Home > Gestão

10 sinais de que você está sendo vítima de engenharia social

Com qualquer conteúdo digital podendo ser usado para ataques, qualquer pessoa pode se tornar vítima de engenharia social, incluindo a sua empresa

Roger A. Grimes, CSO (EUA)

22/09/2019 às 13h00

Foto: Shutterstock

Juntos, phishing e engenharia social representam a primeira posição entre os ciberataques, afinal, essas operações maliciosas existem praticamente desde que os computadores foram inventados.

Se no início os cibercriminosos utilizavam arquivos de texto para aplicar seus golpes, hoje as formas podem ser muito mais elaboradas. Com qualquer conteúdo digital podendo ser usado para os ataques, praticamente qualquer pessoa pode se tornar vítima de engenharia social.

Confira 10 sinais de que você pode estar caindo em um golpe do tipo:

1. Solicitação de informações de logon

Facilmente, o sinal número um da engenharia social é um email, site ou telefonema solicitando suas informações de logon. Depois que os criminosos roubam essas informações, eles a usam contra você, efetuando login na sua conta, assumindo o controle do dispositivo e realizando alguma ação contra a pessoa ou empresa. Gigantes como a Google e a Microsoft lutam diariamente com sequestros de milhões de contas de e-mail.

Uma maneira de diminuir o risco é usar a autenticação multifator (MFA) ou um gerenciador de senha. O usuário não pode ser enganado se utilizar uma senha que ele não conhece ou tem acesso.

Infelizmente, nenhuma solução MFA é perfeita. Além disso, ainda dependeremos de senhas por um longo tempo - isso sem mencionar que todas as soluções MFA podem ser invadidas de várias maneiras. De qualquer forma, essa é uma maneira de colocar uma barreira aos cibercriminosos.

Os golpistas estão cada vez mais utilizando smartphones para cometer ataques de engenharia social. Eles alegam ser da Microsoft e dizem ter detectado que o sistema do seu computador está infectado por um vírus e desejam ajudar proativamente, ou que o seu cartão de crédito / Paypal / conta bancária foi invadida. Se você fornecer apenas suas informações atuais de logon, elas terão prazer em ajudá-lo a interromper o hack. Não caia nisso!

Se alguém, possivelmente o seu técnico de TI, quiser conhecer suas informações de logon, desconfie.

2. Pedir para você baixar um conteúdo

Pedir para você baixar ou acessar determinado conteúdo é outro sinal de que você está sendo vítima de engenharia social. O golpe pode ser por e-mail, site ou publicação em mídia social. Os emails encaminham o usuário para sites comprometidos. Lá, é emitido um alerta alegando que você precisa executar uma atualização para continuar no site.

Outra aplicação comum é em redes sociais. Nelas, os criminosos utilizam a mídia dizendo ter um vídeo emocionante para você assistir. Ao tentar executar o vídeo, é emitida uma mensagem afirmando ser necessário instalar algum software especial (por exemplo, um codec de vídeo) para assistir ao conteúdo.

Na verdade, o que a vítima está executando ou instalando é um código malicioso, que tenta tomar o controle do computador. Esses arquivos maliciosos são projetados para realizar atualizações automáticas para evitar a sua detecção.

3. URL incorreta ou suspeita

Um dos maiores sinais de phishing é a utilização de um domínio com aparência suspeita que não tem nada a ver com o assunto. Para evitar cair nessas armadilhas, você deve ensinar a todas as pessoas da empresa como identificar URL falsas. A maioria dos navegadores de internet utiliza o nome real do domínio, como www.amazon.com.

É importante alertar a todos sobre como diferenciar domínios falsos dos reais. Em e-mails, por exemplo, você pode clicar em responder para acessar a URL. Por exemplo, um e-mail supostamente enviado pelo suporte técnico da Apple. O endereço de e-mail de resposta contém as palavras "appleidicloudsupport", mas o domínio anexado é "entertainingworkshop.com". Definitivamente, não é um domínio da Apple.

Ensine as pessoas a passar o mouse sobre a URL para revelar o que ela realmente é. Infelizmente, muitos navegadores em dispositivos móveis, dos quais mais e mais pessoas estão consumindo informações, nem sempre permitem tomar essa medida (embora muitos deles mostrem a URL real desde o início).

4. Eventos estressores

Em quase todos os cenários de engenharia social, on-line ou por telefone, o criminoso usa um "evento estressor". Ou seja, uma emergência pendente que, se você não agir imediatamente e da maneira correta (de acordo com eles), algo ruim irá acontecer.

A ideia é que as vítimas tenham menos tempo para pensar ao responder a uma solicitação possivelmente suspeita. Uma pessoa que telefonou certa vez afirmou à minha esposa que eu havia sido sequestrado e torturado - e eles fingiram que eu estava gritando de dor pela “tortura”. Fiquei surpreso quando voltei de uma curta viagem e ela me abraçou como se eu tivesse escapado de algum evento terrível. Esse tipo de fraude ainda acontece rotineiramente.

Assim que você vir um evento estressor, pise no freio, pare e pense. Eventos estressores da vida real raramente usam linguagem exaltada.

5. Remetente tem dois endereços de email

Embora não seja uma garantia de 100%, é provável que qualquer email que chegue com um endereço de exibição diferente (RFC 5322) e endereço de resposta (RFC 5321) seja malicioso. Ter dois endereços diferentes é um truque comum do phisher, para que eles possam apresentar um endereço de email (que pareça legítimo) e outro endereço de email “real” ao qual o email realmente pertence. E-mails legítimos de marketing e suporte às vezes fazem isso, mas na maioria dos casos, ver dois endereços diferentes na linha do remetente indica problema.

Além disso, procure emails de alguém que você conhece quando se trata de um endereço de email novo, estranho ou inesperado. Às vezes, os phishers afirmam que o CEO da sua empresa está enviando um e-mail de sua conta pessoal, usando um endereço do Gmail / Hotmail / Yahoo com o nome do seu chefe na linha do remetente.

6. Alteração nas instruções bancárias

Os golpes de business email são um problema de US$ 26 bilhões e estão superando o ransomware como o principal golpe de engenharia social. A maioria vem como faturas falsas, geralmente com pedidos para enviar o dinheiro para uma nova conta bancária ou como um email para atualizar as instruções de pagamento existentes. Alguns dos golpistas invadem o dispositivo de alguém que você paga regularmente, envia uma alteração nos dados de pagamento e simplesmente esperam o dia da fatura.

As vítimas geralmente desconhecem o golpe por meses, até que alguém as questionem sobre as faturas não pagas. Qualquer e-mail, de aparência legítima ou não, que solicite uma alteração nas instruções de pagamento deve ser imediatamente seguido por um telefonema para confirmar a informação.

7. Usar apelido errado ou nome completo

Essa é uma pequena dica, mas funciona. Muitos golpes de phishing foram detectados simplesmente porque o destinatário notou que o remetente usava seu nome completo e formal (por exemplo, William B. Montague), quando geralmente assinava seu email com um apelido ou nome mais curto (por exemplo, Bill). Ou a pessoa não terminou o email com o nome como costuma fazer, ou vice-versa. A ideia é que o invasor geralmente não conhece as pequenas informalidades que geralmente acompanham mesmo e-mails comerciais. Preste atenção aos pequenos detalhes.

8. Não poder aceitar chamadas telefônicas

Os golpistas de engenharia social geralmente não podem aceitar chamadas telefônicas para verificar uma solicitação. Eles geralmente afirmam que não conseguem acessar o telefone, não têm um telefone utilizável onde estão, não têm permissão para usá-los, ou alguma outra desculpa. A razão é que eles geralmente não são quem afirmam ser.

Esse é particularmente o caso de fraudes de romance e namoro (que estão sempre procurando dinheiro). Eles afirmam que só podem usar mensagens por inúmeras razões. Por exemplo, eles são militares treinados pela elite e estão em uma missão ultra-secreta. Isso é bem engraçado, porque, embora eles não possam atender uma ligação, eles podem conversar por várias horas por dia ... e receber dinheiro que você envia usando vários métodos.

Os próximos dois sinais de engenharia social estão especificamente relacionados à venda ou compra de itens de lojas online.

9. O comprador é muito flexível

Qualquer iniciante em compra e venda de itens online em sites criados para esse tipo de operação (por exemplo, eBay) pode não saber que esses serviços são muito utilizados golpistas. Normalmente, eles estão entre as primeiras pessoas que tentam comprar seu produto ou vender o deles para você. Os criminosos não tentam negociar preços e estão mais do que dispostos a pagar por eventuais danos, remessas, impostos e qualquer outra coisa que eles inventarem. Se estão vendendo ou alugando imóveis, oferecem preços muito abaixo do mercado, mas não podem se encontrar pessoalmente (geralmente estão fora do estado ou país a negócios).

10. Forçar você a ficar fora do serviço

A maioria dos sites de venda e leilão online está totalmente ciente dos golpistas que direcionam seus sites e serviços. Por esse motivo, eles têm proteções internas para compradores e vendedores.

Por causa desse trabalho de proteção, os criminosos incentivam ou forçam as vítimas a ficarem "fora do serviço" oferecido pelas plataformas. Por exemplo, muitos deles afirmam que em vez de a vítima usar o PayPal ("que cobra uma taxa"), basta o envio de um cheque, e assim por diante. Depois que a vítima sai de serviço, o fraudador pode concluir o resto do crime com relativa facilidade.

Eu li sobre uma mulher que estava vendendo seu caminhão. Em vez de usar o serviço online para vender o caminhão, os golpistas se ofereceram para comparecer pessoalmente e pagar em dinheiro. As pessoas mostraram, deram a ela um (pequeno) depósito em dinheiro e deixaram suas licenças com a vítima. Eles então partiram para um "test drive" e nunca mais foram vistos. Ou seja, o caminhão, que valia US$ 40 mil, foi "comprado" por US$ 400. Claro, as licenças eram falsas.

Se alguém tentar tirar você do serviço ou site em que você pretendia comprar ou vender algo, desconfie. Melhor ainda, não siga as instruções ou se envolva.

Esses 10 sinais de engenharia social estão entre as maneiras mais comuns pelas quais os criminosos tentam enganá-lo. O problema comum é que email, SMS e telefonemas não são bem autenticados por padrão. Qualquer pessoa pode afirmar ser alguém na maioria dos serviços. Enquanto não são desenvolvidas formas mais robustas de proteção, seja cético em relação a esses sinais.

 

Tags
Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail