Engenharia social e como evitá-la

O que é engenharia social?

A engenharia social é a prática de usar técnicas psicológicas para manipular o comportamento. Ela explora o erro humano e incentiva as vítimas a agir contra seus interesses. Em segurança da informação, a engenharia social se refere a fazer com que as pessoas divulguem dados privados online, como credenciais de login ou informações financeiras.

Em outros contextos, engenharia social significa algo um pouco diferente. Nas ciências sociais, por exemplo, a engenharia social é simplesmente o esforço para influenciar psicologicamente os comportamentos sociais em uma escala de grupo maior. Isso pode incluir incentivar as pessoas a se comportarem bem no transporte público, parar de fumar ou até mesmo apoiar uma revolução política.

Aqui, vamos nos concentrar na engenharia social no contexto de segurança da informação, onde os hackers implantam técnicas online para obter acesso a informações confidenciais. No terreno digital, a engenharia social pode ser definida como um crime cibernético.

Como a engenharia social funciona?

A engenharia social funciona aproveitando os vícios cognitivos das pessoas. Quem usa engenharia social se apresenta como uma pessoa simpática, confiável ou com autoridade para ganhar a confiança da vítima. Uma vez que o invasor ganha essa confiança, a vítima é manipulada para entregar informações privadas.

Infelizmente, há muitos vícios cognitivos que os invasores podem explorar a seu favor para roubar os dados privados das vítimas sem que elas sequer percebam. As técnicas de engenharia social exploram a confiança de várias maneiras.

Tipos de ataque de engenharia social

Uma das melhores maneiras de se proteger de um ataque de engenharia social é aprender sobre os métodos comuns usados por ela. Atualmente, a engenharia social acontece com frequência online, até por meio de golpes de mídia social, em que os invasores se apresentam como um contato confiável ou uma figura de autoridade para manipular as pessoas para que exponham informações confidenciais.

Veja outros tipos comuns de ataques de engenharia social:

Phishing

Phishing é um tipo de ataque de engenharia social em que as comunicações são disfarçadas para parecer que vêm de uma fonte confiável. Essas mensagens, geralmente e-mails, são projetadas para induzir as vítimas a entregar informações pessoais ou financeiras. Afinal, por que deveríamos duvidar da autenticidade de um e-mail enviado por um amigo, parente ou empresa que conhecemos? Os golpes de phishing aproveitam a confiança.

Spear phishing

Spear phishing é um tipo de ataque de engenharia social que visa grandes empresas ou pessoas específicas. Os ataques de spear phishing são direcionados especificamente a pequenos grupos ou pessoas poderosas, como executivos de empresas e celebridades. Os ataques de engenharia social que usam esse método geralmente são bem pesquisados e disfarçados de forma furtiva, tornando-os difíceis de detectar.

Vishing

Vishing, conhecido também como “phishing de voz”, é uma forma sofisticada de ataque de phishing. Nesses ataques, um número de telefone é geralmente falsificado para parecer legítimo. Os invasores podem se disfarçar de funcionários de TI, colegas de empresa ou funcionários de bancos. Alguns invasores também podem usar modificadores de voz para ocultar ainda mais a identidade.

Smishing

Smishing é um tipo de ataque de phishing que aparece na forma de SMS. Esses tipos de ataque geralmente solicitam uma ação imediata da vítima, incluindo links malignos para clicar ou números de telefone para chamada. Muitas vezes, eles pedem às vítimas que revelem informações pessoais que os invasores podem aproveitar. Ataques de smishing muitas vezes transmitem um senso de urgência para as vítimas agirem rapidamente e serem enganadas.

Whaling

Whaling é um dos ataques de phishing mais ambiciosos, com consequências catastróficas. Esse tipo de ataque de engenharia social geralmente visa um alvo de alto valor. O whaling, às vezes, é chamada de “fraude do CEO”, o que dá uma ideia de uma característica típica. Os ataques de whaling são mais difíceis de identificar do que outros ataques de phishing, porque adotam um tom de voz comercial apropriado e usam o conhecimento interno do setor a seu favor.

Baiting

Os ataques de engenharia social nem sempre têm origem online. Eles também podem começar offline. Baiting se refere a quando um invasor deixa um dispositivo infectado por malware, como um pendrive USB, em um local onde é provável que alguém o encontre. Esses dispositivos são etiquetados intencionalmente de forma provocativa para atrair a curiosidade. Se uma pessoa curiosa (ou gananciosa) pegar o dispositivo e conectá-lo ao próprio computador, ela pode infectar involuntariamente o dispositivo com malware.

