O que é engenharia social e como se proteger?

O termo social engineering (engenharia social) é bastante usado para designar uma série de tipos e modalidades de ataques nos quais os hackers usam manipulação psicológica para induzir comportamentos da vítima com o objetivo de facilitar um ataque – como disseminação de malware, invasão de dispositivos, roubo de senhas e dados pessoais e muitas outras coisas.

Os cibercriminosos usam das emoções da vítima (como medo, ganância e curiosidade, por exemplo) para conduzir ataques cibernéticos diversos. Nestes ataques, as ações da vítima são essenciais para concretizar um ataque.

A engenharia social é muito usada em ataques de phishing, spoofing, disseminação de malware e também em ciberataques de whaling, além de uma série de outros tipos de golpes e crimes virtuais.

Clicar em um link suspeito, baixar anexos sem verificar a autenticidade deles, visitar websites maliciosos, baixar programas piratas e outras ações do tipo são elementos facilitadores dos ataques de engenharia social.

As táticas de engenharia social podem sim ser consideradas como crime quando usadas para cometer atos ilícitos, como invasão de sistemas, roubo de dados pessoais (que também são usados pelos criminosos para cometer fraudes) e informações bancárias, entre outras coisas.

Vale lembrar que a tipificação dos crimes depende da legislação de cada região e cada país.

No Brasil, os ataques de engenharia social são tipificados pela Lei 12.737/2012 – mais conhecida como Lei Carolina Dieckmann, principalmente por conta do famoso caso de invasão contra fotos e dados pessoais da atriz, o que deu embasamento para a criação da lei.

A pena varia de acordo com a gravidade dos casos, mas pode ir de 3 meses até 1 ano de reclusão e multa definida em um valor estipulado pelo juiz.

Não existe um método específico e único para realizar ataques de engenharia social, já que eles englobam toda uma gama de estratégias, recursos e metodologias que os cibercriminosos usam para aplicar golpes e realizar ataques virtuais. Mas nós podemos desenhar um fluxo que ajuda a entender melhor as etapas de execução de um ataque de engenharia social.

1. Preparo: os criminosos preparam o conteúdo para enganar a vítima: um e-mail falso, um perfil fake, links infectados e até websites inteiros. O objetivo é simular algo legítimo para enganar a vítima.
2. Contato: os criminosos contactam a vítima através de um e-mail, mensagem SMS, mensagem em rede social ou app de chat ou até mesmo uma chamada telefônica. O contato tem como objetivo preparar a vítima psicologicamente para concretizar o golpe.
3. Efetivação do golpe: nesta etapa, os criminosos fazem de tudo para concretizar o golpe: convencer a vítima a enviar um valor em dinheiro, instalar alguma coisa, fornecer dados pessoais ou clicar no link enviado, por exemplo.
4. Roubo dos dados: com os dados pessoais roubados, os criminosos concluem o golpe e usam o que conseguiram para aplicar novos golpes contra a mesma vítima, se possível, ou usar os dados para cometer fraudes.

Este é um fluxo simplificado para entender este tipo de golpe, mas é importante lembrar que as estratégias e os processos mudam de acordo com o método escolhido pelos criminosos.

Aproveite todas as oportunidades para fortalecer sua segurança online. Assine a NordVPN hoje e tenha uma garantia de 30 dias de reembolso.

Existe uma imensidão de ataques que se encaixam como ataques de engenharia social. Mas algumas categorias merecem destaque pelo nível de ameaça, a gravidade dos ataques, a frequência com que acontecem e a quantidade de vítimas que fazem.

Ataques de phishing

Os ataques de phishing acontecem quando um cibercriminoso (ou vários cibercriminosos) tentam se passar por uma pessoa, organização, empresa ou até mesmo órgão do governo para entrar em contato com as vítimas e, assim, conseguir uma série de dados e informações pessoais delas.

A tática de phishing consiste, basicamente, em usar e-mails, mensagens, anexos e até páginas web maliciosas com uma imagem de confiabilidade e veracidade.

Quando a vítima abre um e-mail e clica em um link malicioso, por exemplo, ela pode ser direcionada para um website que imita a página de um banco legítimo e, assim, é induzida a preencher formulários com informações de cartão de crédito, senhas de acesso e outras coisas mais.

