O que é engenharia social?
Podemos definir a engenharia social como um ataque psicológico que explora o comportamento humano ou nossos preconceitos cognitivos. Normalmente, ela engana as pessoas, levando-as a divulgar, sem saber, informações confidenciais que podem ser usadas para fins corruptos ou criminosos. Os hackers usam técnicas de engenharia social para extrair e usar informações pessoais para roubo de identidade ou outras fraudes ou crimes.
Em uma época em que as pessoas estão cada vez mais experientes online, a engenharia social requer sutileza. Muitas vezes, ela é um plano de várias etapas para primeiro ganhar confiança, depois acessar as informações direcionadas.
Ao contrário dos ataques de segurança cibernética que exploram as estruturas de software e código de computador, os ataques de engenharia social baseiam-se nos erros humanos e na manipulação das pessoas. Os ataques de engenharia social visam frequentemente informações confidenciais, como credenciais de login, CPFs, detalhes bancários ou outras informações pessoais.
Como a engenharia social funciona exatamente?
Os golpes de engenharia social podem ocorrer durante as interações pessoais e por telefone, mas muitas vezes ocorrem online. Na verdade, a engenharia social apoia uma grande variedade de ataques cibernéticos, porque é mais fácil de realizar online.
No mundo físico, somos capazes de avaliar as interações com as pessoas com base nas informações recebidas pelos sentidos. Observar os maneirismos e ouvir o tom de voz de alguém dá pistas sobre se algo é suspeito ou não.
Quando estamos online, interagimos frequentemente com empresas sem rosto que processam nossos pagamentos e enviam nossas mensagens. Isso significa que temos que confiar em gráficos ou marcas familiares e um padrão reconhecível de cliques e confirmações para sinalizar que tudo parece normal.
As táticas de engenharia social normalmente funcionam como um ciclo:
-
Primeiro, um invasor coleta informações básicas, também conhecidas como criação de perfil e escolhe um ponto de entrada.
-
Depois, ele inicia o contato e estabelece uma conexão.
-
Depois que a conexão é feita e o invasor é identificado como uma fonte confiável, ele explora o destino.
-
Depois que as informações confidenciais são obtidas, o invasor desconecta-se e desaparece.
Os ataques de engenharia social exploram a confiança das pessoas.
Para completar o ciclo, os invasores geralmente empregam técnicas de engenharia social, como envolver e intensificar as emoções. Quando as emoções estão intensas, você tem menos chances de pensar logicamente e mais probabilidade de ser manipulado.
Vamos ver um exemplo clássico de engenharia social. Os usuários de má-fé podem obter uma lista de jogadores online. Eles esperam que essas pessoas respondam a uma mensagem que desperte curiosidade, entusiasmo, urgência ou medo. Os invasores fingem ser uma casa lotérica e imita a fonte, o logotipo e as cores da empresa. A mensagem parabeniza e convida as vítimas a aceitar um prêmio por tempo limitado, enviando algumas informações pessoais para resgatá-lo.
Infelizmente, o prêmio é realmente para os invasores: Informações pessoais confidenciais que podem ser revendidas na dark web ou usadas para ter acesso a contas pessoais.
Por que os ataques de engenharia social online são tão perigosos?
Os ataques de engenharia social podem ser muito perigosos tanto para indivíduos como para empresas, porque, em ambos os casos, grandes somas de dinheiro podem ser retiradas da vítima.
Em 2019, a Toyota Boshoku Corporation, uma fornecedora de autopeças para a Toyota perdeu 37 milhões de dólares em um ataque de engenharia social. Os invasores visaram os funcionários do departamento financeiro, fingindo ser funcionários de nível superior. Os hackers enviaram e-mails falsos, mas convincentes, de contas de e-mail corporativas, solicitando uma alteração da conta. Isso enganou os contadores e fizeram eles transferirem grandes somas de dinheiro para contas controladas por hackers coniventes.
Para a maioria das pessoas, a perda de qualquer soma pode ser um revés enorme. Mas ter as informações pessoais comprometidas pode ser ainda mais perigoso. Se um invasor conseguir suas credenciais de login, CPF ou dados bancários, ele poderá mantê-las para uso próprio ou vendê-las na dark web, onde elas poderão ser compradas e exploradas por outras pessoas, causando roubo de identidade ou outros danos no futuro.
Como identificar um ataque de engenharia social
Para detectar uma tentativa de ataque online de engenharia social, convém conhecer as diferentes técnicas que os invasores usam para envolver as vítimas.
As pessoas reagem à autoridade e geralmente obedecem quando os pedidos são de uma fonte respeitada. É por isso que os crimes cibernéticos representam frequentemente empresas ou agências governamentais bem conhecidas, como o Internal Revenue Service (IRS) nos EUA. Sempre leia com cuidado os e-mails que afirmam ser do governo ou de outras fontes oficiais. Embora o IRS conheça suas informações pessoais, como nome, endereço e CPF, ele nunca pediria que você as enviasse por e-mail.
As pessoas reagem à autoridade e geralmente obedecem quando os pedidos são de uma fonte respeitada.
Uma tática mais sutil explora a simpatia. Como seres humanos, é mais provável confiar em pessoas atraentes e simpáticas, o que pode ser maravilhoso para as vendas. Empresas de marketing multinível, como Mary Kay e Avon, construíram impérios inteiros usando essa tática. Os invasores podem representar uma pessoa atraente nas redes sociais e elogiar para estabelecer contato. Quando a vítima é elogiada, ela é mais receptiva ao pedido de um invasor, que pode ser uma doação para uma “instituição de caridade” ou algum outro golpe.
Saber como podemos ser influenciados facilita o reconhecimento dos sinais de alerta da engenharia social. Desconfie sempre dos pedidos de determinados tipos de informação, como detalhes de login, informações bancárias ou endereço. Ponha de lado a emoção e observe atentamente quem está pedindo seus detalhes. Isso pode evitar que você seja enganado.
É bom demais para ser verdade
Um movimento clássico de engenharia social é oferecer algo muito tentador que motive a vítima a revelar alguma informação ou tomar alguma ação. Essa tática também pode ser usada de forma legítima, por exemplo, quando uma empresa oferece aos clientes um vale-presente de 10 dólares como prêmio por um comentário do produto.
Os invasores tiram partido da nossa familiaridade com essas ofertas legítimas e vão além, oferecendo 100 dólares por uma pesquisa que, por sua vez, requer a criação de um login. Neste exemplo, os invasores esperam que você reutilize outras credenciais de login, que eles poderão usar para acessar suas contas bancárias online ou outras contas valiosas.
Se você parar para pensar, receber 100 dólares para responder a uma pesquisa parece uma oferta boa demais para ser verdade. É claro que, no final da pesquisa, os 100 dólares terão sido só uma isca, e você terá compartilhado informações de login com uma fonte suspeita. Sempre reserve um tempo para pesquisar as ofertas tentadoras antes de realizar qualquer ação. Lembre-se de que quando algo parece bom demais para ser verdade, ele geralmente é.
Tipos mais comuns de ataque online de engenharia social
Os golpistas criativos criaram vários tipos de ataque de engenharia social, usando diferentes técnicas e pontos de entrada para ter acesso às informações direcionadas. Infelizmente, estas técnicas de golpe são todas muito comuns. Mas aprender sobre as várias táticas de engenharia social ajudará a reconhecer uma tentativa caso você a encontre.
E-mails de spam
Você pode pensar no spam como uma guia na caixa de entrada de e-mail, mas nem todos os e-mails de spam são filtrados com êxito e desaparecem de vista. Os e-mails de spam bem elaborados podem passar pelas triagens do servidor de e-mail, entrar na caixa de entrada e aparecer como mensagens confiáveis.
Os e-mails de engenharia social geralmente tentam induzi-lo a clicar em links para sites falsos, baixar anexos maliciosos ou responder com o tipo de informações confidenciais que os remetentes procuram. Ler sobre proteção de e-mail pode prepará-lo para identificar a diferença entre e-mail de spam sorrateiro e fontes confiáveis.
Baiting
Assim como iscas de queijo são usadas em armadilhas para ratos, um invasor que usa engenharia social de isca deixa algo atraente para o seu alvo. Às vezes, é um item físico, como um pen drive USB esquecido em um local público e escrito “confidencial” para despertar a curiosidade de alguém. Assim que o pen drive é inserido no computador da vítima e aberto, o malware infiltra-se e infecta o dispositivo host, além de todos os servidores conectados.
