Se você possui um celular, perfis em redes sociais ou utiliza e-mails para trabalho e vida pessoal, é provável que já tenha sido alvo de tentativas de golpe usando engenharia social.
Esse tipo de crime foi amplamente relatado em 2022, de acordo com um relatório da LookingGlass Cyber e a ISACA (Information Systems Audit and Control Association), sendo considerado o mais comum na época.
Para compreender melhor o conceito de engenharia social, podemos considerar um exemplo prático. Imagine que você esteja procurando um item para comprar na internet e encontra diversas opções com o valor de R$ 100,00 cada. Porém, você se depara com uma promoção imperdível de 50% de desconto.
Entusiasmado, você acessa um site que solicita informações pessoais, como nome completo, CPF e número de celular, para completar um cadastro. Sem pensar duas vezes, preenche os dados e é redirecionado para uma página de compra com o desconto prometido. Surgem dúvidas sobre a autenticidade da oferta e, para esclarecê-las, você decide entrar em um chat com o atendimento ao cliente. Instantaneamente um atendente responde a todas as suas perguntas, dissipando suas preocupações. Satisfeito, você finaliza a compra, utilizando o PIX para garantir o desconto, e agora aguarda ansiosamente pela chegada do produto em sua casa.
No entanto, nesse processo, você foi vítima de um golpe de engenharia social.
É importante ressaltar que nem todas as compras realizadas na internet são golpes como esse, mas o aumento da ocorrência desses ataques cibernéticos exige atenção em diversos aspectos.
Afinal, o que é Engenharia Social?
A engenharia social é um conjunto de técnicas utilizadas por cibercriminosos para manipular pessoas e obter acesso a informações sigilosas ou induzi-las a realizar ações prejudiciais. Esses golpes podem resultar na perda de patrimônio, bens e comprometimento da segurança dos indivíduos. De acordo com o relatório DBIR 2022 da Verizon, 82% das violações de dados envolvem algum tipo de interação humana.
Os cibercriminosos são habilidosos em explorar a natureza humana. Por exemplo, é comum que eles ofereçam oportunidades de ganhar dinheiro fácil, levando as pessoas a realizar transferências para terceiros. Além disso, a engenharia social também se baseia no medo das pessoas. Um golpe bastante utilizado é o envio de mensagens, e-mails e até mesmo ligações, em que os criminosos se passam por autoridades, como a Polícia Federal, ou órgãos de cobrança, como o Serasa.
As pessoas são naturalmente receosas em relação a questões legais ou ao risco de ter seu nome manchado. Esses medos são explorados pelos golpistas, levando as vítimas a compartilhar suas informações pessoais.
É importante destacar três termos que estão frequentemente associados à engenharia social: phishing, vishing e smishing. Cada um desses termos se refere a uma técnica específica utilizada pelos golpistas para atrair e enganar suas vítimas.
Phishing
Para compreender o significado do termo phishing, é útil entender sua origem. A palavra "phishing" vem do inglês, sendo uma junção entre "phish" (pesca) e "fishing" (pescaria).
O termo foi criado há muitos anos, em 1996, e ainda é adequado hoje em dia. Embora o phishing atualmente envolva crimes mais complexos e obscuros, a associação com a pesca ainda faz sentido.
Em essência, o objetivo principal de um criminoso que realiza um ataque de phishing é enganar as pessoas por meio de iscas. Nesses golpes, as vítimas são levadas a compartilhar informações confidenciais, como detalhes de cartões de crédito e senhas pessoais.
Para se proteger contra-ataques desse tipo, é essencial estar sempre atento ao fornecer informações pessoais em canais online. Se você possui uma empresa, é indispensável que todos os colaboradores estejam cientes de como agir em situações suspeitas.
A seguir, apresentaremos os tipos mais comuns de ataques de phishing praticados pelos criminosos.
Clone Phishing
No clone phishing, os cibercriminosos utilizam sites ou e-mails que se assemelham a plataformas legítimas. Eles escolhem páginas conhecidas e empresas com boa reputação, chegando até mesmo a clonar órgãos governamentais.
O objetivo é atrair as vítimas por meio de assuntos de e-mail chamativos que despertem curiosidade, ganância ou medo.
Embora possa parecer algo simples de ignorar, os criminosos sabem exatamente o que estão fazendo. Portanto, quando você recebe um e-mail ameaçando-o com algum tipo de inadimplência, é natural que queira abrir a mensagem rapidamente para resolver o problema.
No entanto, se você clicar em algum link e fornecer seus dados pessoais, especialmente informações bancárias, você cairá nesse golpe e poderá sofrer consequências prejudiciais.
Whaling
Outro tipo comum de ataque de phishing é o whaling. Esse tipo de ataque é direcionado a indivíduos específicos. "Whale" em inglês significa baleia, e aqui o objetivo é "pescar" os "grandes peixes".
Os ataques de phishing do tipo whaling têm como alvo CEOs e CFOs de grandes empresas. Normalmente, as vítimas têm acesso a informações confidenciais e estratégicas dos negócios.
