
A pena varia de acordo com a gravidade dos casos, mas pode ir de 3 meses até 1 ano de reclusão e multa definida em um valor estipulado pelo juiz.
Não existe um método específico e único para realizar ataques de engenharia social, já que eles englobam toda uma gama de estratégias, recursos e metodologias que os cibercriminosos usam para aplicar golpes e realizar ataques virtuais. Mas nós podemos desenhar um fluxo que ajuda a entender melhor as etapas de execução de um ataque de engenharia social.
Este é um fluxo simplificado para entender este tipo de golpe, mas é importante lembrar que as estratégias e os processos mudam de acordo com o método escolhido pelos criminosos.
Aproveite todas as oportunidades para fortalecer sua segurança online. Assine a NordVPN hoje e tenha uma garantia de 30 dias de reembolso.
Existe uma imensidão de ataques que se encaixam como ataques de engenharia social. Mas algumas categorias merecem destaque pelo nível de ameaça, a gravidade dos ataques, a frequência com que acontecem e a quantidade de vítimas que fazem.
Os ataques de phishing acontecem quando um cibercriminoso (ou vários cibercriminosos) tentam se passar por uma pessoa, organização, empresa ou até mesmo órgão do governo para entrar em contato com as vítimas e, assim, conseguir uma série de dados e informações pessoais delas.
A tática de phishing consiste, basicamente, em usar e-mails, mensagens, anexos e até páginas web maliciosas com uma imagem de confiabilidade e veracidade.
Quando a vítima abre um e-mail e clica em um link malicioso, por exemplo, ela pode ser direcionada para um website que imita a página de um banco legítimo e, assim, é induzida a preencher formulários com informações de cartão de crédito, senhas de acesso e outras coisas mais.
O objetivo é fazer com que a vítima forneça dados sensíveis e facilite ao máximo o golpe. Os ataques de phishing podem adotar formas e métodos diferentes, e estes são os mais comuns:
Os ataques de angler phishing podem ser categorizados como uma modalidade de phishing. Eles são usados principalmente contra usuários de mídias sociais e, neles, os criminosos usam contas falsas se passando por empresas, organizações ou serviços de atendimento ao consumidor.
No angler phishing, os hackers entram em contato com pessoas que tenham feito alguma reclamação, solicitação, compra ou qualquer outra coisa do tipo com alguma empresa real e se passam por esta empresa. Assim, eles tentam enganar a vítima para que ela forneça informações pessoais com a falsa promessa de solucionar a solicitação ou atender a pessoa.
Em geral, os ataques de angler phishing seguem esta estrutura:
É muito importante jamais repassar certas informações para ninguém. Senhas pessoais e dados de acesso não devem ser transferidos para terceiros, mesmo que sejam pessoas se passando por membros da empresa, organização, entidade do governo
Eles também são uma categoria de ataque de phishing. O spear phishing é uma modalidade mais complexa de ataque cibernético, o que exige mais esforço por parte dos cibercriminosos mas, em contrapartida, geralmente resulta em uma taxa de sucesso maior.
Neles, os hackers fingem ser alguém que a vítima conhece (um amigo, parente, colega de trabalho, entre outros), o que envolve uma pesquisa prévia sobre os hábitos e o círculo social da vítima – o que também envolve atividade de cyberstalking.
Depois que o criminoso sabe o suficiente sobre a vítima, ele envia um e-mail ou mensagem com algum assunto importante para, assim, conseguir as informações pessoais necessárias para realizar o golpe.
É essencial verificar quem enviou o e-mail, questionar se a solicitação parece normal ou plausível e, diante de qualquer suspeita, jamais responder o e-mail. Se quiser ter certeza da veracidade do conteúdo, peça para uma chamada direta com a pessoa (preferencialmente com vídeo). Criminosos vão se negar a estabelecer este contato porque, obviamente, isto expõe a fraude.
No smishing, os criminosos usam mensagens de SMS para atingir vítimas. Mesmo que pareçam rudimentares, eles conseguem fazer muitas vítimas, o que faz deste tipo de ataque uma das ameaças cibernéticas mais significativas. Os golpistas conseguem números de telefone das vítimas através de bancos de dados roubados vendidos na internet (geralmente na dark web).
Um ataque smishing é feito com uma mensagem SMS geralmente dando informações falsas sobre uma encomenda que a vítima solicitou, um falso comunicado de banco solicitando uma confirmação de identidade ou até algo mais sério, como comunicações sobre algum crime que a vítima supostamente tenha cometido – tudo acompanhado de um link.
