A Black Friday, época em que as compras on-line atingem seu pico no ano, também é um momento privilegiado para os golpistas que usam a engenharia social. Essa técnica de manipulação psicológica é particularmente eficaz quando as pessoas estão distraídas na busca por pechinchas e podem estar menos atentas a tentativas de golpes. Nesses tempos de grande movimento comercial, compreender as sutilezas da engenharia social é mais importante do que nunca. Reserve um tempo para se informar antes de fazer qualquer compra on-line durante esse período.
Também conhecida como hacking psicológico, a engenharia social é um conjunto de práticas baseadas na manipulação e na exploração das fraquezas humanas com o objetivo de enganar, roubar e fraudar. Kevin Mitnick, um ex-hacker renomado cuja morte recente chocou a comunidade, construiu sua reputação explorando esses pontos fracos.
Na história do hacking, Kevin Mitnick teve um papel decisivo na popularização desse método. Seu trabalho demonstrou até que ponto a vulnerabilidade humana poderia ser uma porta de entrada para ataques cibernéticos. Embora o princípio básico tenha permanecido o mesmo desde os anos 80, os meios para alcançá-lo foram muito aprimorados e diversificados. Em homenagem a Kevin Mitnick e seu inegável impacto no campo, exploramos aqui o conceito de engenharia social, seus métodos e como se proteger contra eles.
Engenharia social: errar é humano.
Sabemos que muitos de vocês pularão para o final desta introdução, sentindo-se suficientemente informados para não serem enganados por um e-mail falso, um link duvidoso ou um anúncio grosseiro. No entanto, gostaríamos de chamar sua atenção para o fato de que, em muitos casos, os usuários da Internet entram em pânico quando se deparam com determinadas convocações, e é nesse momento que se comete um erro. Além disso, usar a melhor VPN não o ajudará, pois a engenharia social se baseia no comportamento humano para solicitar uma ação específica.
Phishing, uma forma comum de engenharia social
Os hackers estão se tornando cada vez mais criativos no desenvolvimento de táticas para influenciar e enganar as pessoas a fim de obter dados confidenciais. O phishing é um dos principais métodos usados. Os vetores de ataque são SMS, mídia social e, mais frequentemente, e-mail.
O cenário, embora bastante familiar, é mais eficaz do que nunca. O invasor entra em contato com a vítima em potencial, geralmente se passando por uma empresa cuja legitimidade não é questionada (um banco, uma empresa de eletricidade etc.).
A mensagem é sempre urgente e se baseia em problemas de segurança da conta, contas não pagas ou reembolsos, e é sempre seguida por uma injunção que pede que o alvo tome medidas rapidamente para evitar consequências infelizes. Como regra geral, o usuário da Internet precisa clicar em um link malicioso e fornecer informações confidenciais.
Veja a seguir como ela geralmente funciona:
O e-mail inicial: você recebe um e-mail que parece ser de uma empresa legítima com a qual você faz negócios, como seu banco, um serviço de streaming como a Netflix ou um serviço de e-mail como o Google. O e-mail geralmente informa sobre um problema urgente com sua conta que requer sua atenção imediata.
O link: o e-mail contém um link para o que parece ser o site da empresa. Entretanto, se você observar atentamente o URL, verá que ele não corresponde exatamente ao URL oficial da empresa. Por exemplo, em vez de “www.netflix.com”, o URL poderia ser “www.netflix.billing-problem.com”.
A página de login: ao clicar no link, você será levado a uma página de login que se parece exatamente com a da empresa legítima. Será solicitado que você faça login com seu nome de usuário e senha.
Roubo de informações: Quando você faz login, suas informações de login são registradas pelo hacker. Ele pode usar essas informações para acessar sua conta real e cometer fraudes, como roubar dinheiro de sua conta bancária ou fazer compras em seu nome.
Gostos e cores…
Quando se trata de engenharia social, os golpes são criados com base em dados estatísticos projetados para serem o mais próximo possível da realidade dos usuários da Internet, e são muito abrangentes.
A sextorsão envolve o envio de um e-mail com uma nota de resgate. O e-mail afirma que a webcam do usuário foi invadida e que imagens comprometedoras serão enviadas a todos os contatos da vítima se ela não pagar.
