12 tipos de ataques de engenharia social

Dá-se o nome de engenharia social (do inglês social engineering) à arte de usar a manipulação psicológica para levar as pessoas a cometer uma ação que comprometa a sua segurança informática, em benefício dos malfeitores que a usam. Os “engenheiros sociais” usam geralmente emoções fortes para levar as pessoas a agir com base num pensamento toldado: stress, ganância, confiança total, desconfiança/indignação, desejo, etc.

Os ataques de engenharia social, se bem executados, levam a vítima a dar ao atacante aquilo que ele quer, sem que se apercebam. No mundo físico, associamos o perfil de vítima destes ataques a idosos, enganados por estranhos que se apresentam como técnicos da Segurança Social, de eletricidade ou telecomunicações. No mundo digital, o perfil de vítima é muito, mas mesmo muito mais alargado – toda a gente pode “cair”.

Conheça os exemplos mais comuns de ataques de engenharia social.

O phishing acontece quando o cibercriminoso tenta fazer-se passar por outra pessoa ou entidade. A vítima recebe um e-mail que parece ser do seu banco, da Autoridade Tributária ou outra entidade governamental, de uma empresa de entregas ou até de um seu colega de trabalho. O objetivo é levar a vítima a clicar num link e/ou descarregar um ficheiro que instale malware, ou que preencha dados pessoais num formulário – sempre pensando que está a contactar com alguém de confiança.

Imagine dois indivíduos mascarados de agentes da autoridade que simulam uma operação stop e exigem à vítima o pagamento imediato de uma multa. Muitas pessoas não desconfiariam. Claro que é difícil tal coisa se não se tiver um carro-patrulha das autoridades. Online é muito mais fácil executar um golpe deste género.

Há várias técnicas associadas ao phishing:

• Nome falso. O e-mail tem o aspeto de vir da Netflix ou da EDP, mas se reparar no endereço de envio do e-mail verá, por exemplo, edpclientes@gmail.com.
• Links falsos. O cibercriminoso pede à vítima que aceda à sua conta de utilizador, “clicando no seguinte link”. Movida por um nome falso que parece verdadeiro, ou curiosa por perceber que estranho mail é este, a vítima clica no link – que a encaminha para um site infetado, associado a um servidor que lhe envia malware.
• Anexos de e-mail. Pede-se à vítima que descarregue um anexo, que pode ser uma fatura, um convite, etc., e que instalará malware no aparelho. Também poderá (ou não) vir associado a uma marca ou entidade de confiança da vítima.

Proteja a sua identidade online e informação pessoal com a NordVPN.

Angler significa “pescador à linha” ou ao “anzol”. Estes ataques acontecem em ambiente de redes sociais. O ciberatacante dirige-se a pessoas que tenham feito uma reclamação junto de um serviço e tenta obter os seus dados pessoais. Funciona assim:

• Uma pessoa faz “tag” a uma empresa ou serviço público, com uma queixa ou dúvida.
• O atacante contacta a pessoa, usando uma conta falsa, e apresenta-se como sendo do apoio ao cliente da empresa ou serviço público em questão.
• Após uma conversa inicial para ganhar confiança e deixar a pessoa à vontade, o atacante pede a password e outros dados pessoais, afirmando serem necessários para esclarecer o problema.

Spear significa “dardo” ou “lança”. Tal como o “angler”, o “spear” atinge pessoas individuais (ao contrário do phishing, lançado a grandes massas). Dá mais trabalho, mas é muito mais eficiente, logo, mais perigoso. Empresários, profissionais liberais, políticos, desportistas famosos, influentes, ativistas e outras pessoas com grande responsabilidade e visibilidade pública são vítimas preferenciais. Vale a pena ao criminoso trabalhar para recolher dados pessoais de modo a lançar um ataque – e as redes sociais são excelentes para obter esta informação.

Conhecendo o endereço de e-mail, os gostos, os amigos e relações da vítima, torna-se mais fácil simular que se é um amigo próximo e pedir acesso à conta de Facebook. Ou simular que se é um patrão, sócio ou gestor de conta e solicitar dados ou uma autorização para uma transferência de dinheiro.

Defenda-se de spear phishing:

• Confirme a origem do e-mail ou da mensagem
• Pense se lhe parece razoável o pedido que lhe está a ser feito
• Se lhe parece suspeito, não responda. Contacte a pessoa por outra via (telefonema, etc.), ou espere até se encontrar pessoalmente com ela.