Ao clicar no link, a vítima é redirecionada para um website malicioso para roubar dados e informações pessoais ou baixar algum malware usado para invadir o dispositivo.
Nos ataques de vishing, os criminosos entram em contato com as vítimas se passando por uma organização confiável e legítima. O contato é feito através de chamada telefônica com a vítima.
Os criminosos usam mensagens de voz pré-gravadas, mensagens de texto ou sintetizadores voice-to-text (voz para texto) para esconder a verdadeira identidade deles. E muitos fazem chamadas diretas sem usar estes recursos, fingindo serem funcionários de call centers para tornar o ataque ainda mais convincente.
Golpistas que usam ataques de vishing usam um bom pretexto para entrar em contato com a vítima: falam sobre atividades suspeitas na conta bancária, pagamentos de impostos, recebimentos de prêmios em sorteios, problemas com vírus, renovação ou cancelamento de assinaturas, entre outras coisas.
O principal objetivo é conseguir informações sensíveis e roubar a identidade da vítima. E, em geral, estas informações são usadas em outros ataques de engenharia social.
Os golpistas perguntam por dados pessoais, número de identidade, CPF, senhas do banco, códigos de confirmação (para burlar a autenticação de dois fatores), acesso de redes sociais e até endereços residenciais, além de uma série de outras informações. Mas eles nem precisam de todos estes dados: uma ou duas informações pessoais são o bastante para fazer um estrago e prejudicar as vítimas.
Apesar de parecidos, há diferenças entre o phishing e o vishing. Os ataques de phishing usam mensagens de e-mail e URL, enquanto os ataques de vishing são feitos através de chamadas de voz. No phishing, a vítima pode responder em outro momento, mas as ligações de vishing tem como objetivo roubar as informações da vítima durante a própria chamada.
Você deve fazer algumas perguntas que ajudam a identificar um ataque vishing e se proteger:
No pretexting, os criminosos usam mensagens bastante convincentes para conseguir a atenção (e os dados) da vítima. Os ataques de pretexting exigem muito mais pesquisa do que outras modalidades de engenharia social.
Neles, os cibercriminosos se passam por parentes, amigos ou conhecidos das vítimas, criando cenários complexos para iludir as pessoas – e, quando os alvos são ambientes corporativos, a intenção é chegar até a vítima com o cargo mais alto possível.
É mais difícil identificar golpistas de pretexting porque eles fornecem uma série de informações reais sobre as vítimas (obtidas de forma criminosa, com stalking ou outras técnicas), o que passa mais credibilidade aos ataques.
Os ataques de pretexting mais comuns são os golpes do falso suporte técnico:
Muitas vezes, as vítimas não conseguem nem perceber o que aconteceu. Os criminosos garantem que o valor fica retido e que tudo é parte de uma verificação de rotina. E, em muitos casos, acabam aplicando o golpe na mesma vítima várias vezes.
Os ataques de catfishing são realizados por golpistas que criam perfis falsos nas redes sociais, geralmente usando fotos genéricas ou até mesmo roubadas de outras pessoas, além de outras informações pessoais para tornar os perfis mais convincentes.
Há vários motivos para criar estes perfis fakes nas redes sociais, desde a facilitação para cometer cyberbullying (os famosos ‘’trolls’’ da internet) até chantagem e manipulação emocional para tomar dinheiro e informações das vítimas.
Uma modalidade muito comum de catfishing é quando o(a) criminoso(a) começa um relacionamento romântico com a vítima e usa este laço emocional para conseguir extorquir dinheiro e obter outras vantagens. A vítima, presa pelas emoções e pelo falso relacionamento, muitas vezes acaba cedendo. Pessoas em vulnerabilidade social e afetiva são os alvos prioritários deste tipo de golpe.
Há alguns sinais importantes que te ajudam a se proteger contra catfishing:
Sempre que conhecer alguém online, exija uma chamada de vídeo e confirme a veracidade das informações que a pessoa te passa. O amor até pode ser cego, mas você sempre precisa abrir os olhos para manter sua segurança.
Nos ataques de scareware, o criminoso ataca a vítima com um bombardeio de mensagens falsas, ameaças e intimidações, inclusive com uso de malware (deception software, rogue scanner software ou fraudware).
O principal objetivo do scareware é enganar a vítima, fazendo com que ela pense que o dispositivo está infectado com malware e mostrando uma mensagem que pede que o usuário instale um software (antivírus) – falso, é claro. Ao invés de detectar vírus e resolver um suposto problema, a vítima baixa malware e permite os ataques dos criminosos.
