O modo de navegação anônima, também conhecido como modo de navegação privada, impede que o navegador salve seu histórico de navegação em seu dispositivo. Ao ativar
Um ataque de pretexting é um tipo de ataque de engenharia social no qual o ator de ameaças persuade seu alvo a revelar informações confidenciais ou enviar dinheiro inventando uma história, daí a palavra “pretexto”. Os ataques de pretexting podem surgir de maneiras diferentes, como uma chamada telefônica, mensagem de texto, e-mail ou até mesmo pessoalmente. Antes de realizar um ataque de pretexting, o ator de ameaças reunirá o máximo de informações possível sobre seu alvo para convencê-lo facilmente de que é alguém que o conhece.
Continue lendo para saber mais sobre pretexting e o que você pode fazer para se manter seguro contra esse tipo de ataque cibernético.
Pretexting vs. phishing: qual é a diferença?
Pretexting e phishing são dois tipos de ataques de engenharia social, tornando-os bastante semelhantes um ao outro. Ambos envolvem um ator de ameaças que coleta informações sobre seu potencial alvo e tenta convencê-lo a revelar informações confidenciais ou enviar dinheiro por meio de manipulação psicológica.
No entanto, pretexting e phishing têm uma diferença fundamental. Pretexting depende da construção de uma narrativa falsa para que o cibercriminoso pareça confiável. Por exemplo, alguém que inicia um ataque de pretexting pode fingir ser alguém importante, como um membro da equipe de TI, na tentativa de obter acesso físico a um edifício. Por outro lado, um ataque de phishing depende de um senso de urgência e medo. Por exemplo, golpes de e-mail de phishing geralmente incluem mensagens como “ação imediata necessária” com a ameaça de consequências terríveis, como afirmar “você será bloqueado permanentemente da sua conta bancária”. Esse senso de urgência impulsiona as vítimas a agir rapidamente sem questionar.
É importante observar que os golpes de phishing geralmente utilizam o pretexting e vice-versa. Por exemplo, e-mails e mensagens de texto de phishing geralmente afirmam ser alguém que você conhece, como um colega de trabalho ou amigo.
Como os ataques de pretexting funcionam
Pretexting, como muitos ataques de engenharia social, começa com um cibercriminoso realizando pesquisa. Eles analisarão o local de trabalho de sua possível vítima, os perfis de mídia social, dentre outras coisas, para entender quem são as vítimas. Depois de obterem as informações necessárias para realizar o ataque, eles planejam quem vão se passar e a história que usarão para convencer sua potencial vítima.
Os ataques de pretexting mais comuns
Veja agora alguns tipos comuns de ataques de pretexting:
Golpes de avós
Os golpes de avós têm se tornado mais sofisticados à medida que a tecnologia avança. Nesse tipo de golpe, o criminoso se passa pelo neto da vítima ou outro parente próximo e tenta convencê-lo de que está em uma crise. Por exemplo, eles podem alegar que estão na prisão e precisam de dinheiro de fiança. O ator de ameaças pode falsificar o ID de chamadas e fazer com que a chamada recebida apareça como se estivesse vindo de alguém que a vítima conheça. Se a vítima cair no golpe, o ator de ameaças dará instruções para enviar o dinheiro.
Os golpes de avós se tornaram mais sofisticados por causa das capacidades avançadas da inteligência artificial (IA). Usando a IA, um ator de ameaças pode clonar a voz de um ente querido para tornar seu golpe mais realista.
Golpes românticos
Os golpes românticos ocorrem quando os atores de ameaças fingem ter um interesse amoroso on-line para conquistar a confiança de sua vítima. Esse tipo de golpe de pretexting pode levar semanas, meses ou até anos. Ao longo do golpe, o ator de ameaças começará lentamente a pedir coisas, como empréstimos para uma emergência ou presentes caros.
Em 2022, o Centro de Reclamações de Crimes na Internet (IC3) do FBI recebeu mais de 19.000 reclamações sobre golpes românticos, com perdas relatadas de quase US$ 740 milhões.
Fraude de CEO
A fraude de CEO é um golpe que ocorre quando um cibercriminoso se passa pelo CEO de sua vítima na tentativa de fazer com que ela envie dinheiro, muitas vezes na forma de um cartão de presente, ou compartilhe informações confidenciais. Para realizar esse ataque, o ator de ameaças aproveita as técnicas de phishing para tornar o assunto urgente.
Em alguns casos de fraude de CEO, o criminoso enviará várias mensagens ou e-mails à vítima antes de fazer sua solicitação. Isso os dá credibilidade, ganhando a confiança da vítima.
Técnicas usadas em ataques de pretexting
Veja abaixo algumas das técnicas usadas por cibercriminosos ao realizar ataques de pretexting:
Personificação
A personificação é exatamente o que seu nome sugere: se passar por alguém que a vítima conhece. Ao se passar por alguém, como um amigo ou colega de trabalho, um ator de ameaças pode ganhar a confiança de uma vítima. Essa confiança é fundamental para convencer a vítima a seguir as instruções e ter sucesso no ataque.
Phishing
O phishing visa persuadir uma vítima a divulgar informações confidenciais por meio de e-mails urgentes que parecem vir de fontes legítimas. O phishing é a técnica de pretexting mais comum, pois as pessoas tendem a cair facilmente nele. E-mails de phishing geralmente incluem links e anexos maliciosos, portanto, quando a vítima clica neles, seu dispositivo é infectado com malware. O malware é um tipo de software malicioso que pode dar aos atores de ameaças acesso a dados confidenciais no dispositivo de sua vítima.
Piggybacking
Piggybacking é uma técnica de pretexting na qual um ator de ameaças tenta acessar um sistema, rede ou localização física fazendo com que outra pessoa, sem saber, o ajude. Por exemplo, para obter acesso a um edifício físico, o ator de ameaças pode seguir de perto alguém ao abrir uma porta e entrar logo após a porta estar prestes a fechar.
Outro exemplo de piggybacking é quando alguém deixa seu dispositivo sozinho sem tomar precauções básicas, como bloqueá-lo ou fazer logout. Deixar um dispositivo sozinho e desbloqueado facilita para um ator de ameaças comprometer o dispositivo, bem como qualquer dado nele. Por exemplo, se você deixar seu computador desbloqueado em um café e se afastar, outro cliente poderá acessar facilmente dados confidenciais, como sua conta bancária, enquanto você estiver ausente.
Como se proteger contra ataques de pretexting
Aqui estão algumas das maneiras de se proteger contra ataques de pretexting:
Fortalecer suas contas
Se você cair em um ataque de pretexting clicando em um e-mail de phishing, uma das coisas mais importantes que você precisa ter é uma segurança forte em suas contas. Ou seja, ter senhas fortes e exclusivas para cada uma de suas contas e ter a autenticação multifator (MFA) ativada.
Um gerenciador de senhas fortalece suas contas, pois ajuda você a gerar, gerenciar e armazenar com segurança suas senhas. Um gerenciador de senhas também facilita a adição da autenticação de dois fatores (2FA) às suas contas, pois fará o preenchimento automático de seus códigos 2FA para você, sem a necessidade de usar um aplicativo ou dispositivo separado para encontrar o código 2FA e digitá-lo manualmente.
Tome cuidado com as informações que você compartilha on-line
Para realizar ataques de pretexting, os cibercriminosos investigam sua vida pessoal e profissional. As informações que eles encontram informam a técnica que utilizarão para convencê-lo a divulgar informações confidenciais. Para se proteger desse tipo de ataque, é importante ter cuidado com o que você publica on-line e limpar sua pegada digital. Limpar sua pegada digital dificultará os criminosos de encontrarem detalhes sobre sua vida, o que torna mais difícil para eles atingirem você com ataques cibernéticos personalizados.
Saiba como detectar golpes de phishing
Aprender a detectar golpes de phishing pode ser complicado, pois eles se tornaram mais avançados ao longo dos anos, mas não é impossível. Aqui estão alguns sinais para ficar atento que indicam se um e-mail, mensagem de texto ou ligação telefônica é um golpe de phishing.
- Solicitações súbitas de informações pessoais
- Erros gramaticais e erros de ortografia em e-mails ou mensagens de texto
- Linguagem urgente
- Links e anexos não solicitados sendo enviados para você
Não clique em links ou anexos não solicitados
Clicar em links e anexos que você não solicitou pode infectar seu computador com malware, o que coloca todos os seus dados em risco de serem comprometidos ou roubados. Antes de clicar em qualquer link que você não solicitou, verifique se o link é seguro. Para verificar a segurança de um link, passe o mouse sobre ele para ver o endereço real do site ou copie e cole o link em um verificador de URL, como o Relatório de Transparência do Google.
Quanto aos anexos não solicitados, é melhor não clicar em nenhum anexo que você não estava esperando. Se afirmarem ser de alguém que você conhece, antes de abrir, verifique com essa pessoa a veracidade usando outro método de comunicação.
Instale um software anti-malware e antivírus
O software anti-malware é semelhante a um antivírus, mas o anti-malware pode atualizar suas regras mais rapidamente, o que significa que é melhor na proteção contra versões mais recentes de malware e vírus. Para uma segurança mais completa, é melhor ter tanto um software anti-malware quanto um antivírus instalado em seu computador, para estar protegido contra ameaças mais antigas e mais recentes que se escondem na internet.
Mantenha-se seguro de ataques de pretexting
Os ataques de pretexting podem resultar em mais do que o roubo de seus dados. Seu dinheiro também corre risco, por este motivo é crucial aprender a se proteger desse tipo de ataque. O primeiro passo para se manter seguro é proteger suas contas, o que você pode fazer facilmente com a ajuda de um gerenciador de senhas. Comece hoje uma avaliação gratuita de 30 dias do Keeper Password Manager para se proteger contra ataques de pretexting.