12 tipos de ataques de engenharia social

Toda a gente se julga a salvo de esquemas e artimanhas online – até mesmo as pessoas que caem neles. Os ataques de engenharia social baseiam-se em técnicas poderosas e eficientes usadas por hackers, ladrões e outros ciberatacantes para aceder a computadores ou sistemas e comprometer a segurança das vítimas. A vítima só precisa de dois a três segundos de distração. Conhece estas técnicas e põe-te a salvo das armadilhas.

O que é engenharia social?

Dá-se o nome de engenharia social (do inglês social engineering) à arte de usar a manipulação psicológica para levar as pessoas a cometer uma ação que comprometa a sua segurança informática, em benefício dos malfeitores que a usam. Os “engenheiros sociais” usam geralmente emoções fortes para levar as pessoas a agir com base num pensamento toldado: stress, ganância, confiança total, desconfiança/indignação, desejo, etc.

Os ataques de engenharia social, se bem executados, levam a vítima a dar ao atacante aquilo que ele quer, sem que se apercebam. No mundo físico, associamos o perfil de vítima destes ataques a idosos, enganados por estranhos que se apresentam como técnicos da Segurança Social, de eletricidade ou telecomunicações. No mundo digital, o perfil de vítima é muito, mas mesmo muito mais alargado – toda a gente pode “cair”.

Conhece os exemplos mais comuns de ataques de engenharia social.

Exemplos de ataques de engenharia social

Phishing

O phishing acontece quando o cibercriminoso tenta fazer-se passar por outra pessoa ou entidade. A vítima recebe um e-mail que parece ser do seu banco, da Autoridade Tributária ou outra entidade governamental, de uma empresa de entregas ou até de um seu colega de trabalho. O objetivo é levar a vítima a clicar num link e/ou descarregar um ficheiro que instale malware, ou que preencha dados pessoais num formulário – sempre pensando que está a contactar com alguém de confiança.

Imagina dois indivíduos mascarados de agentes da autoridade que simulam uma operação stop e exigem à vítima o pagamento imediato de uma multa. Muitas pessoas não desconfiariam. Claro que é difícil tal coisa se não se tiver um carro-patrulha das autoridades. Online é muito mais fácil executar um golpe deste género.

Há várias técnicas associadas ao phishing:

  • Nome falso. O e-mail tem o aspeto de vir da Netflix ou da EDP, mas se reparares no endereço de envio do e-mail verás, por exemplo, edpclientes@gmail.com.
  • Links falsos. O cibercriminoso pede à vítima que aceda à sua conta de utilizador, “clicando no seguinte link”. Movida por um nome falso que parece verdadeiro, ou curiosa por perceber que estranho mail é este, a vítima clica no link – que a encaminha para um site infetado, associado a um servidor que lhe envia malware.
  • Anexos de e-mail. Pede-se à vítima que descarregue um anexo, que pode ser uma fatura, um convite, etc., e que instalará malware no aparelho. Também poderá (ou não) vir associado a uma marca ou entidade de confiança da vítima.

Angler Phishing

Angler significa “pescador à linha” ou ao “anzol”. Estes ataques acontecem em ambiente de redes sociais. O ciberatacante dirige-se a pessoas que tenham feito uma reclamação junto de um serviço e tenta obter os seus dados pessoais. Funciona assim:

  • Uma pessoa faz “tag” a uma empresa ou serviço público, com uma queixa ou dúvida.
  • O atacante contacta a pessoa, usando uma conta falsa, e apresenta-se como sendo do apoio ao cliente da empresa ou serviço público em questão.
  • Após uma conversa inicial para ganhar confiança e deixar a pessoa à vontade, o atacante pede a password e outros dados pessoais, afirmando serem necessários para esclarecer o problema.

Spear phishing

Spear significa “dardo” ou “lança”. Tal como o “angler”, o “spear” atinge pessoas individuais (ao contrário do phishing, lançado a grandes massas). Dá mais trabalho, mas é muito mais eficiente, logo, mais perigoso. Empresários, profissionais liberais, políticos, desportistas famosos, influencers, ativistas e outras pessoas com grande responsabilidade e visibilidade pública são vítimas preferenciais. Vale a pena ao criminoso trabalhar para recolher dados pessoais de modo a lançar um ataque – e as redes sociais são excelentes para obter esta informação.

Conhecendo o endereço de e-mail, os gostos, os amigos e relações da vítima, torna-se mais fácil simular que se é um amigo próximo e pedir acesso à conta de Facebook. Ou simular que se é um patrão, sócio ou gestor de conta e solicitar dados ou uma autorização para uma transferência de dinheiro.