Estes ataques são feitos especialmente com telas de pop up que aparecem subitamente na tela enquanto a vítima navega por websites maliciosos. O scareware também pode ser feito através do envio de e-mails infectados, principalmente tentando convencer a vítima a comprar serviços inúteis ou maliciosos.
Os ataques de diversion theft (ou ‘’roubo de desvio’’) são criados para enganar as vítimas e fazer com que elas enviem informações pessoais para os criminosos. Os golpistas pegam o e-mail da vítima e enviam mensagens falsas fingindo ser de alguma firma de auditoria, instituição financeira, empresa ou algo do tipo.
Quando o golpe dá certo, os criminosos roubam informações confidenciais sobre pessoas, empresas e até organizações de governo. Em muitos casos, conseguem roubar bancos de dados inteiros com listas de clientes e cadastros de empresas.
No baiting, os criminosos tentam convencer as vítimas a fazer algo com a finalidade de permitir ou facilitar a invasão no dispositivo através de malware, inclusive através de dispositivos USB infectados e plataformas de P2P.
Outro método de disseminar malware é através de arquivos aparentemente legítimos: a vítima procura um filme para baixar e, na verdade, acaba fazendo download de vírus. É essencial evitar websites estranhos e conteúdo duvidoso, como programas e arquivos pirateados.
É importante só baixar arquivos e programas através de fontes confiáveis e originais, e jamais conectar dispositivos estranhos em portas USB e outras conexões.
Um ataque quid pro quo acontece quando um golpista oferece um falso serviço em troca de informações pessoais. Um dos tipos mais famosos de ataque quid pro quo é o do ‘’príncipe nigeriano’’, quando a vítima recebe um e-mail afirmando que alguém da nobreza da Nigéria morreu e que a pessoa vai receber toda a herança, precisando apenas enviar algum valor para pagar um procedimento legal.
Por mais ridícula que a história seja, muitas vítimas realmente acreditam no que os golpistas falam e, movidas pela ganância, fazem o envio do dinheiro na expectativa de que vão receber muito mais em troca.
Outro tipo bastante comum é o dos falsos técnicos de suporte de TI, que fazem com que a vítima acredite ter algum problema no dispositivo (como um vírus, renovação de assinatura de antivírus, atualização no sistema operacional ou qualquer outra coisa) e, assim, conseguem acesso ao computador da pessoa para ‘’resolver’’ o falso problema. Aí, eles infectam o dispositivo com malware e roubam dados pessoais da vítima.
Nos ataques de spamming de contato, o cibercriminoso tenta hackear o e-mail da vítima, uma conta em uma mídia social ou alguma outra coisa do tipo para entrar em contato com os amigos, familiares e conhecidos das vítimas e enviar alguma mensagem genérica para que a pessoa clique em algum link ou baixe alguma coisa.
Como as mensagens são envidas por perfis falsos que se passam por pessoas conhecidas, as vítimas infelizmente caem muito neste tipo de golpe. Depois de infectar o dispositivo, as mensagens infectadas são enviadas para os contatos da vítima.
O xHelper é um exemplo de programa malicioso muito usado neste tipo de golpe. Ele até consegue se reinstalar mesmo tendo sido excluído. Então é essencial se prevenir contra este tipo de ataque.
Os ataques de engenharia social causam danos tanto aos indivíduos quanto à sociedade como um todo – e até a economia de cidades, regiões e países. Eles geram perdas econômicas, fraudes, roubo de identidade e uma série de problemas pessoais causados pelos golpes.
Além disto, eles geral um imenso prejuízo para a infraestrutura das empresas, inutilizando equipamentos que são infectados, comprometendo redes inteiras e expondo os dados de funcionários, clientes e transações financeiras.
Em casos mais graves, os ataques de engenharia social podem gerar a perda de vidas por pessoas que se desesperam pelas perdas financeiras ou pelas chantagens e ameaças feitas pelos criminosos.
Os prejuízos são tanto materiais quanto psicológicos. Além da perda de dinheiro, as vítimas são afetadas psicologicamente por conta dos ataques e das consequências deles. As táticas de engenharia social precisam ser levadas a sério pelas pessoas e pelos governos que deveriam combater com mais eficácia este tipo de crime.
As táticas de engenharia social são muito perigosas, mas você pode tomar algumas medidas para proteger seus computadores, dispositivos móveis e seus dados em geral. Aqui, separamos 7 dicas para melhorar sua cybersegurança:
Sua segurança online começa com um clique.
Fique em segurança com a VPN líder a nível mundial