Scareware

Scareware é um tipo de malware que usa engenharia social para assustar as pessoas e fazer com que baixem um software de segurança falso ou acessem um site infectado por malware. O scareware geralmente aparece na forma de pop-ups, que dizem ajudar a remover um vírus de computador que supostamente existe no dispositivo. Depois de clicar no pop-up, você é redirecionado a um site malicioso ou instala ainda mais malware sem saber.

Se suspeitar que tem scareware ou outro tipo de pop-up importuno, verifique regularmente seu PC com uma ferramenta confiável de remoção de vírus. A verificação periódica de ameaças no seu dispositivo é um bom hábito digital. Ele pode ajudar a evitar futuros ataques de engenharia social e até ajudar a manter seus dados privados seguros.

Pretexting

Pretexting envolve a criação de um cenário falso, ou “pretexto”, que os golpistas usam para enganar as vítimas. Ataques de pretexting podem ocorrer online ou offline e são um dos truques mais eficazes de engenharia social. Os invasores fazem muita pesquisa para parecerem autênticos.

Não é fácil ver o que está por trás do golpe, então tenha cuidado ao compartilhar informações confidenciais com estranhos. E se alguém ligar para você sobre um problema urgente, entre em contato com a empresa para descartar um ataque de engenharia social.

Armadilha sexual (honey trap)

Uma armadilha sexual é um tipo de esquema de engenharia social em que alguém atrai a vítima para uma situação sexual vulnerável. O criminoso então usa a situação como oportunidade para extorsão sexual ou outro tipo de chantagem. Os engenheiros sociais costumam armar armadilhas com o envio de e-mails de spam em que afirmam estar “observando você pela webcam” ou algo sinistro do tipo.

Se você receber um e-mail como esse, confia se sua webcam está protegida. Em seguida, mantenha a calma e não responda: esses e-mails nada mais são do que spam.

Spam de e-mail

Spam de e-mail é uma das formas mais antigas de engenharia social online e é responsável por todo o lixo na sua caixa de entrada. Na melhor das hipóteses, o spam de e-mail é irritante. Na pior, não é apenas spam, mas um golpe para obter suas informações pessoais. Muitos servidores de e-mail fazem a triagem automática de spam malicioso, mas o processo não é perfeito e, às vezes, e-mails perigosos escapam.

Os métodos descritos acima são os tipos mais comuns de ataques de engenharia social para acessar as informações pessoais das vítimas. Os invasores continuam procurando novas maneiras de enganar pessoas e computadores, tentando encontrar modos mais criativos de usar métodos de engenharia social mais antigos, como spamming de e-mail e pretexting.

Na Avast, acompanhamos a evolução dessas ameaças com a atualização constante do mecanismo que equipa o Avast Free Antivirus para detectá-las. Além disso, nosso Módulo Internet com anti-phishing integrado garantirá que você não acesse um site de phishing sem querer. Baixe o Avast para ter proteção em tempo real contra ataques de engenharia social, além de malware e outras ameaças online.

Como impedir engenharia social

A melhor maneira de evitar ataques de engenharia social é saber como identificá-los. Assim que você cair nas redes de um engenheiro social, pode ser difícil de sair. Felizmente, você não precisa ser especialista em tecnologia para praticar uma boa prevenção de engenharia social: basta usar a intuição e algum bom senso antigo.

Alterar as configurações de e-mail de spam

Uma das maneiras mais fáceis de se proteger contra ataques de engenharia social é ajustar as configurações de e-mail. Você pode fortalecer seus filtros de spam e impedir que e-mails de golpes de engenharia social se infiltrem na sua caixa de entrada. O procedimento para configurar filtros de spam depende do cliente de e-mail, e você também deve conferir nosso guia para bloquear SMS de spam.

Você também pode adicionar os endereços de e-mail de pessoas e organizações que você sabe que são legítimas às suas listas de contatos digitais. Qualquer pessoa que afirmar ser uma delas, mas usa um endereço diferente, provavelmente é um engenheiro social.

Pesquisar a fonte

Se você receber um e-mail, SMS ou ligação de uma fonte desconhecida, insira-o em um mecanismo de busca e veja o que aparece. Se for parte de um ataque de engenharia social conhecido, o remetente pode já ter sido sinalizado. Verifique mesmo se o remetente parecer legítimo porque o endereço de e-mail ou número de telefone pode ser apenas um pouco diferente da fonte real e estar vinculado a um site não seguro.

Esse método nem sempre funciona se o número de telefone foi falsificado como parte do ataque de engenharia social. Se uma pesquisa na internet não revelar nenhum sinal de alerta, você pode entrar em contato diretamente com a organização que alega ter entrado em contato com você para confirmar.

Se a esmola é demais, o santo desconfia.

Usar o pensamento crítico é uma das melhores maneiras de evitar que um ataque de engenharia social aconteça com você. Ataques recentes de engenharia social no Twitter envolveram celebridades como Elon Musk e Bill Gates, que pareciam twittar ofertas para doar milhares de dólares em Bitcoin… se os seguidores dessem $ 1.000.

A promessa de celebridades de doar milhares de dólares em Bitcoin parece boa demais para ser verdade, certamente é uma mentira. Nesta forma de ataque de engenharia social, a intuição e o bom senso podem ajudar muito. Desconfie de ofertas que oferecem recompensas generosas em troca de uma taxa aparentemente pequena. Se a solicitação parecer vir de alguém que você conhece, pergunte-se: “Será que eles realmente me pediriam essa informação desta forma?

Usar software de segurança confiável

Você pode economizar tempo, o incômodo de verificar fontes e ainda evitar ataques de engenharia social com um software antivírus confiável para sinalizar mensagens ou sites suspeitos. O software de segurança detecta e bloqueia malware e identifica ataques de phishing antes que eles tenham chance de atrair você.

Exemplos de ataque reais de engenharia social

Você sofreu engenharia social? Você pode não ter notado, pois os ataques de engenharia reais social assumem diferentes formas. Na segurança da informação, os ataques de engenharia social geralmente aparecem na forma de e-mail, SMS ou mensagem de voz de uma fonte aparentemente inócua. Você pode pensar que pode identificar um e-mail suspeito sozinho, mas os invasores estão muito mais sofisticados.

Os exemplos da vida real a seguir mostram que mesmo organizações e indivíduos com recursos e defesas sofisticados contra ataques cibernéticos para prevenção de engenharia social ainda podem se tornar vítimas.

2020: Twitter

Em 2020, o Twitter se tornou o local de ataques de engenharia social em que contas de Barack Obama, Bill Gates, Elon Musk e outros foram invadidas na tentativa de solicitar Bitcoins aos seguidores. Os criadores do ataque de engenharia social ganharam quase US$ 120.000 em Bitcoin, mas o maior perigo foi o acesso claro que os hackers tiveram das contas das celebridades, embora, supostamente, nenhum dado pessoal tenha sido comprometido.

2019: Tinder Swindler

O infame “Tinder Swindler” existe desde 2011 e tem enganado as vítimas para que elas financiem um estilo de vida luxuoso por meio de uma série de golpes românticos. Ele usava uma combinação de manipulação, influência amorosa e uma mentira como desculpa e eventualmente roubou cerca de US$ 10 milhões em seus dois últimos anos de truques de engenharia social. Em 2019, ele foi condenado e, em 2022, o próprio vigarista caiu em um golpe, perdendo quase US$ 7.000 do dinheiro que suou para ganhar (com o golpe).

2018: Locações de veraneio

Em 2018, fraudes de phishing de locação de veraneio, no qual cibercriminosos se faziam passar por proprietários que ofereciam listas reais de imóveis para as férias, eram tão comuns que o US Federal Trade Commission emitiu um alerta sobre elas. Em muitos casos, as informações de contato dos proprietários eram hackeados, e as vítimas pensavam estar discutindo um aluguel com o proprietário real.

2017: Ethereum Classic

A invasão de 2017 da criptomoeda Ethereum Classic, em que os hackers se fizeram passar pelo proprietário do Classic Ether Wallet, foi outro golpe de engenharia social real e bastante famoso. Os hackers roubaram milhares de dólares em criptomoeda de usuários desavisados. Atualmente, os golpes de engenharia social ainda prevalecem na comunidade Bitcoin, e a proteção contra o cryptojacking tornou-se uma grande prioridade.

2016: Partido Democrata

O hack de e-mail do Partido Democrata dos EUA em plena campanha para a eleição presidencial dos EUA em 2016 é um dos ataques de engenharia social mais emblemáticos da memória recente. Hackers russos lançaram um ataque de spear phishing contra líderes do Partido Democrata, o que permitiu filtrar informações de campanha sensíveis e dados de quase 500.000 eleitores.

2015: Ubiquiti Networks

Em 2015, o proeminente fabricante de tecnologia de rede Ubiquiti perdeu US$ 46 milhões depois que o e-mail de um funcionário da empresa foi hackeado. As credenciais do funcionário foram usadas por fraudadores para solicitar transferências eletrônicas falsas por meio do departamento financeiro da empresa.

2014: Sony Pictures

Outro famoso ataque de engenharia social foi o ataque cibernético de 2014 à Sony Pictures, quando hackers norte-coreanos enviaram e-mails de phishing disfarçados de e-mails de verificação do Apple ID para funcionários da Sony Pictures. Em seguida, os hackers usaram as credenciais de login para limpar as redes da Sony e roubar registros financeiros e outros dados privados da empresa.

Por que a engenharia social é tão perigosa?

A engenharia social pode acontecer com qualquer pessoa, pessoalmente, por telefone ou online, e também é um método bastante fácil para realizar golpes, fraudes ou outros crimes. Os engenheiros sociais não precisam ter grande habilidade técnica. Basta serem capazes de enganar a vítima para entregar dados confidenciais. O fato de todos estarmos em risco faz com que esses golpes possam ser devastadores.

As redes sociais ajudaram os engenheiros sociais a se tornarem mais habilidosos, criando perfis falsos que podem facilmente ser confundidos com reais ou até mesmo se passar por pessoas reais. Sempre tenha atenção ao olhar perfis estranhos ou desconhecidos nas redes sociais.

As táticas manipuladoras da engenharia social são insidiosas. Muitas vezes, as vítimas não percebem que foram manipuladas até ser tarde demais. Embora os desvios cognitivos possam ter propósitos adaptativos, eles certamente podem ser usados contra nós. Ataques de engenharia social buscam informações privadas dos usuários e isso pode levar ao roubo de identidade, extorsão e muito mais.

Eles muitas vezes vêm de fontes que parecem confiáveis.

Não são apenas suas finanças que estão em jogo. Às vezes, a pontuação de crédito e a reputação online das vítimas caem, e a dívida em seu nome pode disparar. Embora tais situações sejam reversíveis, pode levar muito tempo e uma conversa interminável com as autoridades para limpar seu nome. Usar software de segurança cibernética pode ajudar, mas isso não torna seu cérebro à prova de hacking. A melhor maneira de evitar ataques de engenharia social é saber como reconhecê-los.

Se acha que sofreu um ataque de engenharia social e alguém acessou suas informações pessoais, o Avast BreachGuard pode ajudar. O BreachGuard tem recursos que ajudam a escanear a dark web para verificar se suas informações pessoais vazaram, e instruirá como reagir se isso aconteceu.

Se suas informações chegarem aos bancos de dados do corretor de dados, o Avast BreachGuard ajudará a removê-las e avaliar seus protocolos de segurança para garantir que isso não aconteça novamente. Não seja vítima de ataques de engenharia social. Obtenha o BreachGuard hoje e comece a reforçar suas defesas digitais imediatamente.

Quem corre mais risco com a engenharia social?

Qualquer um pode ser vítima de um ataque de engenharia social, porque temos vícios cognitivos dos quais nem sempre estamos cientes. As pessoas que não têm conhecimento de tecnologia ou são mais isoladas socialmente, como os idosos, podem ser mais vulneráveis. Mas apenas conhecimento tecnológico, mesmo em empresas, não podem proteger as pessoas contra manipulação psicológica.

Proteja-se contra ataques de engenharia social

Quando se trata de ataques de engenharia social, um grama de prevenção, vale um quilo de remediação. Em muitos casos, não há “remediação” para a engenharia social a não ser alterar senhas e absorver as perdas financeiras com o máximo de dignidade.

Por mais poderoso que seja o cérebro humano, ele pode nos levar a erros. Aqui entra em cena a Avast. O Avast Free Antivirus usa análise inteligente para detectar e bloquear os tipos de ataque que os engenheiros sociais adoram antes que eles afetem você. E nosso mecanismo de detecção de ameaças verifica arquivos suspeitos antes de eles serem abertos.

O melhor de tudo? O Avast Free Antivirus tem um recurso integrado chamado Módulo Internet, dedicado à proteção de phishing, para que você não seja vítima de engenharia social na sua caixa de entrada. Não atrase: comece a se proteger hoje mesmo.