O baiting também pode ocorrer online, por exemplo, pelo download de filmes. Quando o arquivo é baixado e aberto, o malware oculto tem acesso ao computador.
Phishing
Provavelmente, o tipo mais comum de engenharia social, phishing acontece quando um invasor finge ser uma empresa ou organização legítima e tem como alvo uma vítima por e-mail, chat ou anúncios online. O e-mail ou a mensagem normalmente direciona a vítima para uma página de destino falsa, completa com os elementos gráficos corretos da empresa. A página solicita uma verificação de login ou uma alteração da senha devido a uma atividade suspeita.
Se a vítima obedecer, o invasor terá acesso a esses dados de login e poderá usá-los para fazer login em outros sites, dependendo da frequência com que a vítima usa senhas diferentes em vários sites.
Catfishing é outra estratégia comum de engenharia social na categoria phishing. No catfishing, o golpista finge ser uma pessoa desejável em um site de namoro ou plataforma de mídia social e, em seguida, atrai as vítimas.
As emoções fortes fazem parte de qualquer romance e podem enganar a intuição e obscurecer os sinais de alerta. Assim que a vítima estiver presa, o golpista criará um cenário para explorá-la por dinheiro.
Como é um e-mail de phishing? Na imagem abaixo, você vê um e-mail de um invasor fingindo ser do PayPal. O e-mail afirma que houve atividade suspeita em uma conta do PayPal e que a conta foi suspensa até que o usuário efetue login e envie documentos para confirmar a identidade, usando medo e urgência para motivar a ação.
Um e-mail de phishing imita o estilo de uma marca, mas obviamente é de um endereço de e-mail falso.
Mas se você observar atentamente o endereço de e-mail do remetente, verá uma longa sequência de números e letras, e o domínio certamente não será PayPal. O e-mail também é endereçado a “Prezados clientes”, que é estranhamente geral dada a natureza privada dele.
O botão de login nesse e-mail não será redirecionado para o PayPal, mas para uma página de destino falsa onde os invasores podem coletar informações de login. E, se tiverem sorte, eles conseguirão capturar documentos oficiais, como carteira de identidade ou passaporte, para confirmar a identidade do usuário.
Spear phishing
Os golpes de phishing de engenharia social são enviados com frequência a centenas de vítimas, na esperança de que alguém clique no link. Mas, às vezes, o invasor faz pesquisas sobre as vítimas, restringindo-as a um grupo mais específico de pessoas ou até mesmo a uma pessoa.
Esse tipo de ataque direcionado ou restrito é conhecido como spear phishing, e é significativamente mais eficaz do que você imagina. Cinquenta por cento das pessoas visavam os e-mails de spear phishing abertos, em comparação com uma taxa de abertura de apenas 3% para as mensagens de phishing regulares.
Veja o caso do fundador da Amazon, Jeff Bezos. Ele é um dos maiores “tubarões” e está tão distante dos problemas cotidianos que você pode achar que ele nunca será vítima de phishing. Mas, em 2018, Bezos foi alvo do príncipe herdeiro Saudita Mohamed bin Salman.
Os dois se encontraram pessoalmente, estabeleceram uma conexão e trocaram números de telefone. O príncipe herdeiro então enviou um arquivo de vídeo pelo WhatsApp, que, após ser baixado, começou a transmitir grandes volumes de dados de Bezos sem autorização. Bezos pode ser o líder de uma grande empresa de tecnologia, mas ele ainda é humano e muito suscetível à manipulação e engenharia social.
Pretexting
Os ataques de engenharia social pretexting envolvem a invenção de um cenário, ou pretexto, para atingir a vítima. O invasor geralmente finge ser alguém com autoridade que pode solicitar informações. Um ataque de pretexting eficaz requer pesquisa de antecedentes e preparação por parte do invasor. Ele precisa ser capaz de responder com precisão às perguntas da vítima e parecer legítimo.
Um exemplo comum de pretexting é quando um invasor finge ser alguém do departamento de TI de uma empresa. O invasor contata um funcionário dentro da empresa, identifica-se e solicita acesso remoto ao computador ou às credenciais de login para atualizar um software.
Dependendo de quem é o alvo, o invasor poder ter acesso a todos os registros financeiros ou dados dos funcionários da empresa. Ele pode manter essas informações reféns usando ransomware ou usá-las para executar a etapa seguinte em um esquema.