O objetivo é fazer com que a vítima forneça dados sensíveis e facilite ao máximo o golpe. Os ataques de phishing podem adotar formas e métodos diferentes, e estes são os mais comuns:

• Nome de exibição falso: os e-mails contaminados com links e/ou arquivos anexos maliciosos são enviados com endereços de nomes de domínio que parecem legítimos, mas sempre são diferentes dos meios oficiais usados pelos canais originais de comunicação.
• Links maliciosos: os hackers também enviam e-mails solicitando que as vítimas cliquem em um link para fornecer credenciais ou baixar alguma coisa (em geral, um malware). O objetivo é o mesmo: roubar o máximo de informações pessoais possível.
• Anexos infectados: outra tática muito comum nos ataques de phishing é a de enviar arquivos maliciosos em anexo. Assim, os criminosos disseminam malware disfarçado de programas legítimos. É essencial não abrir estes e-mails, não baixar absolutamente nada, não clicar em nenhum link e nem responder nada caso pareçam suspeitos.

Ataques de angler phishing

Os ataques de angler phishing podem ser categorizados como uma modalidade de phishing. Eles são usados principalmente contra usuários de mídias sociais e, neles, os criminosos usam contas falsas se passando por empresas, organizações ou serviços de atendimento ao consumidor.

No angler phishing, os hackers entram em contato com pessoas que tenham feito alguma reclamação, solicitação, compra ou qualquer outra coisa do tipo com alguma empresa real e se passam por esta empresa. Assim, eles tentam enganar a vítima para que ela forneça informações pessoais com a falsa promessa de solucionar a solicitação ou atender a pessoa.

Em geral, os ataques de angler phishing seguem esta estrutura:

1. O hacker monitora as mídias sociais e espera até que alguém marque (com uma tag ou hashtag, por exemplo) uma empresa para fazer uma reclamação, solicitação ou pergunta sobre um produto, serviço ou outro assunto;
2. Aí, o hacker responde a pessoa fingindo ser alguém do suporte da empresa – tudo com um perfil falso;
3. Durante a comunicação, o criminoso ganha a confiança da vítima e, assim, muitas vítimas repassam informações pessoais na falsa esperança de que o problema será solucionado e de que estão lidando com um representante legítimo da empresa.

É muito importante jamais repassar certas informações para ninguém. Senhas pessoais e dados de acesso não devem ser transferidos para terceiros, mesmo que sejam pessoas se passando por membros da empresa, organização, entidade do governo

Ataques de spear phishing

Eles também são uma categoria de ataque de phishing. O spear phishing é uma modalidade mais complexa de ataque cibernético, o que exige mais esforço por parte dos cibercriminosos mas, em contrapartida, geralmente resulta em uma taxa de sucesso maior.

Neles, os hackers fingem ser alguém que a vítima conhece (um amigo, parente, colega de trabalho, entre outros), o que envolve uma pesquisa prévia sobre os hábitos e o círculo social da vítima – o que também envolve atividade de cyberstalking.

Depois que o criminoso sabe o suficiente sobre a vítima, ele envia um e-mail ou mensagem com algum assunto importante para, assim, conseguir as informações pessoais necessárias para realizar o golpe.

É essencial verificar quem enviou o e-mail, questionar se a solicitação parece normal ou plausível e, diante de qualquer suspeita, jamais responder o e-mail. Se quiser ter certeza da veracidade do conteúdo, peça para uma chamada direta com a pessoa (preferencialmente com vídeo). Criminosos vão se negar a estabelecer este contato porque, obviamente, isto expõe a fraude.

Ataques de smishing

No smishing, os criminosos usam mensagens de SMS para atingir vítimas. Mesmo que pareçam rudimentares, eles conseguem fazer muitas vítimas, o que faz deste tipo de ataque uma das ameaças cibernéticas mais significativas. Os golpistas conseguem números de telefone das vítimas através de bancos de dados roubados vendidos na internet (geralmente na dark web).

Um ataque smishing é feito com uma mensagem SMS geralmente dando informações falsas sobre uma encomenda que a vítima solicitou, um falso comunicado de banco solicitando uma confirmação de identidade ou até algo mais sério, como comunicações sobre algum crime que a vítima supostamente tenha cometido – tudo acompanhado de um link.

Ao clicar no link, a vítima é redirecionada para um website malicioso para roubar dados e informações pessoais ou baixar algum malware usado para invadir o dispositivo.