O golpe do voucher geralmente é um e-mail, mensagem de texto ou mensagem do Whatapp que finge ser de uma grande marca, convidando os usuários da Internet a clicar em um link para se beneficiar de descontos substanciais. Uma vez no site falso, a vítima será solicitada a inserir seus dados para que a oferta promocional possa ser validada.
O Amazon Day Prime também é um bom momento para receber e-mails promocionais falsos pedindo aos usuários que divulguem os detalhes de suas contas pessoais. Outras grandes marcas também são regularmente falsificadas, incluindo Apple, UPS, FedEx e Microsoft.
O calendário do Google também pode ser usado como um vetor de ataque. O hacker o usará para colocar eventos falsos nos quais você terá que clicar, registrar-se e fornecer dados confidenciais.
Uma questão de escala
Embora um simples gancho possa, às vezes, ser suficiente para enganar indivíduos, é necessário um arpão para enganar empresas. Spread phishing ou spear phishing é uma técnica de engenharia social altamente direcionada, capaz de causar enormes danos a uma empresa.
O spread phishing é um pouco mais exigente em termos dos recursos que requer, mas primeiro exige uma pesquisa aprofundada sobre a empresa-alvo (geralmente empresas que lidam com dados confidenciais por meio de seus próprios sistemas de informação), seus funcionários e, mais especificamente, os novos recrutas.
Os erros de segurança de dados mais comuns nas empresas geralmente são resultado de excesso de zelo por parte de um funcionário que quer fazer a coisa certa. Inexperientes e, portanto, não familiarizados com as várias interfaces e procedimentos em vigor, eles se tornam os principais alvos. As VPNs corporativas, mesmo as mais seguras e tecnicamente avançadas, não podem fazer nada a respeito disso.
Para empresas muito grandes e para alvos que ocupam posições estratégicas bastante sênior, o termo usado é whaling. Essa técnica visa especificamente os gerentes seniores e os diretores da empresa, que geralmente têm acesso a informações particularmente confidenciais.
Engenharia social: medo em todos os sistemas
O medo é uma das alavancas mais eficazes para criar pânico nas vítimas. De fato, existe um método de ataque baseado exclusivamente no medo. Os crescentes temores em relação à segurança cibernética tornaram-se um terreno particularmente fértil para os hackers.
Há alguns anos, janelas pop-up têm aparecido inesperadamente nas telas. Particularmente intrusivas e ameaçadoras, elas alertam os usuários da Internet sobre uma falha de segurança e/ou a presença de malware em seu sistema e os instruem a fazer o download do software antivírus sugerido para resolver o problema. Na pior das hipóteses, o usuário terá até mesmo de pagar para adquirir um vírus que dará aos hackers acesso a todas as informações confidenciais do computador.
Outras técnicas de manipulação estão sob o título de engenharia social, como quid pro quo, roubo de identidade (pretexting) ou tailgating (abrir uma porta para alguém que esqueceu seu cartão de acesso ou código secreto).
E se por acaso encontrar uma chave USB em um café, entregue-a a um garçom ou ao gerente. Por mais surreal que possa parecer, a chave pode conter malware oculto em arquivos de música, por exemplo. A isca não é usada apenas em filmes, mas também é conhecida.
Por sua própria natureza, a engenharia social é independente do sistema operacional que você está usando. Não importa se você está usando Windows, Linux ou Mac, você não está imune. Os ataques de engenharia social têm como objetivo explorar as vulnerabilidades humanas, não as vulnerabilidades de software. Nenhum sistema operacional está imune a essas táticas.
Além disso, é importante observar que a ideia de que os Macs são imunes a vírus é um mito. Embora os Macs tenham sido menos visados por malware no passado, principalmente devido à sua menor participação no mercado em comparação com o Windows, a situação mudou. Com o aumento da popularidade dos produtos Apple, eles se tornaram um alvo cada vez mais atraente para os criminosos cibernéticos.
Engenharia social: conclusão
Seja sempre cético, não importa o quão urgente ou assustadora seja a mensagem recebida. Não entre em pânico e encontre uma maneira de se comunicar diretamente com seus contatos se for o seu banco, por exemplo. Sempre verifique os links e sites que você visita, pois muitas vezes certos detalhes traem sua autenticidade.