Categorias

7 golpes de engenharia social que você precisa evitar

O senso comum tem a imagem do hacker como um indivíduo encapuzado que fica em um quarto mal-iluminado inventando malwares capazes de penetrar firewalls, invadir sistemas e espalhar o caos ou como um profundo estudioso de programas e sistemas operacionais, com um dom para descobrir brechas que ninguém mais viu.

Entretanto, nos bastidores do crime cibernético, o bom e velho golpe na base da conversa e do engodo continua funcionando em pleno século XXI e é muito mais fácil obter acesso a uma rede ou computador quando o próprio usuário cai na chamada engenharia social. De acordo com o levantamento Verizon Data Breach Investigations Report, 43% das brechas de segurança de 2016 foram causadas porque um usuário foi vítima de um truque.

Selecionamos aqui 7 tipos de golpes que você precisa identificar e evitar no seu dia a dia.

1. Vishing/Smishing

Esse tipo de ataque é mais comum no exterior mas já está chegando no Brasil. Nesse esquema, o hacker utiliza mensagens pré-gravadas de voz (o voice phishing, ou vishing) ou mensagens de texto automáticas (SMS phishing, ou Smishing) fingindo ser uma empresa ou serviço que necessita autenticar dados do usuário. O golpe solicita que a vítima entre em contato em um número falso ou envie de volta uma mensagem.

Os dados informados a partir desse ponto podem ser o objetivo do ataque de engenharia social em si, como informações de cartão de crédito, ou podem ser o primeiro passo para um ataque mais sofisticado, como nome, telefone, números de documentos de identificação e outros dados sensíveis.

Normalmente, há uma mensagem de urgência, informando sobre violações do serviço ou compras falsas feitas com o cartão de crédito. Em caso de dúvidas, o usuário deve buscar o contato oficial da operadora e buscar esclarecimentos.

2. Quid pro quo

Quid Pro Quo significa, em Latim, “alguma coisa por alguma coisa”, e em termos de segurança da informação é um tipo de ataque de engenharia social que promete um benefício para a vítima em troca de algo. Essa modalidade pode assumir diversas formas, desde um pen drive “esquecido” em local público (que infecta o sistema da vítima com malware) até um inocente jogo de perguntas e respostas de Facebook que apenas solicita seu login (e, consequentemente, coleta e armazena dados pessoais para fins publicitários).

Se algo parece bom demais para ser verdade é porque provavelmente não é verdade mesmo. Incluem-se também nessa categoria as promessas de sorteio de produtos e serviços de tecnologia que pedem dados pessoais e que a mensagem seja repassada para um número determinado de contatos. A promessa nem mesmo precisa ser falsa e pesquisadores de segurança já constataram que pessoas são capazes de fornecer até mesmo suas senhas de acesso em troca de uma barra de chocolate.

3. Chantagem

Uma variação do Quid Pro Quo é a ancestral chantagem, onde a vítima cede uma vantagem para não sofrer uma consequência mais grave. Ela pode ter origem justamente em um ataque Quid Pro Quo: recentemente vem crescendo o volume de chantagens de cunho sexual, em que a vítima (geralmente do sexo masculino) é ludibriada por um perfil falso (geralmente do sexo feminino) e acontece uma troca de fotos comprometedoras. Enquanto o atacante se utiliza de imagens falsas ou obtidas em sites, a vítima se expõe em uma foto real que passa a ser o instrumento da chantagem.

Esse tipo de ataque requer pouco ou nenhum conhecimento técnico, dispensa o uso de malwares ou sites comprometidos, o que aumenta sua popularidade entre criminosos de todo tipo.

Uma variação do ataque é baseada em premissas falsas, quando, por exemplo, o atacante insinua que a vítima é usuária de um serviço erótico e exige dados como email e senha para efetuar um “descadastramento”. A partir das informações obtidas, novos ataques podem ser realizados.

