Toda a gente se julga a salvo de esquemas e artimanhas online – até mesmo as pessoas que caem neles. Os ataques de engenharia social baseiam-se em técnicas poderosas e eficientes usadas por hackers, ladrões e outros ciberatacantes para aceder a computadores ou sistemas e comprometer a segurança das vítimas. A vítima só precisa de dois a três segundos de distração. Conheça estas técnicas e ponha-se a salvo das armadilhas.
Tabela de Conteúdo
Dá-se o nome de engenharia social (do inglês social engineering) à arte de usar a manipulação psicológica para levar as pessoas a cometer uma ação que comprometa a sua segurança informática, em benefício dos malfeitores que a usam. Os “engenheiros sociais” usam geralmente emoções fortes para levar as pessoas a agir com base num pensamento toldado: stress, ganância, confiança total, desconfiança/indignação, desejo, etc.
Os ataques de engenharia social, se bem executados, levam a vítima a dar ao atacante aquilo que ele quer, sem que se apercebam. No mundo físico, associamos o perfil de vítima destes ataques a idosos, enganados por estranhos que se apresentam como técnicos da Segurança Social, de eletricidade ou telecomunicações. No mundo digital, o perfil de vítima é muito, mas mesmo muito mais alargado – toda a gente pode “cair”.
Conheça os exemplos mais comuns de ataques de engenharia social.
O phishing acontece quando o cibercriminoso tenta fazer-se passar por outra pessoa ou entidade. A vítima recebe um e-mail que parece ser do seu banco, da Autoridade Tributária ou outra entidade governamental, de uma empresa de entregas ou até de um seu colega de trabalho. O objetivo é levar a vítima a clicar num link e/ou descarregar um ficheiro que instale malware, ou que preencha dados pessoais num formulário – sempre pensando que está a contactar com alguém de confiança.
Imagine dois indivíduos mascarados de agentes da autoridade que simulam uma operação stop e exigem à vítima o pagamento imediato de uma multa. Muitas pessoas não desconfiariam. Claro que é difícil tal coisa se não se tiver um carro-patrulha das autoridades. Online é muito mais fácil executar um golpe deste género.
Há várias técnicas associadas ao phishing:
Proteja a sua identidade online e informação pessoal com a NordVPN.
Angler significa “pescador à linha” ou ao “anzol”. Estes ataques acontecem em ambiente de redes sociais. O ciberatacante dirige-se a pessoas que tenham feito uma reclamação junto de um serviço e tenta obter os seus dados pessoais. Funciona assim:
Spear significa “dardo” ou “lança”. Tal como o “angler”, o “spear” atinge pessoas individuais (ao contrário do phishing, lançado a grandes massas). Dá mais trabalho, mas é muito mais eficiente, logo, mais perigoso. Empresários, profissionais liberais, políticos, desportistas famosos, influentes, ativistas e outras pessoas com grande responsabilidade e visibilidade pública são vítimas preferenciais. Vale a pena ao criminoso trabalhar para recolher dados pessoais de modo a lançar um ataque – e as redes sociais são excelentes para obter esta informação.
Conhecendo o endereço de e-mail, os gostos, os amigos e relações da vítima, torna-se mais fácil simular que se é um amigo próximo e pedir acesso à conta de Facebook. Ou simular que se é um patrão, sócio ou gestor de conta e solicitar dados ou uma autorização para uma transferência de dinheiro.
Defenda-se de spear phishing:
“Smishing” mistura SMS e phishing. Trata-se de ataques por SMS, um meio que as pessoas ainda associam pouco a phishing e que por isso tem mais hipóteses de sucesso. À partida, quem tem o seu número de telemóvel conhece-o pessoalmente – mas esta ideia é antiquada, pois cada vez mais os hackers conseguem aceder a dados de contactos individuais.
O conceito, porém, é idêntico: o atacante tenta convencer a vítima a confirmar uma encomenda ou resolver uma situação urgente no banco, ou a pagar uma fatura. Para tal deverá clicar num link ou responder com uma SMS de volta preenchendo dados pessoais. A vítima pode também ser levada para um site falso onde lhe será pedido que preencha mais dados.
Vishing mistura Voz e phishing. Trata-se de ataques por via telefónica, seja com mensagens pré-gravadas (que simulam as feitas, por exemplo, por operadoras de telecomunicações.) Nos casos mais graves, poderá existir um “call center” com atacantes que se atrevem a falar telefonicamente com as vítimas.
Repete-se o conceito: poderá ser “o banco” a pedir ao cliente que resolva um problema, uma “empresa” a pedir o pagamento de uma fatura, etc.
Veja como até já nos afastámos do conceito do hacker ligado a computadores: neste caso o que é usado é um telefone. No exemplo abaixo, que publicamos apesar de estar em inglês, é feita uma demonstração numa conferência de hacking em Las Vegas: uma especialista em hacking contacta a operadora de telecomunicações da vítima, alegando ser namorada da vítima, juntando sons de um bebé para dar realismo à chamada. Conhecendo o número de telefone da vítima, e o nome da namorada, consegue intrujar o apoio ao cliente da operadora e ganhar acesso à conta de utilizador da vítima. Aí terá acesso a mais dados pessoais reais.
Faça perguntas, desconfie:
Esteja atento a estes sinais de vishing.
O pretexting é muito semelhante ao spear phishing, apontando a pessoas individuais e não a grandes grupos. A principal diferença é que, enquanto no spear phishing há um apelo ao medo ou à urgência, no pretexting o atacante cria confiança e uma relação com a vítima. Se esta não se aperceber do que está a acontecer, pode ser ainda mais perigoso.
Usando conhecimentos sobre a vítima (por exemplo, onde trabalha, quem são os seus colegas, amigos, clientes, etc.), o atacante adota uma identidade falsa e cria uma relação com a vítima. É fácil obter esses conhecimentos facilidade recorrendo ao dorking do Google.
Um exemplo pode ser o do técnico da empresa cliente ou fornecedora para onde a vítima trabalha. Suficientemente próximo para ser credível, mas suficientemente distante para que não tivessem de se conhecer pessoalmente. O falso técnico pode, usando o pretexto da relação entre empresas, levar a vítima a aceder a um site e deixar lá dados pessoais.
O catfishing consiste na criação de um perfil falso numa rede social e no estabelecimento de uma relação digital falsa com a vítima. Cada vez mais as pessoas aderem a conhecer outras em ambiente online. Porém, é relativamente simples obter uma fotografia de um desconhecido, criar um nome falso, morada falsa, etc., e simular que se é outra pessoa. O crime de usurpação de identidade é atualmente mais simples de cometer.
Scare significo “susto”. Scareware é “software de susto”, destinado a assustar a vítima. Trata-se de uma forma de malware, que atua de forma bastante irónica. A vítima começa a ser bombardeada com ads repetidos, e/ou com avisos de que o computador ou telemóvel foi infetado com vírus. A pessoa sente medo e pensa que tal será verdade. O scareware acrescenta um link para instalar um antivírus grátis ou um “scan” ao aparelho para se livrar de vírus. A pessoa clica – mas é então que é instalado não um simples scareware mas uma ferramenta de malware mais poderosa.
Associados ao uso do e-mail, estes ataques são parecidos na natureza ao pretexting, mas mais simples de executar. O ciberatacante envia um ataque a partir de um e-mail legítimo de modo a convencer a vítima que se trata realmente de um colega, cliente ou parceiro.
Hoje em dia já não basta verificar o endereço de envio. Hackers sofisticados conseguem enviar ataques de diversão a partir de endereços legítimos. Contornam os sistemas básicos dos serviços de e-mail e convencem a pessoa mais facilmente de que se trata de algo legítimo.
O atacante convencerá assim a vítima a ceder dados pessoais ou a descarregar um anexo que instale malware no seu aparelho.
Antes, os engenheiros sociais usavam uma pen drive com um rótulo a indicar algo como “Contabilidade da empresa” e deixavam-na próximo da vítima. Movida pela curiosidade, a vítima inseria a pen num computador – onde automaticamente era instalado malware.
Atualmente é mais frequente que iscas deste género surjam sob a forma de sites P2P ou de streaming falsos. A vítima julga estar a aceder a um filme ou série e está a descarregar e instalar malware no seu aparelho.
Duas dicas para evitar o baiting:
Trata-se de ataques em que o atacante oferece um serviço em troca de informação. O famoso ataque do “príncipe nigeriano” era deste género, embora acabasse por solicitar também o envio de dinheiro por parte da vítima. Os ataques quid pro quo continuam a ser relevantes, até porque são bem mais elaborados.
Por exemplo, o hacker simula ser um especialista em informática por parte de uma empresa prestigiada. Se a vítima tiver algum problema recorrente com o computador (e muitas pessoas têm!), sentir-se-á tentada a dar acesso à sua máquina ao “especialista”.
O hacker “pega” numa conta de rede social e envia uma mensagem, em nome dessa conta, a todos os seus amigos da rede – para clicar num link e, por exemplo, “ver um vídeo tão engraçado”. Alguns desses amigos, vendo uma mensagem de uma pessoa em quem confiam, clicarão. E assim infetarão os seus computadores com malware.
A segurança online começa com um clique.
Fique em segurança com a principal VPN do mundo