“Smishing” mistura SMS e phishing. Trata-se de ataques por SMS, um meio que as pessoas ainda associam pouco a phishing e que por isso tem mais hipóteses de sucesso. À partida, quem tem o seu número de telemóvel conhece-o pessoalmente – mas esta ideia é antiquada, pois cada vez mais os hackers conseguem aceder a dados de contactos individuais.

O conceito, porém, é idêntico: o atacante tenta convencer a vítima a confirmar uma encomenda ou resolver uma situação urgente no banco, ou a pagar uma fatura. Para tal deverá clicar num link ou responder com uma SMS de volta preenchendo dados pessoais. A vítima pode também ser levada para um site falso onde lhe será pedido que preencha mais dados.

Vishing mistura Voz e phishing. Trata-se de ataques por via telefónica, seja com mensagens pré-gravadas (que simulam as feitas, por exemplo, por operadoras de telecomunicações.) Nos casos mais graves, poderá existir um “call center” com atacantes que se atrevem a falar telefonicamente com as vítimas.

Repete-se o conceito: poderá ser “o banco” a pedir ao cliente que resolva um problema, uma “empresa” a pedir o pagamento de uma fatura, etc.

Veja como até já nos afastámos do conceito do hacker ligado a computadores: neste caso o que é usado é um telefone. No exemplo abaixo, que publicamos apesar de estar em inglês, é feita uma demonstração numa conferência de hacking em Las Vegas: uma especialista em hacking contacta a operadora de telecomunicações da vítima, alegando ser namorada da vítima, juntando sons de um bebé para dar realismo à chamada. Conhecendo o número de telefone da vítima, e o nome da namorada, consegue intrujar o apoio ao cliente da operadora e ganhar acesso à conta de utilizador da vítima. Aí terá acesso a mais dados pessoais reais.

Faça perguntas, desconfie:

• Já se relacionou com esta empresa, que está a ligar para si, alguma vez?
• Estão a prometer grandes ganhos ou uma oferta demasiado boa?
• Estão a pressionar ou a adotar um tom agressivo para que lhes responda?

Esteja atento a estes sinais de vishing.

O pretexting é muito semelhante ao spear phishing, apontando a pessoas individuais e não a grandes grupos. A principal diferença é que, enquanto no spear phishing há um apelo ao medo ou à urgência, no pretexting o atacante cria confiança e uma relação com a vítima. Se esta não se aperceber do que está a acontecer, pode ser ainda mais perigoso.

Usando conhecimentos sobre a vítima (por exemplo, onde trabalha, quem são os seus colegas, amigos, clientes, etc.), o atacante adota uma identidade falsa e cria uma relação com a vítima. É fácil obter esses conhecimentos facilidade recorrendo ao dorking do Google.

Um exemplo pode ser o do técnico da empresa cliente ou fornecedora para onde a vítima trabalha. Suficientemente próximo para ser credível, mas suficientemente distante para que não tivessem de se conhecer pessoalmente. O falso técnico pode, usando o pretexto da relação entre empresas, levar a vítima a aceder a um site e deixar lá dados pessoais.

O catfishing consiste na criação de um perfil falso numa rede social e no estabelecimento de uma relação digital falsa com a vítima. Cada vez mais as pessoas aderem a conhecer outras em ambiente online. Porém, é relativamente simples obter uma fotografia de um desconhecido, criar um nome falso, morada falsa, etc., e simular que se é outra pessoa. O crime de usurpação de identidade é atualmente mais simples de cometer.

• Uma amizade online que se tenha revelado satisfatória pode a qualquer momento lançar sinais de alerta:
• O amigo conta histórias de desgraças que lhe aconteceram e pede dinheiro;
• O amigo repete sucessivamente que a webcam nunca funciona ou que o telefone não funciona; naturalmente, recusa encontrar-se pessoalmente, dando sempre desculpas para tal;
• O amigo concorda em conhecer a vítima pessoalmente, mas cancela sempre à última hora;
• O amigo combina que se conheçam num local particular, e não público.

Tal como o pretexting, o catfishing é um dos tipos de burla online mais insidiosos, pois implica uma relação pessoal entre o burlão e a vítima, e não apenas uma “armadilha” lançada através de software como veremos no caso seguinte.

Scare significo “susto”. Scareware é “software de susto”, destinado a assustar a vítima. Trata-se de uma forma de malware, que atua de forma bastante irónica. A vítima começa a ser bombardeada com ads repetidos, e/ou com avisos de que o computador ou telemóvel foi infetado com vírus. A pessoa sente medo e pensa que tal será verdade. O scareware acrescenta um link para instalar um antivírus grátis ou um “scan” ao aparelho para se livrar de vírus. A pessoa clica – mas é então que é instalado não um simples scareware mas uma ferramenta de malware mais poderosa.

Associados ao uso do e-mail, estes ataques são parecidos na natureza ao pretexting, mas mais simples de executar. O ciberatacante envia um ataque a partir de um e-mail legítimo de modo a convencer a vítima que se trata realmente de um colega, cliente ou parceiro.

Hoje em dia já não basta verificar o endereço de envio. Hackers sofisticados conseguem enviar ataques de diversão a partir de endereços legítimos. Contornam os sistemas básicos dos serviços de e-mail e convencem a pessoa mais facilmente de que se trata de algo legítimo.

O atacante convencerá assim a vítima a ceder dados pessoais ou a descarregar um anexo que instale malware no seu aparelho.

Antes, os engenheiros sociais usavam uma pen drive com um rótulo a indicar algo como “Contabilidade da empresa” e deixavam-na próximo da vítima. Movida pela curiosidade, a vítima inseria a pen num computador – onde automaticamente era instalado malware.

Atualmente é mais frequente que iscas deste género surjam sob a forma de sites P2P ou de streaming falsos. A vítima julga estar a aceder a um filme ou série e está a descarregar e instalar malware no seu aparelho.

Duas dicas para evitar o baiting:

1. Use serviços anti-malware ou similares, como Proteção contra vírus e ameaças da NordVPN que é especialmente competente a protegê-lo se visitar sites distribuidores de malware.
2. Aceda apenas a sites que conhece bem ou de confiança. Pesquise sobre uma empresa que não conhece antes de comprar nela. Confirme se se trata de uma empresa real, com NIPC ou equivalente estrangeiro; visite o website e confirme se tem um aspeto profissional; consulte opiniões de outros clientes que já tenham comprado, ou se tem referências na comunicação social.

Trata-se de ataques em que o atacante oferece um serviço em troca de informação. O famoso ataque do “príncipe nigeriano” era deste género, embora acabasse por solicitar também o envio de dinheiro por parte da vítima. Os ataques quid pro quo continuam a ser relevantes, até porque são bem mais elaborados.

Por exemplo, o hacker simula ser um especialista em informática por parte de uma empresa prestigiada. Se a vítima tiver algum problema recorrente com o computador (e muitas pessoas têm!), sentir-se-á tentada a dar acesso à sua máquina ao “especialista”.

O hacker “pega” numa conta de rede social e envia uma mensagem, em nome dessa conta, a todos os seus amigos da rede – para clicar num link e, por exemplo, “ver um vídeo tão engraçado”. Alguns desses amigos, vendo uma mensagem de uma pessoa em quem confiam, clicarão. E assim infetarão os seus computadores com malware.

A segurança na internet começa em si, nos seus comportamentos e atitudes, e nas técnicas e instrumentos que utiliza para se defender. Veja como proteger-se.

1. Aprenda e conheça os diferentes tipos de ataques. Se tem uma empresa ou equipa a seu cargo, eduque-os neste sentido. Faça testes de penetração: lance ataques à sua equipa e veja se eles caem na esparrela.
2. Esteja alerta, tão alerta como está relativamente a quem deixa entrar em sua casa. Desconfie de links, vídeos, mensagens, propostas muito boas ou urgências inadiáveis.
3. Esteja atento aos erros. Pode haver erros de português; mensagens escritas em português do Brasil, embora aparentemente enviadas de Portugal; erros de design ou imagem. Nenhuma empresa profissional os deixa passar na quantidade que normalmente os cibercriminosos deixam.
4. Faça perguntas. Questione quer o tom amigável quer o tom agressivo de alguém que lhe pareça estranho, ao telefone ou online. Procure inconsistências no que dizem.
5. Partilhe a menor quantidade possível de informação online. Essa informação será usada contra si por ciberatacantes, em ataques de engenharia social.
6. Cuide do seu software. Use filtros de spam, proceda a atualizações frequentes do sistema operativo e dos programas instalados, use um software antivírus e extensões de browser.
7. Use uma VPN. Uma virtual private network (rede privada virtual) disfarça a sua identidade online e impede hackers de intercetar as suas comunicações, principalmente ao aceder a redes públicas. A funcionalidade Proteção contra vírus e ameaças da NordVPN, adicionalmente, impede-o de visitar sites maliciosos, ajudando a proteger o seu aparelho e rede.