Em 2017, o Classic Ether Wallet, projetado para armazenar a criptomoeda Classical Ethereum, foi vítima de um ataque de engenharia social. Um hacker personificava o proprietário do Classic Ether Wallet e tinha acesso ao domínio, bem como a chaves privadas, que lhe permitiam transferir dinheiro das contas das vítimas e para o próprio servidor.
Vishing
O conceito do vishing é o mesmo do phishing, mas pelo telefone, ou seja, phishing de voz. Em um ataque de vishing, o número de telefone usado será geralmente bloqueado ou disfarçado como vindo de uma central de atendimento ou de um centro de suporte. Às vezes, a tecnologia de mudança de voz é usada para tentar imitar uma pessoa específica.
Um ataque de vishing normalmente procura manipular as vítimas para que elas revelem as informações de login ou ter acesso ao computador da vítima. Os invasores costumam ser pessoas do serviço de atendimento ao cliente ou do suporte técnico, que pedem para você instalar uma atualização ou correção de um bug que solicita que a vítima conceda acesso ou redefina as credenciais de login.
Em 2019, ocorreu um golpe de vishing popular em que os invasores disfarçaram as identificações de chamada para parecerem estar ligando da Apple. A chamada foi automatizada e alertou a vítima sobre uma violação de segurança na Apple, instruindo-a a ligar para um número diferente antes de executar qualquer ação no telefone.
Quando as vítimas ligaram para o número fornecido, elas receberam uma mensagem automatizada de boas-vindas imitando o centro de atendimento ao cliente da Apple, com um tempo de espera estimado. Assim que as vítimas eram atendidas, os invasores tentavam obter suas credenciais de login do Apple ID.
Esses ataques aproveitaram o uso generalizado dos produtos Apple pelas pessoas, a autoridade da marca Apple e o medo e a urgência de uma violação de segurança, sabendo que as pessoas iriam reagir e agir. Desde então, a Apple avisou os clientes que nunca fazem chamadas não solicitadas e que eles nunca devem atender as ligações que pareçam vir deles.
Quid pro quo
Quid pro quo significa trocar algo por outra coisa. Os invasores ficam felizes em oferecer algo em um ataque de engenharia social quid pro quo e, em troca, esperam obter suas credenciais de login ou acesso ao seu computador.
A ajuda é geralmente oferecida nos ataques quid pro quo, seja assistência técnica, acesso a um documento especial ou solução de um problema que você desconhecia.
Após o segundo acidente com o avião Boeing 737 Max em 2019, os hackers aproveitaram as emoções e o medo das pessoas enviando e-mails de contas que fingiam ser da ISGEC, uma empresa de engenharia. Os hackers alegavam ter acessado um documento vazado na dark web que listava acidentes antes de ocorrerem, junto com acidentes futuros que ainda não haviam acontecido.
Os hackers pediam às pessoas para abrir o documento e, para a segurança de familiares e entes queridos, verificar se algum conhecido planejava viajar em um dos voos listados. É claro que a lista não era real, e o download do arquivo infectou o computador da vítima com malware que permitiu aos hackers acessar os dados desejados.
Ataques famosos de engenharia social
Os ataques de engenharia social não acontecem apenas com pessoas comuns e desavisadas. Eles também ocorrem com grandes empresas de tecnologia e pessoas famosas. Infelizmente, quando eles acontecem com grandes empresas, muitas vezes são os dados dos clientes que estão em risco.
Barbara Corcoran, investidora de sucesso e juíza do Shark Tank, perdeu 380.000 dólares em um ataque de engenharia social em 2020. Usando pretexting, o golpista fingiu ser o assistente pessoal de Barbara usando um endereço de e-mail que só trocou uma letra. O invasor enviou um e-mail ao contador de Corcoran, solicitando a renovação de um pagamento relacionado a um investimento imobiliário. O golpe foi descoberto quando o contador enviou um e-mail de acompanhamento e colocou o assistente pessoal em CC na mensagem.
Somos humanos com emoções que podem ser estimuladas, e todos nós reagimos à beleza e autoridade, podendo ser tentados pela urgência e por recompensas.