Ataques de exploit

São ataques cibernéticos que usam vulnerabilidades encontradas em software e hardware para permitir a execução de ações maliciosas por parte dos cibercriminosos. Os ataques de exploit podem ser usados em conjunto com outras formas de ataques cibernéticos listadas aqui e englobam uma gama bastante ampla de ações maliciosas.

Ataques de vishing

Nos ataques de vishing, os criminosos entram em contato com as vítimas se passando por uma organização confiável e legítima. O contato é feito através de chamada telefônica com a vítima.

Os criminosos usam mensagens de voz pré-gravadas, mensagens de texto ou sintetizadores voice-to-text (voz para texto) para esconder a verdadeira identidade deles. E muitos fazem chamadas diretas sem usar estes recursos, fingindo serem funcionários de call centers para tornar o ataque ainda mais convincente.

Golpistas que usam ataques de vishing usam um bom pretexto para entrar em contato com a vítima: falam sobre atividades suspeitas na conta bancária, pagamentos de impostos, recebimentos de prêmios em sorteios, problemas com vírus, renovação ou cancelamento de assinaturas, entre outras coisas.

O principal objetivo é conseguir informações sensíveis e roubar a identidade da vítima. E, em geral, estas informações são usadas em outros ataques de engenharia social.

Os golpistas perguntam por dados pessoais, número de identidade, CPF, senhas do banco, códigos de confirmação (para burlar a autenticação de dois fatores), acesso de redes sociais e até endereços residenciais, além de uma série de outras informações. Mas eles nem precisam de todos estes dados: uma ou duas informações pessoais são o bastante para fazer um estrago e prejudicar as vítimas.

Apesar de parecidos, há diferenças entre o phishing e o vishing. Os ataques de phishing usam mensagens de e-mail e URL, enquanto os ataques de vishing são feitos através de chamadas de voz. No phishing, a vítima pode responder em outro momento, mas as ligações de vishing tem como objetivo roubar as informações da vítima durante a própria chamada.

Você deve fazer algumas perguntas que ajudam a identificar um ataque vishing e se proteger:

• Questione o motivo da chamada: você já ouviu falar desta empresa? Você já comprou ou contratou qualquer coisa deles?
• A oferta é boa demais para ser verdade? Desconfie de descontos, preços, condições e vantagens excessivamente vantajosas. A ganância das vítimas é uma das maiores ferramentas a serviço dos criminosos.
• Diante da recusa, golpistas costumam usar linguagem ofensiva para forçar e pressionar a vítima a passar as informações solicitadas. Um serviço de atendimento ao consumidor age desta forma com os clientes? Diante de qualquer hostilidade, desconfie e encerre a chamada.

Ataques de pretexting

No pretexting, os criminosos usam mensagens bastante convincentes para conseguir a atenção (e os dados) da vítima. Os ataques de pretexting exigem muito mais pesquisa do que outras modalidades de engenharia social.

Neles, os cibercriminosos se passam por parentes, amigos ou conhecidos das vítimas, criando cenários complexos para iludir as pessoas – e, quando os alvos são ambientes corporativos, a intenção é chegar até a vítima com o cargo mais alto possível.

É mais difícil identificar golpistas de pretexting porque eles fornecem uma série de informações reais sobre as vítimas (obtidas de forma criminosa, com stalking ou outras técnicas), o que passa mais credibilidade aos ataques.

Os ataques de pretexting mais comuns são os golpes do falso suporte técnico:

1. Um golpista entra em contato com a vítima se passando por um representante de uma empresa bastante conhecida.
2. Em seguida, eles solicitam ajuda para verificar se um suposto sistema interno de transferências em dinheiro está funcionando corretamente – tudo com o objetivo de ‘’melhorar a experiência do consumidor’’.
3. Se a vítima prosseguir, o golpista pede que a vítima deposite determinada quantia em dinheiro em uma conta específica, além de fornecer as credenciais de acesso.
4. Depois do envio do dinheiro, o hacker rouba o valor e as credenciais da vítima.

Muitas vezes, as vítimas não conseguem nem perceber o que aconteceu. Os criminosos garantem que o valor fica retido e que tudo é parte de uma verificação de rotina. E, em muitos casos, acabam aplicando o golpe na mesma vítima várias vezes.

Ataques de catfishing

Os ataques de catfishing são realizados por golpistas que criam perfis falsos nas redes sociais, geralmente usando fotos genéricas ou até mesmo roubadas de outras pessoas, além de outras informações pessoais para tornar os perfis mais convincentes.

