Quais são as formas mais comuns de fraudes por engenharia social?
Hacking, vazamento ou roubo de dados e golpes de engenharia social são uma ameaça a milhões de pessoas e suas contas. Durante a pandemia do COVID-19, vimos um aumento significativo tanto em ameaças quanto em ataques cibernéticos, afetando um número cada vez maior de indivíduos. Mas como funcionam esses ataques classificados como engenharia social? Quais as técnicas mais proeminentes e como podemos preveni-las? Passaremos por algumas das formas mais comumente utilizadas por hackers e quais medidas devem serem tomadas para contorná-las.
O que é engenharia social?
Engenharia social é um termo abrangente que engloba todo o processo de exploração da fragilidade humana em busca de dinheiro, informações e acesso por ladrões, hackers e outros cibercriminosos, que se aproveitam do elemento humano no que tange à segurança. Os hackers e fraudadores, diferente de outros ladrões que visam apenas à invasão de algo, usam a engenharia social para tentar enganar as pessoas a fim de conseguir credenciais de login ou informações para acessar sistemas e contas online.
A engenharia social, por definição, engloba muitas formas, incluindo phishing (e suas ramificações), esquemas ou golpes, tailgating (seguir um usuário até uma área de acesso controlada eletronicamente), ameaças e intimidação, além de outras táticas. Tudo isso para enganar, coagir ou se passar por outras pessoas para obter acesso tanto a informações quanto a dados confidenciais, ou até mesmo a pertences pessoais.
Dessas, o phishing é a tática mais usada. É muito provável que a maioria das pessoas já tenha presenciado algum golpe de phishing em algum momento! Mas o que exatamente seria isso e como funciona?
Phishing: a forma mais comum de engenharia social
O golpe de Phishing acontece quando um e-mail é enviado como se fosse de uma empresa ou pessoa confiável. Estudos revelam que o Brasil se tornou o país número 1 quando se trata deste tema.
Podem estar tentando se passar por um banco, uma avó ou até uma loja conhecida. Se passar por outra pessoa é comum em muitos golpe (como o caso mais recente do golpe com o domínio gov.br, no qual o conteúdo simulava um conteúdo do STJ, como um processo verídico), mas no fundo o phishing visa infectar o dispositivo utilizando geralmente um malware (software maliciosos) ou obter informações pessoais.
Quando um e-mail de phishing é acompanhado de um link desconhecido, o que geralmente ocorre, basta clicar no link para que o computador seja infectado por este malware. É por isso que esses golpes são tão perigosos e tão comuns. Basta um momento de desatenção para se clicar em um link ou enviar alguma informação e ser vítima de um golpe de engenharia social.
Os golpes de phishing mais usados são bastante simples e tendem a ser bem-sucedidos devido ao seu amplo alcance. Mesmo que a taxa de sucesso dos golpistas seja apenas de 1%, ao enviarem e-mails para milhares de pessoas, conseguem enganar um número de pessoas suficiente e ganhar dinheiro com essas vítimas.
Variações do Phishing
O phishing regular é o mais comum, mas existem golpes tão perigosos quanto os usados por hackers e golpistas em busca de acessos sensíveis e dinheiro.
Os ataques "Smishing" (phishing por SMS or outras mensagens de texto) e "Vishing" (phishing por voz) seguem a mesma tática, mas usam mensagens de texto ou telefonemas para tentar enganar as vítimas em busca de dinheiro. Nesse caso, ligações sobre o prazo de validade de um cartão de crédito, validar um anúncio de vendas de carro online ou até mesmo dívidas com o governo são exemplos de vishing bastante comuns que enganam muitas pessoas todos os anos.
Além desse, qual seria outro método comum de engenharia social? Algumas variações de phishing regular incluem spear phishing, angler phishing e whaling.
O Spear phishing é um método mais direcionado do que o phishing regular e geralmente envolve uma pesquisa prévia do alvo. Um golpista pode, por exemplo, fingir ser o gerente do banco da vítima, o que dá mais credibilidade ao golpe.
O Angler phishing é muito semelhante ao spear phishing e geralmente envolve se passar por um representante de atendimento ao cliente ou empresa nas mídias sociais. Quando alguém faz alguma reclamação de uma empresa, uma conta fraudulenta entra em contato com essa pessoa, fingindo ser da empresa, e tenta fazer com que a pessoa clique em um link ou insira as suas informações. Por isso, é de extrema importância ter cuidado ao postar comentários online!
Whaling é outro golpe de phishing direcionado, mas em geral busca alvos de alto nível e recompensas maiores. No caso, os golpistas buscam um "peixe grande” (whale, que seria baleia em inglês) atrás de lucros expressivos ou talvez até segredos e fundos de empresas, além de acesso.
Outros exemplos de engenharia social incluem o golpe de pretexto, baiting e tailgating, muitos dos quais envolvem iniciativas de cunho pessoal em vez dos golpes impessoais comuns no phishing.
Como proteger pessoas e empresas
[banner_1]
Para as empresas, o que mais ajuda na prevenção de golpes são treinamentos e ampliar o conhecimento sobre o tema. É importante garantir que os funcionários conheçam as táticas de phishing e saibam como identificá-las para que a empresa não se torne uma presa fácil.
Oferecer um treinamento aprofundado em segurança de computadores e acessos para os novos funcionários e reforçar esse treinamento periodicamente para todos os funcionários é uma boa alternativa. Garantir que os funcionários conheçam os tipos de ataques de engenharia social, saibam identificar as tentativas de golpes e como agir de maneira adequada é fundamental.
Da mesma forma, também é primordial saber o máximo possível sobre como esses golpes funcionam e o que fazer para que se evite cair neles. Outro ponto importante é evitar disponibilizar informações online que possam ser usadas para golpes ou que dêem aos hackers acesso a dados confidenciais. E caso você seja alvo de um golpe, certifique-se de saber o que fazer, evitando fornecer informações que podem ser usadas de forma inadequada e reporte o ocorrido aos administradores de contas ou sistemas.
Para as empresas de serviços, incorporar o uso de dados dinâmicos é um grande passo para impedir que os usuários sejam vítimas da invasão de contas por meio de ataques de engenharia social. Ao contrário do uso de credenciais e informações estáticas que são comprometidas quando roubadas ou vazadas, os sistemas que usam os dados dinâmicos para processos de autenticação são muito mais difíceis de se invadir mesmo com credenciais roubadas. Esses sistemas buscam padrões de uso que diferenciem casos usuais de uso legítimo de potenciais fraudes. O uso da análise comportamental está cada vez mais comum na proteção de usuários de eventuais invasões de contas.
Para saber mais como proteger seus usuários de golpes de engenharia social, entre em contato conosco. A Incognia oferece a melhor solução que combina comportamento de localização e inteligência dos dispositivos para entregar avaliações de risco que atuam como um sinal de alta confiança em dispositivos móveis.