Engenharia Social Parte 2: Saiba tudo sobre o Phishing

Como vimos no último artigo, os cibercriminosos também podem utilizar formas não digitais para atacar pessoas e Organizações. Hoje veremos como funcionam os ataques de engenharia social de natureza tecnológica, em especial o Phishing. Veremos como reconhecê-los, removê-los e se prevenir para não se tornar mais uma vítima.

O que você vai ver neste post

Definição

Engenharia Social é a habilidade do atacante em persuadir a vítima para que esta faça algo do interesse dele, como por exemplo, conceder acesso a informações confidenciais.

 

Tipo de ataques

Os ataques de engenharia social possuem dois tipos de natureza. Eles podem ser:

  • Baseados em humanos (no-tech hacking) – lidam com táticas que requerem uma interação pessoal para alcançar o alvo, não utilizando recursos tecnológicos.
  • Baseados em tecnologia – utilizam recursos tecnológicos para chegar ao alvo (e-mail, telefone, redes sociais, sites, mensagens instantâneas etc.).

 

Ataques baseados em tecnologia

Phishing

É um tipo de tática Something for Something (quid pro quo), na qual um invasor solicita informações pessoais da vítima em troca de algo, como um presente.

O termo phishing é devido a semelhança com o vocábulo inglês fishing, que significa ‘’pescar’’. Assim como na pesca, o cibercriminoso lança ‘’iscas’’ ao usuário para obter informações confidenciais deste. Ao compartilhar estas informações, a vítima pode ter suas contas violadas e ser alvo de falsa identidade.

Como funciona?

O usuário recebe um e-mail ou SMS malicioso, muito parecido com o real. O remetente, geralmente, de uma instituição com credibilidade, como bancos, governo, instituições financeiras. No conteúdo, sempre é requerida uma ação, como clicar em um link ou arquivo, ou são solicitadas informações.

Segundo pesquisas, o Brasil é líder mundial em ataques via e-mail, SMS e links suspeitos.

Conheça os principais tipos de phishing:

Blind Phishing

É o mais comum de todos, disparado por e-mail em massa contendo link malicioso.

Spear Phishing

Ataque direcionado para um grupo específico, por exemplo, órgãos do Governo. Tem como objetivo acessar o banco de dados atacado, para obter informações confidenciais ou financeiras.

Clone Phishing

Este golpe clona um site original para atrair os usuários. Ao acessar o site falso e inserir informações cadastrais em um formulário malicioso, os dados são transmitidos para os atacantes. 

Whaling Phishing

Investidas direcionadas a executivos c-level e personalidades de relevância. Geralmente aparecem como intimações judiciais ou notificações empresariais internas.

Vishing

Quando mecanismos de voz são utilizados para aplicar golpes. Por exemplo, pode vir acompanhado de SMS dizendo que o cartão foi bloqueado, pedindo para a vítima ligar para um determinado número e pedir a liberação; também pode ser uma ligação direta para a casa ou celular da vítima. Os criminosos usam o VoIP pela facilidade em ocultar a identidade de quem realiza a chamada.

Pharming

É quando, ao digital a URL de um site verdadeiro no Google, o DNS direciona automaticamente o usuário para uma página falsa, criada para o ataque.

Smishing

É o nome para phishing realizado através de SMS. São mensagens que geralmente constrangem o usuário, como dívidas, sorteio de prêmios ou recebimento de valores altos em dinheiro.

Impersonation

É quando o atacante se passa por outra pessoa com o objetivo de obter informações, ter acesso a lugares restritos, áreas e departamentos de empresas ou a computadores.

Como reconhecer um golpe de engenharia social

Qualquer aviso, recomendação ou ajuda não solicitada deve ser analisada com atenção, principalmente caso peça para clicar em um link. Exemplos:

  1. Usuário recebe ofertas muito lucrativas sem precedentes; podem ser iscas para atrair o clique em links maliciosos que vão roubar os seus dados.
  2. Usuário recebe declarações de ganhadores de prêmios, viagens, smartphones e carros; campanhas e sorteios podem ser verificados diretamente nos sites dos anunciantes, não clique nos links maliciosos.
  3. E-mails pedindo que você fazer algo o mais rápido possível, para não perder ‘’a chance da sua vida’’. Empresas sérias nunca dão prazos curtos.
  4. Frases como “seu serviço será suspenso se…” ou “sua conta foi bloqueada, clique aqui para verificar”. Sempre verifique diretamente com a instituição referida, seja banco ou órgão governamental. Empresas sérias não tem esse tipo de abordagem aos clientes e usuários.

Cuidados para evitar golpes de engenharia social

  1. Atente-se para os anexos das mensagens. Extrato de conta, comprovante de depósito, multa ou até propostas de trabalho são usados para induzir o usuário a clicar em links que contém vírus e roubar dados.
  2. Não abra mensagens de remetentes que não conhece.
  3. Nunca forneça senha ou dados financeiros. Instituições legítimas nunca pedirão a sua senha.
  4. Sempre verifique o endereço de e-mail de qualquer mensagem suspeita antes de abrir o e-mail. Geralmente comunicações com phishing contém palavras escritas erradas e uma URL falsa.

Como remover um ataque de engenharia social

A melhor maneira de evitar a engenharia social é não permitir ser enganado. Caso isso ocorra, é interessante usar um software para remover qualquer arquivo malicioso. Além disso, é importante ter um cuidado especial com relação as credenciais e as senhas.

O VaultOne evita violações de dados, protegendo o usuário e seu acesso, grava sessões e fornece material para análise forense, auditoria e rastreamento de violações. Fale com nossa equipe e descubra como podemos deixar sua Organização mais segura.