Há vários motivos para criar estes perfis fakes nas redes sociais, desde a facilitação para cometer cyberbullying (os famosos ‘’trolls’’ da internet) até chantagem e manipulação emocional para tomar dinheiro e informações das vítimas.

Uma modalidade muito comum de catfishing é quando o(a) criminoso(a) começa um relacionamento romântico com a vítima e usa este laço emocional para conseguir extorquir dinheiro e obter outras vantagens. A vítima, presa pelas emoções e pelo falso relacionamento, muitas vezes acaba cedendo. Pessoas em vulnerabilidade social e afetiva são os alvos prioritários deste tipo de golpe.

Há alguns sinais importantes que te ajudam a se proteger contra catfishing:

• Desconfie sempre que a pessoa enviar histórias dramáticas demais e sempre pedir ajuda em dinheiro.
• Os golpistas sempre vão inventar alguma desculpa para não falar através de uma ligação e principalmente por meio de chamada de vídeo.
• Eles também sempre inventam uma justificativa para cancelar um encontro pessoal.
• Outro ponto importante é que os golpistas de catfishing tentam marcar encontros em locais privados, e não em locais públicos.

Sempre que conhecer alguém online, exija uma chamada de vídeo e confirme a veracidade das informações que a pessoa te passa. O amor até pode ser cego, mas você sempre precisa abrir os olhos para manter sua segurança.

Ataques de scareware

Nos ataques de scareware, o criminoso ataca a vítima com um bombardeio de mensagens falsas, ameaças e intimidações, inclusive com uso de malware (deception software, rogue scanner software ou fraudware).

O principal objetivo do scareware é enganar a vítima, fazendo com que ela pense que o dispositivo está infectado com malware e mostrando uma mensagem que pede que o usuário instale um software (antivírus) – falso, é claro. Ao invés de detectar vírus e resolver um suposto problema, a vítima baixa malware e permite os ataques dos criminosos.

Estes ataques são feitos especialmente com telas de pop up que aparecem subitamente na tela enquanto a vítima navega por websites maliciosos. O scareware também pode ser feito através do envio de e-mails infectados, principalmente tentando convencer a vítima a comprar serviços inúteis ou maliciosos.

Ataques de diversion theft

Os ataques de diversion theft (ou ‘’roubo de desvio’’) são criados para enganar as vítimas e fazer com que elas enviem informações pessoais para os criminosos. Os golpistas pegam o e-mail da vítima e enviam mensagens falsas fingindo ser de alguma firma de auditoria, instituição financeira, empresa ou algo do tipo.

Quando o golpe dá certo, os criminosos roubam informações confidenciais sobre pessoas, empresas e até organizações de governo. Em muitos casos, conseguem roubar bancos de dados inteiros com listas de clientes e cadastros de empresas.

Ataques de baiting

No baiting, os criminosos tentam convencer as vítimas a fazer algo com a finalidade de permitir ou facilitar a invasão no dispositivo através de malware, inclusive através de dispositivos USB infectados e plataformas de P2P.

Outro método de disseminar malware é através de arquivos aparentemente legítimos: a vítima procura um filme para baixar e, na verdade, acaba fazendo download de vírus. É essencial evitar websites estranhos e conteúdo duvidoso, como programas e arquivos pirateados.

É importante só baixar arquivos e programas através de fontes confiáveis e originais, e jamais conectar dispositivos estranhos em portas USB e outras conexões.

Ataques quid pro quo

Um ataque quid pro quo acontece quando um golpista oferece um falso serviço em troca de informações pessoais. Um dos tipos mais famosos de ataque quid pro quo é o do ‘’príncipe nigeriano’’, quando a vítima recebe um e-mail afirmando que alguém da nobreza da Nigéria morreu e que a pessoa vai receber toda a herança, precisando apenas enviar algum valor para pagar um procedimento legal.

Por mais ridícula que a história seja, muitas vítimas realmente acreditam no que os golpistas falam e, movidas pela ganância, fazem o envio do dinheiro na expectativa de que vão receber muito mais em troca.

Outro tipo bastante comum é o dos falsos técnicos de suporte de TI, que fazem com que a vítima acredite ter algum problema no dispositivo (como um vírus, renovação de assinatura de antivírus, atualização no sistema operacional ou qualquer outra coisa) e, assim, conseguem acesso ao computador da pessoa para ‘’resolver’’ o falso problema. Aí, eles infectam o dispositivo com malware e roubam dados pessoais da vítima.