Além disso, imagine receber uma mensagem interna da empresa enviada diretamente pela pessoa que ocupa o cargo mais alto na organização. Outra forma comum de ataque de whaling é simular uma intimação judicial.
Em ambos os casos, a mensagem solicita informações pessoais. Qual seria a reação natural nessa situação? Exceto por algumas exceções, as pessoas tendem a compartilhar rapidamente os dados solicitados. Assim, o ataque de whaling é bem-sucedido, causando grandes perdas para as pessoas afetadas.
Blind Phishing
O Blind Phishing não tem como alvo uma vítima específica. Na verdade, esse termo pode ser traduzido como "pescaria cega". Os ataques são realizados em massa, com o objetivo de enganar pelo menos uma pessoa e obter sucesso no golpe.
Esse tipo de ataque também ocorre por e-mail, com um link que solicita que você compartilhe suas informações com os cibercriminosos. Embora possa parecer um tipo de ataque menos eficaz por ser mais simples, a verdade é que alguns desses ataques são convertidos em golpes bem-sucedidos.
Spear Phishing
Por fim, entre os ataques de phishing mais comuns, temos o spear phishing. Esse tipo de ataque é o oposto do blind phishing. Ou seja, os criminosos têm um grupo-alvo bem definido.
O objetivo aqui é obter informações específicas de uma empresa ou organização. A estratégia de ataque é muito semelhante a outros ataques de phishing.
Por exemplo, um e-mail cuidadosamente elaborado será enviado para que pareça extremamente legítimo. No entanto, prestando atenção a detalhes como a URL na barra de endereço do link ou o próprio remetente do e-mail, é possível identificar falhas.
Letras faltando na URL ou um endereço de e-mail suspeito devem ser considerados sinais de um golpe.
Smishing
O smishing é um tipo específico de phishing que envolve o envio de mensagens de texto para os celulares das vítimas. Essa forma de crime é bastante comum e pode ser que você já tenha recebido uma mensagem desse tipo.
Nesses ataques, as mensagens geralmente direcionam a pessoa a clicar em um link ou responder à mensagem. Também é comum receber pedidos para preencher formulários com informações pessoais. Uma tática recorrente é quando um local confiável, como um consultório médico, solicita informações de cadastro para atualização no sistema. Porém, esse contato é falso e os criminosos já possuem alguns dados pessoais em mãos, tornando mais fácil convencer a vítima de que os pedidos são legítimos.
Outro exemplo eficaz de smishing é quando uma recompensa extraordinária é oferecida à vítima. Mesmo que pareça inacreditável, muitas pessoas acabam clicando nos links e caindo nesses golpes de smishing.
Confira abaixo os tipos mais comuns de ataques de Smishing. Gift Smishing
O gift smishing é um tipo de ataque que oferece presentes às vítimas em troca de clicarem em um determinado link. Geralmente, essas recompensas são enviadas por meio das redes sociais.
Fake Services Smishing
Esse tipo de ataque é conhecido como falso serviço. Nele, a vítima recebe um e-mail que oferece serviços relacionados a dispositivos, como computadores.
Para realizar o ataque, os criminosos enviam anexos nos e-mails para as vítimas. Esses anexos contêm malwares que infectam o dispositivo.
Smishing dos Serviços Financeiros
Outro tipo de ataque popular é direcionado aos serviços financeiros, como bancos. Nesse caso, as vítimas recebem mensagens supostamente enviadas por instituições financeiras, nas quais os criminosos solicitam que cliquem em links para verificar suas contas bancárias.
No entanto, o que realmente ocorre é que as pessoas acabam com seus dispositivos infectados por softwares maliciosos.
Vishing
Por fim, existe uma categoria de ataques de phishing chamada vishing, que ocorre através de voz. Os criminosos utilizam ligações telefônicas ou mensagens de voz para realizar seus golpes.
Assim como nos outros tipos de ataques, as vítimas são levadas a acreditar que estão recebendo um contato importante de uma empresa ou órgão governamental. É bastante comum os golpistas se passarem por funcionários de bancos, solicitando informações dos cartões de crédito das vítimas.
Quando as vítimas acreditam que o contato é legítimo, acabam compartilhando suas informações pessoais por meio de mensagens de voz ou ligações.
Esse tipo de ataque é tão frequente que muitos bancos e empresas alertam seus clientes de que não solicitam informações pessoais por telefone. Esses alertas ajudam a reduzir o número de golpes bem-sucedidos e auxiliam as pessoas a se protegerem melhor
A seguir, apresentamos alguns exemplos comuns de ataques de vishing. Confira-os para que você possa se proteger adequadamente.
Wardialing
O termo "wardialing", que significa discagem de guerra em inglês, refere-se a um tipo de ataque em que os criminosos usam um software para encontrar números de telefone em uma lista, fazer a ligação e verificar se o número é válido.
