Engenharia social é a arte de manipular as pessoas para que elas forneçam informações confidenciais. Os tipos de informação que esses criminosos procuram podem variar, mas quando os indivíduos são visados, os criminosos geralmente tentam enganá-lo para que forneça suas senhas ou informações bancárias, ou acesse seu computador para instalar secretamente software malicioso – que lhes dará acesso ao seu senhas e informações bancárias, além de dar a eles controle sobre seu computador.

Os criminosos usam táticas de engenharia social porque geralmente é mais fácil explorar sua inclinação natural para confiar do que descobrir maneiras de hackear seu software. Por exemplo, é muito mais fácil enganar alguém para lhe dar a senha do que tentar hackear a senha (a menos que a senha seja muito fraca).

O phishing evoluiu. Aprenda 11 maneiras pelas quais os hackers estão buscando seus dados e como se proteger neste guia.

Segurança significa saber em quem e no que confiar. É importante saber quando e quando não acreditar na palavra de uma pessoa e quando a pessoa com quem você está se comunicando é quem ela diz ser. O mesmo se aplica às interações online e ao uso do site: quando você confia que o site que está usando é legítimo ou seguro para fornecer suas informações?

Pergunte a qualquer profissional de segurança e ele dirá que o mais fraco elo na cadeia de segurança é o ser humano que aceita uma pessoa ou cenário pelo valor de face. Não importa quantas fechaduras e travas haja em suas portas e janelas, ou se possuem cães de guarda, sistemas de alarme, holofotes, cercas com arame farpado e pessoal de segurança armado; se você confiar na pessoa no portão que diz ser o entregador de pizza e deixá-la entrar sem primeiro verificar se ela é legítima, você estará completamente exposto a qualquer risco que ela represente.

O que significa Ataque de engenharia social parece?

E-mail de um amigo

Se um criminoso conseguir hackear ou fazer engenharia social na senha de e-mail de uma pessoa, ele terá acesso à lista de contatos dessa pessoa – e porque a maioria das pessoas usar uma senha em todos os lugares, eles provavelmente terão acesso aos contatos da rede social dessa pessoa também.

Assim que o criminoso tiver essa conta de e-mail sob seu controle, ele envia e-mails para todos os contatos da pessoa ou deixa mensagens em todos os seus páginas sociais do amigo e, possivelmente, nas páginas dos amigos do amigo dessa pessoa.

Aproveitando a sua confiança e curiosidade, essas mensagens:

• Contêm um link que você só precisa verificar – e como o link vem de um amigo e você está curioso, você confiará no link e clique – e ser infectado com malware para que o criminoso possa assumir o controle de sua máquina e coletar as informações de seus contatos e enganá-los como você foi enganado

• Contém um download de imagens, música, filme, documento, etc., que tenha software malicioso incorporado. Se você baixar – o que é provável que você faça, já que pensa ser de seu amigo – você se infecta. Agora, o criminoso tem acesso à sua máquina, conta de e-mail, contas de redes sociais e contatos, e o ataque se espalha para todos que você conhece. E assim por diante.

E-mail de outra fonte confiável

Ataques de phishing são um subconjunto da estratégia de engenharia social que imita uma fonte confiável e cria um cenário aparentemente lógico para entregar credenciais de login ou outros dados pessoais confidenciais. De acordo com dados da Webroot, as instituições financeiras representam a grande maioria das empresas falsificadas e, de acordo com o relatório anual de investigações de violação de dados da Verizon, os ataques de engenharia social, incluindo phishing e pretextos (veja abaixo), são responsáveis por 93% das violações de dados bem-sucedidas.

Usando uma história ou pretexto convincente, essas mensagens podem:

• Pedir urgentemente sua ajuda. Seu ‘amigo’ está preso no país X, foi roubado, espancado , e está no hospital. Eles precisam que você envie dinheiro para que eles possam chegar em casa e digam como enviar o dinheiro para o criminoso.

• Use tentativas de phishing com um experiência aparentemente legítima. Normalmente, um phisher envia um e-mail, mensagem instantânea, comentário ou mensagem de texto que parece vir de uma empresa, banco, escola ou instituição popular e legítima.

• Peça que você faça uma doação para uma arrecadação de fundos para caridade ou alguma outra causa. Provavelmente com instruções sobre como enviar o dinheiro para o criminoso. dureza e generosidade, esses phishers pedem ajuda ou apoio para qualquer desastre, campanha política ou caridade que seja momentaneamente mais importante.

• Apresentar um problema que exige que você ” verifique “suas informações clicando no link exibido e fornecendo as informações no formulário.O local do link pode parecer muito legítimo com todos os logotipos e conteúdo corretos (na verdade, os criminosos podem ter copiado o formato e o conteúdo exatos do site legítimo). Como tudo parece legítimo, você confia no e-mail e no site falso e fornece todas as informações que o criminoso solicitar. Esses tipos de golpes de phishing geralmente incluem um aviso do que acontecerá se você deixar de agir logo, porque os criminosos sabem que, se conseguirem fazer com que você aja antes de pensar, é mais provável que você caia na tentativa de phishing deles.

• Notificá-lo de que você é um ‘vencedor’. Talvez o e-mail afirme ser de uma loteria, ou um parente morto, ou a milionésima pessoa a clicar em seu site, etc. para lhe dar os seus ‘ganhos’, tem de fornecer informações sobre o encaminhamento do seu banco para que saibam como lhe enviar ou dar o seu endereço e número de telefone para que possam enviar o prémio, e também pode ser-lhe pedido que prove quem é muitas vezes incluindo o seu número de segurança social. Estes são os ‘gananciosos’ onde, mesmo que o pretexto da história seja ralo, as pessoas querem o que é oferecido e caem nessa, dando suas informações, esvaziando a conta bancária e roubando a identidade.

• Faça-se passar por chefe ou colega de trabalho. Ele pode solicitar uma atualização sobre um importante projeto proprietário em que sua empresa está trabalhando atualmente, informações de pagamento relativas a um cartão de crédito da empresa ou alguma outra consulta disfarçada de negócios do dia-a-dia.

Cenários de isca

Esses esquemas de engenharia social sabem que, se você balançar algo que as pessoas querem, muitas pessoas morderão a isca. Esses esquemas são frequentemente encontrados em sites ponto a ponto que oferecem o download de algo como um novo filme ou música. Mas os esquemas também são encontrados em sites de redes sociais, sites maliciosos que você encontra por meio de resultados de pesquisa e assim por diante.

Ou o esquema pode aparecer como um negócio incrivelmente grande em sites de classificados, sites de leilão, etc. .. Para dissipar suas suspeitas, você pode ver que o vendedor tem uma boa classificação (tudo planejado e elaborado com antecedência).

Pessoas que mordem a isca podem estar infectadas com software malicioso que pode gerar qualquer número de novos exploits contra eles próprios e seus contatos podem perder seu dinheiro sem receber o item comprado e, se forem tolos o suficiente para pagar com cheque, podem encontrar sua conta bancária vazia.

Resposta a uma pergunta que você nunca tinha

Os criminosos podem fingir estar respondendo ao seu ‘pedido de ajuda’ de uma empresa ao mesmo tempo que oferecem mais ajuda. Eles escolhem empresas que milhões de pessoas usam, como uma empresa de software ou banco. Se você não usar o produto ou serviço, irá ignorar o e-mail, o telefonema ou a mensagem, mas se usar o serviço, há uma boa chance de você responder porque provavelmente deseja ajuda com um problema .

Por exemplo, mesmo sabendo que não fez uma pergunta originalmente, você provavelmente tem um problema com o sistema operacional do seu computador e aproveita esta oportunidade para consertá-lo. De graça! No momento em que você responde, você comprou a história do vigarista, deu a ele sua confiança e se abriu para exploração.

O representante, que na verdade é um criminoso, precisará ‘autenticá-lo’, para que você faça login ‘seu sistema’ ou, faça o login em seu computador e dê a eles acesso remoto ao seu computador para que eles possam ‘consertá-lo’ para você, ou diga-lhe os comandos para que você possa corrigi-lo sozinho com a ajuda deles – onde alguns dos os comandos que eles pedem para você inserir abrirão um caminho para o criminoso voltar ao seu computador mais tarde.

Criando desconfiança

Alguma engenharia social tem a ver com criar desconfiança ou iniciar conflitos ; muitas vezes são realizados por pessoas que você conhece e que estão com raiva de você, mas também é feito por pessoas desagradáveis apenas tentando causar estragos, pessoas que querem primeiro criar desconfiança em sua mente sobre os outros para que possam intervir como um hero e ganhar sua confiança, ou por extorsionários que querem manipular informações e ameaçar você com revelação.

Essa forma de engenharia social geralmente começa obtendo acesso a uma conta de e-mail ou outra conta de comunicação em um cliente de IM , rede social, chat, fórum, etc. Eles conseguem isso por meio de hackers, engenharia social ou simplesmente adivinhando senhas realmente fracas.

• A pessoa mal-intencionada pode então alterar comunicações confidenciais ou privadas (incluindo imagens e áudio) usando técnicas básicas de edição e os encaminha para outras pessoas para criar drama, desconfiança, constrangimento, etc. Eles podem fazer parecer que foi enviado acidentalmente ou parecer que estão deixando você saber o que é “realmente” acontecendo.

• A Alternativamente, eles podem usar o material alterado para extorquir dinheiro da pessoa que hackearam ou do suposto destinatário.

Existem literalmente milhares de variações nos ataques de engenharia social.O único limite para o número de maneiras pelas quais eles podem criar usuários da engenharia social por meio desse tipo de exploração é a imaginação do criminoso. E você pode enfrentar várias formas de exploits em um único ataque. Então, o criminoso provavelmente venderá suas informações para outros, para que eles também possam usar suas façanhas contra você, seus amigos, os amigos de seus amigos e assim por diante, à medida que os criminosos aproveitam a confiança perdida das pessoas.

Não se torne uma vítima

Embora os ataques de phishing sejam violentos, de curta duração e precisem apenas de alguns usuários para morder a isca para uma campanha bem-sucedida, existem métodos para se proteger. A maioria não exige muito mais do que simplesmente prestar atenção aos detalhes à sua frente. Lembre-se do seguinte para evitar ser você mesmo phishing.

Dicas para lembrar:

• Vá devagar. Os spammers querem que você aja primeiro e pense depois. Se a mensagem transmitir um senso de urgência ou usar táticas de vendas de alta pressão, seja cético; nunca deixe a urgência influenciar sua análise cuidadosa.

• Pesquise os fatos. Suspeite de quaisquer mensagens não solicitadas. Se o e-mail parecer ser de uma empresa que você usa, faça sua própria pesquisa. Use um mecanismo de pesquisa para ir ao site da empresa real ou uma lista telefônica para encontrar o número de telefone.

• Não deixe que um link controle onde você pousa. Mantenha o controle encontrando o site por conta própria usando um mecanismo de pesquisa para certifique-se de chegar onde deseja. Passar o mouse sobre os links no e-mail mostrará o URL real na parte inferior, mas uma boa falsificação ainda pode direcionar você para o erro.

• Roubo de e-mail é galopante. Hack ers, spammers e engenheiros sociais assumindo o controle das contas de e-mail das pessoas (e outras contas de comunicação) tornou-se galopante. Depois de controlar uma conta de e-mail, eles contam com a confiança dos contatos da pessoa. Mesmo quando o remetente parece ser alguém que você conhece, se você não estiver esperando um e-mail com um link ou anexo, verifique com seu amigo antes de abrir links ou fazer download.

• Cuidado com o qualquer download. Se você não conhece o remetente pessoalmente E espera um arquivo dele, fazer download de qualquer coisa é um erro.

• Ofertas estrangeiras são falsas. Se você receber um e-mail de uma loteria ou sorteio estrangeiro, dinheiro de um parente desconhecido ou solicitações para transferir fundos de um país estrangeiro para uma parte do dinheiro, é garantido que é um golpe.

Maneiras de se proteger:

• Exclua qualquer solicitação de informações financeiras ou senhas. Se você for solicitado a responder a uma mensagem com informações pessoais, é um golpe.

• Rejeite pedidos de ajuda ou ofertas de ajuda. Empresas e organizações legítimas não entram em contato com você para fornecer ajuda. Se você não solicitou especificamente a assistência do remetente, considere qualquer oferta para “ajudar” a restaurar a pontuação de crédito, refinanciar uma casa, responder à sua pergunta, etc., uma fraude. Da mesma forma, se você receber um pedido de ajuda de uma instituição de caridade ou organização com a qual não tenha um relacionamento, exclua-o. Para doar, procure você mesmo organizações de caridade de boa reputação para evitar cair em uma fraude.

• Defina seus filtros de spam como altos. Todo programa de e-mail possui filtros de spam. Para encontrar o seu, verifique as opções de configuração e defina-as como altas – lembre-se de verificar sua pasta de spam periodicamente para ver se o e-mail legítimo foi acidentalmente preso lá. Você também pode pesquisar um guia passo a passo para configurar seus filtros de spam, pesquisando pelo nome de seu provedor de e-mail mais a frase ‘filtros de spam’.

• Proteja seu dispositivos de computação. Instale software antivírus, firewalls, filtros de e-mail e mantenha-os atualizados. Configure seu sistema operacional para atualizar automaticamente e, se o smartphone não atualizar automaticamente, atualize-o manualmente sempre que receber um aviso para fazer isso. Use uma ferramenta anti-phishing oferecida por seu navegador da web ou por terceiros para alertá-lo sobre os riscos.

O banco de dados de ameaças da Webroot tem mais de 600 milhões de domínios e 27 bilhões de URLs categorizados para proteger os usuários contra ameaças baseadas na Web. A inteligência de ameaças que respalda todos os nossos produtos ajuda você a usar a Web com segurança, e nossas soluções de segurança móvel oferecem navegação segura na Web para evitar ataques de phishing bem-sucedidos.