O que é Engenharia Social?

A Engenharia Social é uma técnica usada por indivíduos mal-intencionados, para manipular, influenciar ou enganar pessoas, visando obter acesso a informações confidenciais, sistemas operacionais ou outros recursos e dados sensíveis. 

Ao invés de explorar vulnerabilidades técnicas, os engenheiros sociais exploram a natureza humana, como a confiança, a curiosidade ou o medo, para atingir seus objetivos. Isso pode ocorrer através de diferentes meios, como telefonemas fraudulentos, e-mails falsificados, mensagens de texto enganosas ou mesmo interações pessoais, onde os criminosos se passam por indivíduos confiáveis ​​ou autoridades legítimas, buscando induzir as vítimas a revelarem informações sigilosas ou a executarem ações prejudiciais.

Definição de Phishing

As técnicas de engenharia social podem variar desde simples tentativas de persuasão até esquemas altamente elaborados e direcionados, como o Phishing. 

O Phishing é um tipo de técnica de engenharia social mais elaborada, sendo um crime cibernético no qual um alvo ou alvos são contatados por e-mail, telefone ou mensagem de texto por alguém que se faz passar por uma instituição legítima para induzir indivíduos a fornecerem dados confidenciais, como informações de identificação pessoal, detalhes bancários e de cartão de crédito e senhas.

Imagem: Usecure

Esses ataques visam explorar a ingenuidade ou a falta de conhecimento das vítimas sobre práticas de segurança cibernética. As informações são então usadas para acessar contas importantes e podem resultar em roubo de identidade e perdas financeiras.

Portanto, é fundamental que os indivíduos estejam cientes dessas ameaças e adotem medidas de segurança, como a verificação da autenticidade das solicitações de informações sensíveis e a educação contínua sobre práticas de segurança online, para se protegerem contra ataques de engenharia social.

Tipos Mais Comuns de Phishing

Esses 5 tipos de phishing, além do tradicional, representam algumas das táticas mais comuns usadas por criminosos cibernéticos para enganar as vítimas e roubar informações confidenciais. É crucial que os usuários estejam cientes dessas ameaças e adotem medidas de segurança adequadas, como verificar a autenticidade de e-mails, mensagens de texto e chamadas telefônicas, além de manter seus sistemas e softwares atualizados com as últimas correções de segurança.

Spear Phishing: O spear phishing é uma forma mais direcionada de ataque, onde os hackers pesquisam e coletam informações sobre indivíduos ou organizações específicas antes de enviar os ataques. As mensagens são altamente personalizadas e projetadas para parecerem legítimas, o que aumenta a probabilidade de sucesso. Os alvos podem incluir funcionários de empresas, clientes ou mesmo pessoas influentes em determinadas áreas.

Imagem: Valimail

Pharming: No pharming, os hackers redirecionam o tráfego da web de uma vítima para um site falso, mesmo que o usuário tenha digitado corretamente o endereço do site. Isso é feito através de técnicas de manipulação de DNS ou malware que altera as configurações de DNS do computador da vítima. O objetivo é levar a vítima a inserir suas credenciais em um site falso, onde os hackers podem roubá-las.

Imagem: Avast

Vishing: O vishing envolve o uso de chamadas telefônicas fraudulentas, onde os hackers se passam por representantes de empresas legítimas, como bancos, empresas de cartão de crédito ou agências governamentais. Eles usam técnicas de engenharia social para convencer as vítimas a divulgar informações pessoais ou financeiras por telefone, como números de conta bancária ou números de cartão de crédito.

Smishing: O smishing é uma forma de phishing que ocorre por meio de mensagens de texto SMS fraudulentas. Os hackers enviam mensagens de texto falsas para os telefones celulares das vítimas, geralmente solicitando que cliquem em links ou respondam com informações pessoais. Essas mensagens podem se passar por bancos, empresas de entrega ou até mesmo serviços de governo.

Whaling: O whaling é uma forma de phishing direcionada a indivíduos de alto escalão em organizações, como CEOs, CFOs ou outras autoridades executivas. Os hackers usam técnicas sofisticadas de engenharia social para se passar por colegas de trabalho ou parceiros de negócios e solicitar informações confidenciais ou transferências de fundos. Esses ataques visam obter acesso privilegiado a dados sensíveis ou realizar fraudes financeiras em larga escala.

Uma Breve contextualização da história dos ataques de Phishing

Por mais difundido e conhecido que o phishing seja agora, ele não existe desde sempre. Embora a prática tenha surgido por volta do ano de 1995, esses tipos de golpes não eram comumente conhecidos pelas pessoas comuns até quase dez anos depois.

De acordo com registros da Internet, a primeira vez que o termo “phishing” foi usado e registrado foi em 2 de janeiro de 1996. A menção ocorreu em um grupo de notícias da Usenet chamado AOHell. É justo que também tenha sido feito lá; America Online é onde ocorreriam os primeiros rumores do que se tornaria uma grande questão criminal.

O primeiro processo de phishing foi movido em 2004 contra um adolescente californiano que criou a imitação do site “America Online”. Com esse site falso, ele conseguiu obter informações confidenciais dos usuários e acessar os dados do cartão de crédito para sacar dinheiro de suas contas. Além do phishing por e-mail e sites, há também o ‘vishing’ (phishing por voz), o ‘smishing’ (phishing por SMS) e várias outras técnicas de phishing que os cibercriminosos estão constantemente criando.

Os phishers começam a adotar HTTPS cada vez mais em seus sites a partir de 2017. Quando você clica em um link de phishing, os sites para os quais são direcionados – que tentam enganá-lo a inserir credenciais, informações pessoais e assim por diante – implementam criptografia na web pelo menos 24% das vezes. O cadeado verde dá aos consumidores uma falsa sensação de segurança. Tudo o que realmente nos diz é que o tráfego entre o servidor e o navegador do usuário está criptografado e protegido contra interceptação.

Em 2018, pesquisadores descobrem uma nova geração de kits de phishing prontamente disponíveis na Dark Web para cibercriminosos. O kit permite que qualquer pessoa que o baixe crie facilmente e-mails convincentes e redirecione sites que imitam de perto elementos de marca de empresas conhecidas e inicie uma campanha de phishing que coleta informações pessoais e financeiras de alvos desprevenidos.

Em 2020 incluem em direcionar links de e-mail para resultados de pesquisa falsos do Google que apontam para sites

Evolução Recente nos Ataques de Phishing

Recentemente, temos testemunhado evoluções significativas nas táticas de phishing, à medida que os criminosos cibernéticos buscam maneiras mais sofisticadas de enganar as vítimas e contornar as defesas de segurança. 

Uma das tendências mais proeminentes é o uso crescente de inteligência artificial (IA) para aprimorar os ataques de phishing. Os hackers estão utilizando algoritmos de aprendizado de máquina para automatizar o processo de criação de e-mails de phishing mais convincentes e personalizados. 

Isso permite que eles analisem grandes volumes de dados sobre as vítimas, como histórico de navegação na web, perfis de mídia social e padrões de comportamento online, para criar mensagens mais direcionadas e persuasivas. Além disso, a IA pode ser usada para aprimorar técnicas de engenharia social, como a criação de perfis falsos nas redes sociais para aumentar a credibilidade dos ataques.

Outra evolução importante é o desenvolvimento de técnicas de spoofing mais sofisticadas. O spoofing envolve a falsificação de informações, como endereços de e-mail ou números de telefone, para fazer com que as mensagens de phishing pareçam originadas de fontes confiáveis. 

Os hackers agora estão usando técnicas avançadas de spoofing, como o uso de domínios semelhantes aos legítimos e a falsificação de números de telefone com ID de chamada, para tornar seus ataques ainda mais convincentes e difíceis de detectar. Isso aumenta a probabilidade de que as vítimas cliquem em links maliciosos ou forneçam informações confidenciais.

Além disso, estamos vendo um aumento nos ataques direcionados a dispositivos IoT (Internet das Coisas). Com o crescente número de dispositivos conectados à internet, como câmeras de segurança, termostatos inteligentes e eletrodomésticos, os hackers têm mais oportunidades de explorar vulnerabilidades nessas tecnologias para realizar ataques de phishing. 

Isso inclui o envio de e-mails de phishing que se passam por atualizações de firmware ou alertas de segurança para dispositivos IoT, na esperança de que os usuários cliquem em links maliciosos ou insiram credenciais de acesso, comprometendo assim a segurança de suas redes domésticas ou corporativas.

Em resumo, as evoluções recentes nas táticas de phishing demonstram um aumento na sofisticação e na complexidade dos ataques, tornando mais desafiador para as organizações e usuários individuais se protegerem contra essas ameaças. É essencial estar sempre vigilante e adotar práticas de segurança cibernética robustas para mitigar o risco de cair em armadilhas de phishing. Isso inclui educação contínua sobre ameaças cibernéticas, uso de soluções de segurança avançadas e implementação de políticas de segurança rigorosas.

Algumas medidas Anti-phishing

O fato é que ninguém quer ser a nova vítima de um golpe de phishing, porém há uma boa razão para que esses golpes continuem: eles são bem-sucedidos o suficiente para que os cibercriminosos obtenham lucros enormes. Os golpes de phishing existem praticamente desde o início da Internet e não irão desaparecer tão cedo. Felizmente, existem maneiras de evitar se tornar uma vítima. Aqui estão 10 diretrizes básicas para se manter seguro:

1. Pense antes de clicar! – Não há problema em clicar em links quando você está em sites confiáveis. Clicar em links que aparecem em e-mails aleatórios e mensagens instantâneas, entretanto, não é uma jogada tão inteligente. Passe o mouse sobre os links dos quais você não tem certeza antes de clicar neles. Eles levam para onde deveriam levar? Um e-mail de phishing pode alegar ser de uma empresa legítima e, quando você clica no link para o site, ele pode ser exatamente igual ao site real. O e-mail pode solicitar que você preencha as informações, mas o e-mail pode não conter seu nome. A maioria dos e-mails de phishing começa com “Prezado Cliente”, portanto você deve estar alerta ao encontrar esses e-mails. Em caso de dúvida, vá diretamente à fonte em vez de clicar em um link potencialmente perigoso.

2. Mantenha-se informado – Novos golpes de phishing estão sendo desenvolvidos o tempo todo. Sem ficar por dentro dessas novas técnicas de phishing, você pode inadvertidamente ser vítima de uma delas. Fique atento às notícias sobre novos golpes de phishing. Ao descobrir sobre eles o mais cedo possível, você correrá um risco muito menor de ser pego por um deles. Para os administradores de TI, o treinamento contínuo de conscientização sobre segurança e a simulação de phishing para todos os usuários são altamente recomendados para manter a segurança como prioridade em toda a organização.

3. Verifique a segurança de um site – É natural ser um pouco cauteloso ao fornecer informações financeiras confidenciais online. Contanto que você esteja em um site seguro, você não deverá ter problemas. Antes de enviar qualquer informação, certifique-se de que o URL do site comece com “https” e que haja um ícone de cadeado fechado próximo à barra de endereço. Verifique também o certificado de segurança do site. Se você receber uma mensagem informando que um determinado site pode conter arquivos maliciosos, não abra o site. Nunca baixe arquivos de e-mails ou sites suspeitos. Até mesmo os motores de busca podem mostrar certos links que podem levar os usuários a uma página de phishing que oferece produtos de baixo custo. Caso o usuário faça compras em tal site, os dados do cartão de crédito serão acessados ​​por cibercriminosos.

4. Mantenha seu navegador atualizado – Patches de segurança são lançados para navegadores populares o tempo todo. Eles são lançados em resposta às brechas de segurança que os phishers e outros hackers inevitavelmente descobrem e exploram. Se você normalmente ignora mensagens sobre atualização de seus navegadores, pare. Assim que uma atualização estiver disponível, baixe-a e instale-a.

5. Tenha cuidado com pop-ups – As janelas pop-up geralmente se disfarçam como componentes legítimos de um site. Muitas vezes, porém, são tentativas de phishing. Muitos navegadores populares permitem bloquear pop-ups; você pode permiti-los caso a caso. Se alguém conseguir escapar, não clique no botão “cancelar”; esses botões geralmente levam a sites de phishing. Em vez disso, clique no pequeno “x” no canto superior da janela.

6. Desconfiança de Ofertas Suspeitas: Os usuários devem ser céticos em relação a ofertas que parecem boas demais para serem verdadeiras. Promessas de prêmios gratuitos, ofertas de emprego duvidosas ou oportunidades de investimento garantidas geralmente são indicadores de possíveis ataques de phishing.

7. Uso de Filtros Anti-Spam: Configurar filtros anti-spam eficazes pode ajudar a bloquear e-mails de phishing antes que cheguem à caixa de entrada dos usuários. Isso reduz a chance de serem expostos a mensagens maliciosas em primeiro lugar.

8. Instale uma barra de ferramentas anti-phishing – Os navegadores de Internet mais populares podem ser personalizados com barras de ferramentas anti-phishing. Essas barras de ferramentas executam verificações rápidas nos sites que você está visitando e os comparam com listas de sites de phishing conhecidos. Se você encontrar um site malicioso, a barra de ferramentas irá alertá-lo sobre isso. Esta é apenas mais uma camada de proteção contra golpes de phishing e é totalmente gratuita.

9. Nunca forneça informações pessoais – Como regra geral, você nunca deve compartilhar informações pessoais ou financeiramente confidenciais pela Internet. Essa regra remonta aos dias da America Online, quando os usuários precisavam ser avisados ​​constantemente devido ao sucesso dos primeiros golpes de phishing. Na dúvida, acesse o site principal da empresa em questão, pegue o número e ligue. A maioria dos e-mails de phishing direcionará você para páginas onde são necessárias entradas de informações financeiras ou pessoais. Um internauta nunca deve fazer entradas confidenciais através dos links fornecidos nos e-mails. Nunca envie um e-mail com informações confidenciais para ninguém. Crie o hábito de verificar o endereço do site. Um site seguro sempre começa com “https”.

10. Use software antivírus – Existem muitos motivos para usar software antivírus. Assinaturas especiais incluídas no software antivírus protegem contra soluções alternativas e brechas tecnológicas conhecidas. Apenas certifique-se de manter seu software atualizado. Novas definições são adicionadas o tempo todo porque novos golpes também são inventados o tempo todo. As configurações de anti-spyware e firewall devem ser usadas para evitar ataques de phishing e os usuários devem atualizar os programas regularmente. A proteção do firewall impede o acesso a arquivos maliciosos, bloqueando os ataques. O software antivírus verifica todos os arquivos que chegam ao seu computador pela Internet. Ajuda a evitar danos ao seu sistema.

Fique atento!

Seguindo as estratégias destacadas neste artigo, você pode fortalecer significativamente a segurança de sua organização e minimizar o risco de violações de segurança, principalmente relacionados aos mais diferentes ataques de Phishing. 

Não deixe sua empresa vulnerável a ataques cibernéticos. Entre em contato com HackOne Consultores Associados hoje mesmo para saber como nossas soluções de segurança cibernética podem proteger e garantir a integridade de sua empresa. 

Estamos aqui para ajudar você a proteger o futuro do seu negócio. Agende uma consulta gratuita agora mesmo.