Nesse tipo de abordagem, os golpes costumam ser realizados por meio de chamadas de voz. Ao atender a ligação, as pessoas podem ouvir mensagens gravadas que são reproduzidas automaticamente.
Se você já recebeu uma chamada no seu celular em que a ligação foi encerrada assim que você atendeu, é possível que tenha sido alvo desse tipo de software.
VoIP
VoIP significa Voice over Internet Protocol, ou seja, voz sobre protocolo de internet. Esse tipo de ataque não depende de telefones conectados a uma linha física, mas sim de uma conexão com a internet.
Com o VoIP, os criminosos podem realizar chamadas telefônicas globalmente, pois estão utilizando a internet como meio de comunicação, e não uma linha telefônica local.
Esse tipo de ataque de vishing está se tornando cada vez mais popular devido aos custos baixos envolvidos e à capacidade de alcançar um grande número de pessoas em pouco tempo. Além disso, a identidade dos criminosos tende a ser mais preservada em comparação a outros tipos de ataques.
Vishing baseado em Inteligência Artificial
A tecnologia de inteligência artificial contribui para a sofisticação dos golpes de voice phishing. Por meio da IA, os criminosos são capazes de copiar a voz de pessoas conhecidas das vítimas, tornando os golpes mais convincentes e aumentando o número de casos bem-sucedidos.
Esses golpes exploram a confiança das pessoas nas vozes que reconhecem, levando-as a compartilhar informações pessoais com os criminosos.
Robocall (ligação por robôs)
Esse tipo de golpe utiliza mensagens gravadas e é enviado para diversos números simultaneamente. As vozes nas mensagens solicitam que as pessoas compartilhem seus nomes ou outras informações, que podem parecer inofensivas a princípio.
No entanto, tudo faz parte de um ataque cibernético cujo objetivo é criar cartões de crédito falsos ou roubar dinheiro das vítimas.
Em caso de dúvida, é importante não responder a mensagens gravadas que solicitam informações pessoais. Simplesmente desligar o telefone pode evitar muitas dores de cabeça.
Como se prevenir dos ataques de engenharia social
Existem diversas medidas que podem ser adotadas para se prevenir dos ataques mencionados neste artigo. A primeira delas é justamente o que você acabou de fazer: conhecer os tipos de golpes existentes. Ao ter clareza das táticas e estratégias utilizadas, é possível se proteger de maneira mais eficaz.
No entanto, muitas pessoas já sabem identificar esse tipo de situação, mas ainda assim acabam caindo em golpes, clicando em links e comprometendo seus dados pessoais e profissionais.
Veja alguns jeitos de se proteger.
Cibersegurança
Um dos pontos mais importantes para se prevenir desses ataques é ter uma boa estrutura de cibersegurança. Além disso, é essencial fornecer treinamento regular aos funcionários, desde a base até o topo da hierarquia da empresa, para que todos saibam como utilizar os sistemas adequadamente.
Senhas mais seguras
Se você utiliza a mesma senha (que inclui letras do seu nome e sua data de nascimento) para diferentes redes sociais e sites, é recomendável migrar para senhas mais complexas.
Soluções técnicas para detecção de golpes
Ter procedimentos claros sobre o que fazer para garantir a segurança em uma empresa é fundamental. Seguir esses passos torna os funcionários mais protegidos no ambiente de trabalho e as pessoas em geral evitam problemas em seu dia a dia.
Desconfie de qualquer ligação inesperada
Hoje em dia, é muito comum que as pessoas entrem em contato primeiro por mensagem de texto ou e-mail. Mesmo assim, ligações telefônicas verdadeiras e inesperadas ainda podem ocorrer. Por isso, é importante estar sempre atento a alguns pontos ao receber uma chamada inesperada.
O primeiro ponto é o senso de urgência, quando há uma necessidade de tomar uma ação imediata, especialmente durante a própria ligação. Além disso, se houver insistência que gere medo, é importante ficar atento, pois pode se tratar de um golpe.
Por fim, sempre que houver solicitação de dados pessoais ou pedido para realizar uma ligação para outro número, há grandes chances de se tratar de uma tentativa de Voice Phishing.
Informações pessoais não serão solicitadas por telefone
Geralmente, órgãos governamentais e instituições financeiras não solicitam esse tipo de informação ou ação por telefone. Inclusive, é comum haver avisos sobre isso em aplicativos, televisão ou rádio.
Ao adotar essas precauções e seguir boas práticas de segurança, é possível reduzir significativamente a probabilidade de se tornar vítima desses ataques. A conscientização e a colaboração de todos são essenciais para criar um ambiente mais seguro e protegido contra essas ameaças virtuais.
Lembre-se: a prevenção é a chave para a segurança online. Ao permanecer vigilante e implementar as medidas adequadas, podemos nos proteger contra os ataques de Phishing, Smishing e Vishing, garantindo a integridade de nossos dados e preservando nossa privacidade.
Entre em contato para tirar suas dúvidas e compartilhar as suas necessidades com a gente: