Os ataques de engenharia social consistem em um conjunto poderoso de técnicas que hackers, golpistas e ladrões usam para comprometer sua segurança e roubar dados valiosos. Aprenda suas estratégias para não cair na armadilha deles.

O que é engenharia social?

Ataques de engenharia social são a arte de usar manipulação psicológica para fazer com que você divulgue informações confidenciais ou execute uma determinada ação. Confiança, estresse e ganância são sentimentos naturais que os engenheiros sociais usam contra você para obscurecer seu julgamento. Em um mundo digital, os ataques de engenharia social diferem da engenharia social em um contexto de ciências sociais, onde a última não envolve a divulgação de informações confidenciais.

Continue lendo para aprender mais sobre os ataques de engenharia social mais comuns e como se proteger contra eles.

Exemplos de engenharia social

Ataques de phishing

O phishing acontece quando um cibercriminoso usa e-mails para se passar por outra pessoa. Eles geralmente fingem ser o seu banco, o governo, uma empresa de entregas ou qualquer outra organização em que você confia. O objetivo é que você abra um e- mail de phishing e baixe um anexo que esconde malware ou clique em links suspeitos. Eles querem induzi-lo a divulgar informações confidenciais, como suas credenciais de login, número do seguro social ou número do cartão do banco.

O phishing pode assumir diferentes formas e usar métodos diferentes. Os mais comuns incluem:

Um nome de exibição falsificado . O e-mail parecerá ter sido enviado de uma organização legítima, mas o nome de domínio será totalmente diferente. Por exemplo, pode ser semelhante ao Netflix, mas se você passar o mouse sobre 'Remetente', verá que o e-mail veio de netflix@gmail.com (um exemplo hipotético).

Links incorporados . Os hackers sociais podem enviar um e-mail pedindo que você clique em um link e faça login novamente em sua conta (mesmo que você não tenha alterado sua atividade nesse site). O URL falsificado levará a um site infectado. Uma forma de se proteger é clicar com o botão direito do mouse no link e verificar o endereço para ver se ele parece legítimo.

Anexos de email . Faturas, confirmações de pedidos, convites para eventos, etc. podem ser usados ​​para disfarçar vírus ou malware. Não os abra nem responda ao remetente se parecerem suspeitos. Rascunhe um novo e-mail para a pessoa que você acha que lhe enviou o e-mail.

Ataques de phishing Angler

Os ataques de phishing do Angler visam usuários de mídia social por meio de contas falsificadas de atendimento ao cliente. Em um ataque de pescador phishing, o hacker de engenharia social scammer alcançará clientes que reclamaram recentemente e tentará obter suas informações pessoais ou credenciais de conta em meio a seu elaborado esquema.

Aqui está um exemplo de ataque de angler phishing:

O invasor monitora feeds de mídia social e espera que alguém faça uma @tag em uma empresa específica com uma reclamação ou pergunta sobre sua conta.

O invasor responde se passando por equipe de suporte ao cliente da empresa usando uma conta falsa de mídia social.

Algumas mensagens depois, a confiança é conquistada e a maioria das pessoas entrega voluntariamente suas senhas e outras informações confidenciais para tentar ajudar a resolver seus problemas.

Ataques de spear phishing

Spear phishing é um tipo de phishing que requer mais esforço, mas também apresenta uma taxa de sucesso mais alta. E-mails de phishing podem ser enviados a milhares de pessoas, enquanto o spear phishing tem como alvo indivíduos e pequenos grupos. Eles geralmente fingem ser uma pessoa específica em quem você confia ou, em um ambiente de trabalho, a quem se reporta.

Para que esse ataque de engenharia social funcione, os hackers precisam fazer algumas pesquisas sobre suas vítimas e usar essas informações contra elas. A mídia social é uma mina de ouro para essa tarefa. Os hackers podem reunir quase todas as informações, ou seja, endereço de e-mail, marcas em que você confia e segue, seus amigos, etc. Assim que a pesquisa for concluída, o hacker enviará um e-mail à vítima com um pretexto realista para obter mais informações. O hacker enviará um e-mail à vítima com um pretexto realista para obter mais informações.

Por exemplo, em um nível individual, os hackers podem fingir ser seu melhor amigo e solicitar acesso à sua conta do Facebook. No nível empresarial, eles podem fingir ser o CEO de uma empresa para a qual você trabalha e solicitar a transferência imediata de fundos para um "novo projeto".

Os ataques de spear-phishing são difíceis, mas não impossíveis de reconhecer. Para se proteger:

Os ataques de spear-phishing são difíceis, mas não impossíveis de reconhecer. Para se proteger:

Verifique a fonte do e-mail.

Pergunte a si mesmo se parece um pedido normal.

Se parecer suspeito, não responda ao e-mail e entre em contato com a pessoa diretamente. Faça isso enviando a eles um e-mail separado, ligando para eles ou esperando para falar com eles diretamente.

Ataques de smishing

Os ataques de smishing usam mensagens de texto SMS, ao contrário dos ataques de phishing que usam e-mail, por exemplo. Smishing provou ser bastante eficaz porque tende a ser um tipo de ataque pessoal e direcionado. As pessoas também são muito mais propensas a cair em ataques de smishing do que em outros tipos de ataques, já que geralmente pensam que qualquer pessoa que tenha seu número de celular será um contato confiável.

Na realidade, um golpista provavelmente roubou seu número de telefone por meio de bancos de dados hackeados ou o comprou na dark web. Um ataque comum de smishing pode parecer uma mensagem de texto solicitando que você reorganize a entrega de um pacote clicando em um link. Ou pode vir na forma de uma mensagem de um banco que você nem conhece, pedindo que você confirme sua identidade clicando em um link.

Esses links de smishing são perigosos. Eles geralmente direcionam você para sites maliciosos que podem roubar ainda mais seus dados, ou o próprio link pode baixar malware em seu dispositivo se você clicar nele. Sempre tome cuidado com ataques de engenharia social como esses.

Ataques vishing

Vishing é mais um tipo de phishing no mundo da engenharia social. Esses golpistas fingirão que estão entrando em contato com você de uma organização confiável, usando uma rota antiquada - o telefone. Primeiro, eles vão falsificar o número de telefone para se passar por você ou por uma empresa em que você confia. Hackers de engenharia social como esses podem usar mensagens de voz pré-gravadas, mensagens de texto ou sintetizadores de voz para texto para mascarar suas identidades. Outros até usarão humanos de centrais de atendimento fraudulentas para tornar o ataque mais convincente.

Os hackers de Vishing usarão um pretexto convincente, como atividade suspeita em sua conta bancária, impostos pagos em excesso / insuficientes, ganhos em concursos etc. Independentemente da técnica ou do pretexto, seu objetivo principal é obter suas informações confidenciais, que podem ser usadas para outros ataques de engenharia social ou para roubar sua identidade.

Qual é a diferença entre ataques de phishing e vishing?

Em um ataque de vishing, os golpistas usam phishing de voz para obter suas informações pessoais ou financeiras. Essas informações podem ser o número da sua conta bancária e o código de classificação, número de telefone, endereço de e-mail ou endereço residencial. Mesmo uma ou duas pequenas informações podem ajudar um hacker a roubar sua identidade inteira.

Os ataques de phishing são realizados em plataformas como e-mail ou URLs falsificados. Nesses casos, um golpista enviará a você um e-mail com algum tipo de cenário urgente, mas totalmente sem sentido, para manipulá-lo e fazê-lo enviar dados confidenciais.

Ataques de pretextos

Pretexting é um ataque de engenharia social que também pode ser comparado ao phishing, pois também usa um pretexto atraente e emocionante. No entanto, se o phishing se baseia no medo e na urgência, o pretexto é o oposto - é baseado na confiança e no relacionamento.

Pretexting requer muito mais pesquisa do que outras técnicas de engenharia social. Esses cibercriminosos fingirão ser seus amigos ou colegas. Eles não vão apenas mentir, eles vão inventar um cenário completo para enganá-lo que pode incluir personalidades falsas, imagens de produtos e até mesmo jargões da indústria. Em um ambiente corporativo, esses hackers vão progredindo e não vão parar com um único ataque. Geralmente, o objetivo é obter informações de alguém com um determinado nível de antiguidade.

Pode ser difícil identificar golpistas pretextos devido à quantidade de pesquisa e esforço que eles colocam para criar sua personalidade falsa. No entanto, se alguém parecer muito amigável e pedir dados que você não deveria compartilhar com ninguém, não tenha medo de questioná-los, pois pode ser um ataque de engenharia social.

Aqui está um exemplo de pretexto de um golpe de suporte técnico:

Um representante de suporte técnico de uma empresa conhecida liga para você.