Ataques de spamming de contato

Nos ataques de spamming de contato, o cibercriminoso tenta hackear o e-mail da vítima, uma conta em uma mídia social ou alguma outra coisa do tipo para entrar em contato com os amigos, familiares e conhecidos das vítimas e enviar alguma mensagem genérica para que a pessoa clique em algum link ou baixe alguma coisa.

Como as mensagens são envidas por perfis falsos que se passam por pessoas conhecidas, as vítimas infelizmente caem muito neste tipo de golpe. Depois de infectar o dispositivo, as mensagens infectadas são enviadas para os contatos da vítima.

O xHelper é um exemplo de programa malicioso muito usado neste tipo de golpe. Ele até consegue se reinstalar mesmo tendo sido excluído. Então é essencial se prevenir contra este tipo de ataque.

Os ataques de engenharia social causam danos tanto aos indivíduos quanto à sociedade como um todo – e até a economia de cidades, regiões e países. Eles geram perdas econômicas, fraudes, roubo de identidade e uma série de problemas pessoais causados pelos golpes.

Além disto, eles geral um imenso prejuízo para a infraestrutura das empresas, inutilizando equipamentos que são infectados, comprometendo redes inteiras e expondo os dados de funcionários, clientes e transações financeiras.

Em casos mais graves, os ataques de engenharia social podem gerar a perda de vidas por pessoas que se desesperam pelas perdas financeiras ou pelas chantagens e ameaças feitas pelos criminosos.

Os prejuízos são tanto materiais quanto psicológicos. Além da perda de dinheiro, as vítimas são afetadas psicologicamente por conta dos ataques e das consequências deles. As táticas de engenharia social precisam ser levadas a sério pelas pessoas e pelos governos que deveriam combater com mais eficácia este tipo de crime.

As táticas de engenharia social são muito perigosas, mas você pode tomar algumas medidas para proteger seus computadores, dispositivos móveis e seus dados em geral. Aqui, separamos 7 dicas para melhorar sua cybersegurança:

1. Procure informações sobre as táticas de engenharia social: o desconhecimento é o maior aliado dos criminosos e se atualizar sobre as táticas aplicadas pelos golpistas é seu melhor recurso. Saber como os ataques de engenharia social funcionam é o primeiro passo para se proteger contra eles.
2. Tenha muito cuidado e cautela: a maioria dos ataques de engenharia social podem ser evitados com simples dúvidas e questionamentos. Verifique a identidade das pessoas com as quais você se comunica, tome muito cuidado com e-mails e mensagens que você recebe e lembre-se de que, se algo parece bom demais para ser verdade, então provavelmente é mentira.
3. Preste atenção nos erros: empresas reais e organizações legítimas verificam o conteúdo antes de enviá-lo para as pessoas. Hackers, por outro lado, podem não ter este nível de atenção aos detalhes. Erros de ortografia e gramática são alguns indicativos de que uma mensagem é parte de um golpe. Além disto, os websites falsos sempre terão diferenças em relação aos websites reais: preste atenção no link e no layout do site e você com certeza vai encontrar um indício de que se trata de um golpe.
4. Faça perguntas: se tiver dúvidas sobre algo, pergunte. Não aceite as histórias e o que te dizem sem questionar. As mentiras inventadas pelos golpistas sempre deixam pontas soltas.
5. Cuidado com o que você baixa: tome cuidado com o que você coloca no seu dispositivo e só baixe programas e arquivos através de fontes confiáveis. Outra dica importante é baixar extensões úteis para seu navegador (como um bloqueador de anúncios e um bloqueador de rastreador, por exemplo).
6. Pense antes de compartilhar informações: cuidado com o que você posta nas redes sociais e com o nível de exposição da sua vida privada. Criminosos adoram quando as vítimas compartilham informações, e quanto mais elas se expõem mais eles conseguem saber sobre elas.
7. Use uma boa VPN: uma VPN profissional protege sua conexão com criptografia, o que torna o fluxo de dados mais seguro e menos exposto aos criminosos. A NordVPN conta com Proteção Contra Ameaças (o que inclui proteção contra malware) e te protege das táticas de engenharia social e de inúmeros outros perigos cibernéticos.