4. Scareware

A base da chantagem é o medo, geralmente real, de uma ameaça. O Scareware envolve uma ameaça completamente irreal, um alarme falso que ilude a vítima a tomar uma atitude precipitada. Exemplos dessa modalidade de engenharia social incluem popups ou banners que “avisam” que o sistema da vítima foi infectado e um “antivírus” precisa ser executado. A falta de familiaridade com antivírus reais ajuda na efetividade desse tipo de golpe e o ataque pode acontecer em qualquer ambiente, seja desktop ou dispositivos móveis.

O Scareware também é chamado de fraudware ou rogue program e pode chegar até sua vítima de diferentes formas, incluindo por email ou SMS e ser combinado com outras técnicas de engenharia social. O resultado pode ser um sistema comprometido com uma ameaça real ou a vítima pagando por uma falsa proteção que não tem qualquer eficácia ou necessidade.

5. Ransomware falso

Embora também possa ser classificado como um Scareware, esse tipo de golpe vem crescendo no mercado e merece uma classificação à parte. Assim como muitos, dispensa conhecimentos técnicos profundos e exige tão somente um banco de dados de email (facilmente comprado no mercado negro da internet e, normalmente obtido por diversos outros ataques de engenharia social descritos nesse artigo). A partir disso, o atacante dispara uma mensagem de email para suas vítimas informando que seu computador está comprometido por um ransomware e que é necessário o pagamento de um resgate em moeda eletrônica para liberar os arquivos.

Entretanto, não há ransomware algum envolvido no golpe. Ainda assim, há casos registrados de usuários que pagaram o resgate.

6. Falsos sites

Essa modalidade de engenharia social explora a confiança que a maioria dos usuários tem na própria internet. Falsos sites são projetados para enganar a vítima e convencê-la a fornecer dados ou baixar e instalar pacotes infectados com malware. O hacker pode conseguir a façanha a partir de um phishing, por email, telefone ou link em outro site comprometido. Entretanto, também é possível a compra de anúncios em serviços legais de busca para redirecionar potenciais vítimas para sites de nicho.

Outra técnica adotada é o typosquatting, que consiste em registrar um domínio similar ao alvo e criar um site que visualmente parece com o site legítimo, mas é uma armadilha para quem digitar incorretamente o endereço ou seguir um link plantado. Um exemplo seria codig0fonte.com.br (repare no “zero” no lugar de um dos “o” do domínio) ou codigofomte.com (o “m” e o “n” são próximos no teclado convencional).

Recentemente, hackers vem aperfeiçoando suas estratégias e utilizando serviços de SSL gratuitos para oferecerem uma versão HTTPS dos sites alvos. Novamente, se beneficiam da ignorância do grande público que associa o cadeado ou o termo “seguro” na barra de endereços do navegador com legitimidade. O protocolo apenas significa que toda a comunicação entre o site e o usuário é encriptada, livre de interceptação. Mas isso não implica em segurança, se a vítima estiver no site errado.

Não por acaso, serviços críticos como sites de pagamento e bancos vão além do simples HTTPS e utilizam o chamado Extended Validation SSL (EV-SSL), que gera um diferencial na barra de endereços (com o nome da empresa) e cujo preço o coloca fora do alcance de cibercriminosos.

7.  Acesso livre

Nem todo invasor que utiliza engenharia social precisa ser um hacker desconhecido a quilômetros de distância. Espionagem industrial é um risco real com que muitas empresas precisam lidar e uma das suas vulnerabilidades é a certeza do funcionário que nada vai acontecer dentro do escritório. Um invasor pode se infiltrar fisicamente nas instalações, obter acesso de computadores desprotegidos e extrair dados importantes ou plantar softwares de monitoramento em questão de minutos.

Uma das máximas de segurança de informação diz que, se o invasor tem acesso físico ao computador, ele não é mais seu computador. Ainda assim, medidas simples de proteção, como desconfiar de funcionários que se identificam como o suporte técnico ou o uso da tela de bloqueio do sistema operacional já podem reduzir os riscos de uma intrusão.