Eles pedem que você os ajude a verificar se um sistema interno de transferência de dinheiro está funcionando corretamente, para ajudar a melhorar a experiência do cliente.

Se você concordar, eles pedem que você transfira dinheiro para uma conta bancária designada, bem como suas informações de login para esta empresa.

Depois de transferir o dinheiro, o hacker rouba o dinheiro e suas credenciais de login.

Obviamente, fingir que hackers vão garantir que a transferência de dinheiro será retida temporariamente e que tudo faz parte das verificações de rotina da empresa. Tendo se identificado com credenciais falsas, esses cibercriminosos parecem confiantes, confiáveis ​​e profissionais. A abordagem deles é perfeita para fazer você acreditar que eles são reais.

Ataques de pesca do gato

Catfishing é quando os golpistas criam perfis de mídia social falsos usando fotos de outras pessoas, vídeos e até mesmo suas informações pessoais. Essas identidades falsas geralmente são usadas para intimidar ou buscar atenção (assim como relacionamentos românticos). Às vezes, eles também podem ser usados ​​para extrair dinheiro ou dados pessoais da vítima, que mais tarde podem ser usados ​​em outros ataques de engenharia social ou para roubar sua identidade.

Se você fez um amigo online que é extremamente legal, mas constantemente encontra desculpas para não se encontrar pessoalmente ou para compartilhar informações sobre si mesmo, é muito provável que você esteja sendo enganado. Aqui estão alguns sinais de alerta:

Histórias lamentáveis ​​e pedidos de doação de dinheiro;

Desculpas estranhas, como por que sua webcam ou telefone não funcionam;

Desculpas para não atender ou cancelamentos de última hora devido a emergências pessoais;

Oferecendo-se para se encontrar em algum lugar privado, em vez de em um local público.

Ataques de Scareware

Se você for bombardeado com mensagens de alarme falsas ou ameaças fictícias, pode ser um scareware. O scareware pode ser referido como software fraudulento, software de scanner desonesto ou fraudware.

Em um ataque de scareware, você é levado a pensar que seu dispositivo está infectado com malware, solicitando que você instale um software que baixa malware real em seu dispositivo.

O scareware pode parecer um banner pop-up que aparece repentinamente enquanto você está navegando, dizendo algo como “Seu computador pode estar infectado por um vírus”. Se você clicar neste banner, será solicitado a instalar uma ferramenta que o ajudará a se livrar do suposto vírus ou será direcionado a um site malicioso que pode infectar ainda mais o seu dispositivo.

Também é importante notar que, nesses tipos de ataques de engenharia social, o scareware também pode ser distribuído por e-mail de spam que pode tentar convencê-lo a comprar serviços inúteis ou prejudiciais.

Ataques de roubo de desvio

Ataques de roubo de desvio são projetados para induzi-lo a enviar informações confidenciais a eles. Ao falsificar seu endereço de e-mail, um ladrão de desvio fingirá ser de uma empresa de auditoria, instituição financeira ou mesmo alguém do seu local de trabalho.

Se um ataque de roubo de desvio for bem-sucedido, o ladrão pode obter informações altamente confidenciais sobre uma empresa, como informações de contas, arquivos que contêm previsões e planos da empresa, informações de clientes ou mesmo informações pessoais sobre os funcionários da empresa.

Ataques de isca

Este ataque de engenharia social usa uma isca para persuadir você a fazer algo que permita ao hacker infectar seu computador com malware e, portanto, obter seus dados pessoais. Muitos engenheiros sociais usam USBs como isca, deixando-os em escritórios ou estacionamentos com rótulos como 'Salários dos executivos 2019, quarto trimestre'.

As pessoas que os encontram são tentadas pela curiosidade e os inserem em um computador. O vírus escondido se espalha rapidamente para o dispositivo. No entanto, o uso de USBs está diminuindo, então a isca agora é usada principalmente em sites P2P.

Os engenheiros sociais criam sites de espelhamento falso e, embora alguém possa pensar que está baixando um filme, na verdade estará baixando um vírus. Você está sempre em risco de baixar qualquer arquivo de uma fonte não confiável, mas para evitar ser hackeado, você pode tomar precauções como sempre verificar o tipo de arquivo que está obtendo ou ter um antivírus atualizado.

Aqui estão duas dicas rápidas para evitar ser enganado:

Use antimalware, software de bloqueio de anúncios e extensões de navegador de antivírus pode ajudar a protegê-lo de visitar sites perigosos conhecidos por hospedar malware.

Limite-se a sites e varejistas que você conhece e confia: sempre pesquise as empresas antes de comprar delas. Verifique se há erros ortográficos no site e na URL e se eles são ou não uma empresa registrada. Você também pode ler as avaliações de clientes publicadas por empresas de avaliação imparcial.

Quid pro quo

Um ataque quid pro quo acontece quando um golpista oferece um serviço em troca de suas informações pessoais. Há alguns anos, os ataques quid pro quo consistiam em e-mails informando que um príncipe nigeriano morreu e você herdou todo o seu dinheiro. Tudo que você precisava fazer era fornecer a eles seus dados bancários ou enviar uma pequena “taxa de manuseio” para que eles pudessem transferir o dinheiro.

Embora ataques de engenharia social como esses agora pareçam engraçados, os ataques quid pro quo ainda são relevantes.

Os ataques quid pro quo mais comuns acontecem quando os hackers fingem ser especialistas em suporte de TI. A vítima geralmente tem um pequeno problema com um dispositivo ou precisa de uma atualização de software, para que não questione o chamador. O personificador diz a eles que eles precisam acessar o computador para corrigir o problema. Assim que obtêm acesso, instalam software malicioso ou roubam outras informações confidenciais.

Ataques de spam de contato

O spam de contatos é a tática de engenharia social mais antiga do mundo. Um cibercriminoso que usa essa técnica invadirá seu e-mail ou sua conta de mídia social e entrará em contato com seus amigos com uma mensagem como “Eu vi este vídeo incrível, dê uma olhada!”

Infelizmente, tendemos a confiar em mensagens que parecem vir de nossos amigos íntimos. Mas se você clicar neste link, você vai acabar infectando seu dispositivo com malware. O que é ainda pior é que, uma vez que esses vírus se espalhem para o seu dispositivo, eles podem espalhar a mesma mensagem para seus contatos também.

O Emotet foi um dos maiores cavalos de Tróia de 2020, usado para distribuir malware aos dispositivos das pessoas. Espalhado por e-mails de spam de phishing contendo anexos ou links maliciosos, o Emotet é semelhante a cavalos de Tróia como Ramnit, Formbook e Lokibot. Esses trojans podem roubar credenciais bancárias, senhas, dados pessoais e carteiras criptográficas. Eles fazem isso monitorando as teclas digitadas, baixando e executando arquivos no seu dispositivo e várias outras técnicas.

O que é preocupante é que o xHelper - um aplicativo malicioso descoberto em 2019 - pode até se reinstalar se desinstalado. Portanto, embora seja fácil pensar que você nunca cairia em um e-mail de phishing ou qualquer outro tipo de ataque de engenharia social, é melhor ficar ainda mais vigilante, pois as consequências podem ser irreversíveis.

8 maneiras de se proteger de ataques de engenharia social

Aprenda sobre os diferentes tipos de táticas de engenharia social. Se você souber o que esperar, será mais fácil evitar a armadilha. Se você dirige uma empresa ou gerencia uma equipe, é essencial educar sua equipe também sobre os ataques de engenharia social. O teste de penetração é uma ótima maneira de encontrar vulnerabilidades em sua rede e educar seus funcionários.

Esteja vigilante . Verifique novamente a identidade da pessoa com quem você está se comunicando, especialmente se for um e-mail, mensagem de texto ou ligação inesperada. Lembre-se de que, se parece bom demais para ser verdade, provavelmente é.

Fique de olho nos erros . Empresas legítimas tendem a verificar três vezes seu conteúdo antes de enviá-lo. Os hackers, por outro lado, deixam incontáveis ​​erros gramaticais e ortográficos e podem ser indicativos de ataques de engenharia social.

Não tenha medo de fazer perguntas . Se você acha que alguém está tentando enganá-lo por telefone, sinta-se à vontade para questionar a simpatia ou a autoridade dessa pessoa. Mais importante ainda, ouça as respostas que não correspondem à sua história.

Pratique um bom comportamento na Internet.

Limite as informações que você compartilha online . Deixar dados facilmente acessíveis pode ajudar alguém a reunir informações sobre você e usá-las para ataques de engenharia social.

Cuide do seu software - instale atualizações regulares, invista em software antivírus, instale filtros de spam e use extensões de navegador .

Use uma VPN . Uma VPN ajudará a mascarar sua identidade e evitar que possíveis hackers interceptem suas comunicações, especialmente em redes Wi-Fi públicas.