Em 2013, a Target foi vítima de um enorme ataque de engenharia social, e os hackers tiveram acesso às informações de pagamento de 40 milhões de pessoas. Os invasores se infiltraram usando um e-mail de phishing em uma empresa de refrigeradores parceira da Target. Os invasores instalaram malware nos computadores da empresa e esperaram alguém inserir as credenciais de login e ter acesso aos servidores da Target.
A partir disso, os hackers conseguiram navegar pelos sistemas internos da Target e encontrar vulnerabilidades para copiar os dados de pagamento das pessoas e despejá-los no próprio servidor externo.
Em 2015, a Ubiquiti Networks, fabricante de componentes Wi-Fi em San Jose, perdeu 39 milhões de dólares quando um hacker fingiu ser um funcionário e se direcionou ao departamento financeiro. Fingindo ser um fornecedor, o invasor conseguiu convencer uma subsidiária do departamento financeiro da Ubiquiti a alterar os detalhes de pagamento, direcionando o dinheiro para a própria conta.
Embora Ubiquiti tenha perdido inicialmente mais de 47 milhões de dólares, ela conseguiu recuperar 8 milhões, como consolação em meio à perda devastadora.
Quem corre mais risco de ser vítima da engenharia social?
Na verdade, todos estão vulneráveis a ataques de engenharia social. Somos humanos com emoções que podem ser estimuladas, e todos nós reagimos à beleza e autoridade, podendo ser tentados pela urgência e por recompensas.
Não devemos pensar nessas qualidades como fraquezas. Afinal, nós as desenvolvemos por razões evolutivas. Em vez disso, devemos aprender como os outros podem manipulá-las e treinar os usuários para identificar os sinais de alerta. Os idosos muitas vezes são alvo de ataques de engenharia social por nem sempre estarem familiarizados com a tecnologia moderna nem perceberem algo suspeito.
Dicas para não ser vítima de engenharia social
Assim como você pode praticar bons hábitos para evitar furtos, você pode também aprender dicas e práticas úteis para a prevenção de engenharia social.
Mas se você acha que foi vítima de engenharia social ou pretende adicionar uma camada extra de proteção, o AVG BreachGuard poderá ajudar. O BreachGuard notifica assim que ocorre vazamento online de qualquer uma das suas informações pessoais e monitora continuamente para evitar incidentes futuros. Ele é seu cão de guarda na internet.
Denunciar e excluir e-mails suspeitos
Encontrou algum phishing na caixa de entrada? Não basta marcar o e-mail suspeito como spam. Dependendo do conteúdo do e-mail, você deve tomar medidas informando o golpe da internet. Uma boa ação de acompanhamento é ler sobre como denunciar um crime cibernético e estar preparado para o futuro.
Nos EUA, a Federal Trade Commission (FTC) recomenda que você informe os e-mails de phishing, enviando-os para o Anti-Phishing Working Group em reportphishing@apwg.org. Se estiver no Reino Unido, você pode encaminhá-los para o Suspicious Email Reporting Service em report@phishing.gov.uk.
No Gmail, há uma forma integrada de denunciar phishing. Vá para o canto superior direito do e-mail e clique nos três pontos verticais ao lado de "responder". Depois selecione “Denunciar phishing” no menu suspenso. Você também pode tomar medidas preventivas de segurança aprendendo a impedir que o e-mail de spam chegue até a caixa de entrada.
Fontes e sites de pesquisa
Se você receber um e-mail com uma mensagem surpreendentemente dramática (por exemplo, alegando que seu CPF foi comprometido), lembre-se de verificar a origem do e-mail antes de entrar em pânico. Muitas vezes, os golpistas usam endereços de e-mail totalmente falsos, como um conjunto de letras e números, esperando que você se distraia demais com a mensagem para perceber. Além disso, lembre-se de que urgência e medo são táticas de manipulação.
Os golpistas mais sofisticados usam endereços de e-mail quase perfeitos, como o golpe de engenharia social mencionado acima no exemplo de Barbara Corcoran. Nesses casos, você precisa analisar atentamente e verificar se há erros de digitação em um endereço de e-mail de aparência legítima.
Se o ataque de engenharia social tentar direcioná-lo a um site específico, verifique sempre se o site está seguro antes de clicar no link ou digitar o endereço. Uma pesquisa rápida na web do URL pode revelar relatórios de golpes relacionados ao endereço da web. Tenha cuidado também com sites sem “s” em HTTPS (no início do endereço da web): o "s" significa "seguro".
Instale um antivírus confiável
O software antivírus evoluiu junto com o crime cibernético e é uma das melhores ferramentas para você ter no seu kit de ferramentas ao usar a internet. O AVG oferece software antivírus gratuito que detecta e bloqueia vírus, ransomware e outros tipos de malware. Ele pode até mesmo capturar downloads maliciosos e anexos de e-mail infectados antes que eles acessem seu computador, o que é útil principalmente se você tiver caído em uma armadilha de engenharia social ao tentar baixar um filme.
A inclusão do AVG AntiVirus Free ao seu kit de ferramentas de segurança cibernética é gratuita e adiciona uma nova camada de proteção entre você e os vírus e golpes da internet.
Use uma conexão Wi-Fi privada ou uma VPN sempre que possível
Mesmo que fazer login no Wi-Fi gratuito do aeroporto e responder e-mails de trabalho pareçam opções melhores do que comer uma pizza horrível na praça de alimentação, lembre-se de que a rede Wi-Fi não é uma conexão privada.
Várias outras pessoas estarão compartilhando a mesma rede que você e isso torna suas informações pessoais (ou de trabalho) vulneráveis a ataques. Ao acessar informações confidenciais, principalmente detalhes privados, como credenciais bancárias online, use sempre uma conexão privada.
Outra ótima ferramenta é a VPN (rede virtual privada). Uma VPN, como a AVG Secure VPN, criptografa sua conexão com a internet para você usar o Wi-Fi público com segurança. Ela também disfarça seu endereço IP para não vincular sua atividade online à sua identidade e local reais. A instalação de uma VPN oferece uma camada extra de proteção contra intenções maliciosas, tanto em casa como em ambiente público.
Implemente uma autenticação de vários fatores
O uso da autenticação de dois fatores pode mantê-lo fora do grupo de usuários da Internet que os hackers adoram visar como alvo. A autenticação de dois fatores exige que você verifique sua identidade em dois locais distintos, por exemplo, no computador e no telefone, ou mesmo usando uma chave de segurança física.
É improvável que um hacker consiga acessar seu computador e seu telefone ao mesmo tempo, portanto, a autenticação de vários fatores é um grande obstáculo para impedir que alguém tenha acesso às suas contas. Uma solicitação de autenticação que aparece no telefone sem você tentar fazer login no computador também é um sinal de que algo suspeito está acontecendo.
Use sempre senhas fortes
Se cair em uma armadilha de engenharia social e o invasor conseguir acessar suas informações de login, você vai querer impedir que ele acesse suas outras contas protegidas por senha. Isso significa que você não deve usar as mesmas senhas em várias contas e deve sempre criar senhas fortes.
Se a senha comprometida for “sparkleKitten456” da sua conta de e-mail e a senha que você usa para os serviços bancários online for “123kittenSparkle”, é provável que o hacker consiga descobrir sua outra senha e acessar suas informações bancárias. Ter preguiça para criar senhas é como fechar a porta com fita adesiva em vez de trancá-la, o que não será muito eficaz no caso de um ataque.
Se não estiver pronto para memorizar uma dúzia de senhas complexas diferentes, tente usar um gerenciador de senhas.
Use um antivírus no combate à engenharia social
Pode parecer que a internet esteja infestada de pessoas mal-intencionadas tentando manipular suas emoções o tempo necessário para roubar seus dados. Mas as medidas preventivas ajudam muito no combate às ameaças da engenharia social. Ler as técnicas de engenharia social facilita muito identificá-las em ação e diminui as chances de você morder a isca.
Além do conhecimento, uma das melhores medidas preventivas que você pode tomar contra a engenharia social é usar um software antivírus poderoso. O AVG AntiVirus Free verifica seu computador e rede, detectando e impedindo qualquer vírus, spyware, ransomware ou outro malware que um hacker possa estar tentando infiltrar.
Ele também bloqueia anexos de e-mail, links e downloads inseguros, para você nem sequer clicar neles por engano. Somos todos humanos, tentando navegar na internet com nossos preconceitos cognitivos, por isso é bom ter uma camada extra de segurança no caso de sermos vítimas.