Defende-te de spear phishing:

  • Confirma a origem do e-mail ou da mensagem
  • Pensa se te parece razoável o pedido que te está a ser feito
  • Se te parece suspeito, não respondas. Contacta a pessoa por outra via (telefonema, etc.), ou espera até se encontrarem pessoalmente.

Smishing

“Smishing” mistura SMS e phishing. Trata-se de ataques por SMS, um meio que as pessoas ainda associam pouco a phishing e que por isso tem mais hipóteses de sucesso. À partida, quem tem o teu número de telemóvel conhece-te pessoalmente – mas esta ideia é antiquada, pois cada vez mais os hackers conseguem aceder a dados de contactos individuais.

O conceito, porém, é idêntico: o atacante tenta convencer a vítima a confirmar uma encomenda ou resolver uma situação urgente no banco, ou a pagar uma fatura. Para tal deverás clicar num link ou responder com uma SMS de volta preenchendo dados pessoais. A vítima pode também ser levada para um site falso onde lhe será pedido que preencha mais dados.

Vishing

Vishing mistura Voz e phishing. Tratam-se de ataques por via telefónica, seja com mensagens pré-gravadas (que simulam as feitas, por exemplo, por operadoras de telecomunicações.) Nos casos mais graves, poderá existir um “call center” com atacantes que se atrevem a falar telefonicamente com as vítimas.

Repete-se o conceito: poderá ser “o banco” a pedir ao cliente que resolva um problema, uma “empresa” a pedir o pagamento de uma fatura, etc.

Vê como até já nos afastámos do conceito do hacker ligado a computadores: neste caso o que é usado é um telefone. No exemplo abaixo, que publicamos apesar de estar em inglês, é feita uma demonstração numa conferência de hacking em Las Vegas: uma especialista em hacking contacta a operadora de telecomunicações da vítima, alegando ser namorada da vítima, juntando sons de um bebé para dar realismo à chamada. Conhecendo o número de telefone da vítima, e o nome da namorada, consegue intrujar o apoio ao cliente da operadora e ganhar acesso à conta de utilizador da vítima. Aí terá acesso a mais dados pessoais reais.

Faz perguntas, desconfia:

  • Já te relacionaste com esta empresa, que está a ligar para ti, alguma vez?
  • Estão a prometer grandes ganhos ou uma oferta demasiado boa?
  • Estão a pressionar ou a adotar um tom agressivo para que lhes respondas?

Fica atento a estes sinais de vishing.

Pretexting

O pretexting é muito semelhante ao spear phishing, apontando a pessoas individuais e não a grandes grupos. A principal diferença é que, enquanto no spear phishing há um apelo ao medo ou à urgência, no pretexting o atacante cria confiança e uma relação com a vítima. Se esta não se aperceber do que está a acontecer, pode ser ainda mais perigoso.

Usando conhecimentos sobre a vítima (por exemplo, onde trabalha, quem são os seus colegas, amigos, clientes, etc.), o atacante adota uma identidade falsa e cria uma relação com a vítima.

Um exemplo pode ser o do técnico da empresa cliente ou fornecedora para onde a vítima trabalha. Suficientemente próximo para ser credível, mas suficientemente distante para que não tivessem de se conhecer pessoalmente. O falso técnico pode, usando o pretexto da relação entre empresas, levar a vítima a aceder a um site e deixar lá dados pessoais.

Catfishing

O catfishing consiste na criação de um perfil falso numa rede social e no estabelecimento de uma relação digital falsa com a vítima. Cada vez mais as pessoas aderem a conhecer outras em ambiente online. Porém, é relativamente simples obter uma fotografia de um desconhecido, criar um nome falso, morada falsa, etc., e simular que se é outra pessoa.

  • Uma amizade online que se tenha revelado satisfatória pode a qualquer momento lançar sinais de alerta:
  • O amigo conta histórias de desgraças que lhe aconteceram e pede dinheiro;
  • O amigo repete sucessivamente que a webcam nunca funciona ou que o telefone não funciona; naturalmente, recusa encontrar-se pessoalmente, dando sempre desculpas para tal;
  • O amigo concorda em conhecer a vítima pessoalmente, mas cancela sempre à última hora;
  • O amigo combina que se conheçam num local particular, e não público.

Scareware

Scare significo “susto”. Scareware é “software de susto”, destinado a assustar a vítima. Trata-se de uma forma de malware, que atua de forma bastante irónica. A vítima começa a ser bombardeada com ads repetidos, e/ou com avisos de que o computador ou telemóvel foi infetado com vírus. A pessoa sente medo e pensa que tal será verdade. O scareware acrescenta um link para instalar um antivírus grátis ou um “scan” ao aparelho para se livrar de vírus. A pessoa clica – mas é então que é instalado não um simples scareware mas uma ferramenta de malware mais poderosa.

Ataques de diversão

Associados ao uso do e-mail, estes ataques são parecidos na natureza ao pretexting, mas mais simples de executar. O ciberatacante envia um ataque a partir de um e-mail legítimo de modo a convencer a vítima que se trata realmente de um colega, cliente ou parceiro.

Hoje em dia já não basta verificar o endereço de envio. Hackers sofisticados conseguem enviar ataques de diversão a partir de endereços legítimos. Contornam os sistemas básicos dos serviços de e-mail e convencem a pessoa mais facilmente de que se trata de algo legítimo.

O atacante convencerá assim a vítima a ceder dados pessoais ou a descarregar um anexo que instale malware no seu aparelho.

Baiting (iscas)

Antes, os engenheiros sociais usavam uma pen drive com um rótulo a indicar algo como “Contabilidade da empresa” e deixavam-na próximo da vítima. Movida pela curiosidade, a vítima inseria a pen num computador – onde automaticamente era instalado malware.

Atualmente é mais frequente que iscas deste género surjam sob a forma de sites P2P ou de streaming falsos. A vítima julga estar a aceder a um filme ou série e está a descarregar e instalar malware no seu aparelho.

Duas dicas para evitar o baiting:

  1. Usa serviços anti-malware ou similares, como Proteção contra vírus e ameaças da NordVPN que é especialmente competente a proteger-te se visitares sites distribuidores de malware.
  2. Acede apenas a sites que conheces bem ou de confiança. Pesquisa sobre uma empresa que não conheces antes de comprar nela. Confirma se se trata de uma empresa real, com NIPC ou equivalente estrangeiro; visita o website e confirma se tem um aspeto profissional; consulta opiniões de outros clientes que já tenham comprado lá, ou se tem referências na comunicação social.

Quid pro quo

Tratam-se de ataques em que o atacante oferece um serviço em troca de informação. O famoso ataque do “príncipe nigeriano” era deste género, embora acabasse por solicitar também o envio de dinheiro por parte da vítima. Os ataques quid pro quo continuam a ser relevantes, até porque são bem mais elaborados.

Por exemplo, o hacker simula ser um especialista em informática por parte de uma empresa prestigiada. Se a vítima tiver algum problema recorrente com o computador (e muitas pessoas têm!), sentir-se-á tentada a dar acesso à sua máquina ao “especialista”.

Spam de contactos

O hacker “pega” numa conta de rede social e envia uma mensagem, em nome dessa conta, a todos os seus amigos da rede – para clicar num link e, por exemplo, “ver um vídeo tão engraçado”. Alguns desses amigos, vendo uma mensagem de uma pessoa em quem confiam, clicarão. E assim infetarão os seus computadores com malware.

7 maneiras para te protegeres de ataques de engenharia social

  1. Aprende e conhece os diferentes tipos de ataques. Se tens uma empresa ou equipa a teu cargo, educa-os neste sentido. Faz testes de penetração: lança ataques à tua equipa e vê se eles caem na esparrela.
  2. Fica alerta, tão alerta como estás relativamente a quem deixas entrar em tua casa. Desconfia de links, vídeos, mensagens, propostas muito boas ou urgências inadiáveis.
  3. Fica atento aos erros. Pode haver erros de português; mensagens escritas em português do Brasil, embora aparentemente enviadas de Portugal; erros de design ou imagem. Nenhuma empresa profissional os deixa passar na quantidade que normalmente os cibercriminosos deixam.
  4. Faz perguntas. Questiona quer o tom amigável quer o tom agressivo de alguém que te pareça estranho, ao telefone ou online. Procura inconsistências no que dizem.
  5. Partilha a menor quantidade possível de informação online. Essa informação será usada contra ti por ciberatacantes, em ataques de engenharia social.
  6. Cuida do teu software. Usa filtros de spam, procede a atualizações frequentes do sistema operativo e dos programas instalados, usa um software antivírus e extensões de browser.
  7. Usa uma VPN. Uma virtual private network (rede privada virtual) disfarça a tua identidade online e impede hackers de intercetar as tuas comunicações, principalmente ao aceder a redes públicas. A funcionalidade Proteção contra vírus e ameaças da NordVPN, adicionalmente, impede-te de visitar sites maliciosos, ajudando a proteger o teu aparelho e rede.

Artigo redigido pela NordVPN