Os ataques de phishing ocorrem quando os cibercriminosos enganam suas vítimas para que compartilhem informações pessoais, como senhas ou números de cartão de crédito, fingindo ser
Alguns exemplos de ataques de engenharia social incluem phishing, pretexting, scareware, baiting, vishing, smishing e fraude de CEO. Se não tiver certeza do que pode ser chamado de engenharia social, imagine de quantas maneiras alguém pode manipulá-lo para revelar informações privadas. Agentes maliciosos utilizam essas técnicas psicológicas, tanto pessoalmente quanto online, para obter acesso às suas informações pessoais ou organizacionais. Esses criminosos podem instalar malwares no seu dispositivo, roubar suas informações e até mesmo assumir sua identidade.
Leia mais abaixo para conhecer exemplos de ataques de engenharia social e como você pode evitar ser vítima deles.
Phishing
O phishing ocorre quando cibercriminosos se passam por alguém ou por algo que a vítima conhece, como uma empresa ou membro da família, para obter acesso a informações privadas. Você provavelmente está pensando que o phishing parece muito com engenharia social; e, na verdade, ele é um tipo de ataque de engenharia social. Normalmente, o phishing ocorre através de emails, mensagens de texto e chamadas telefônicas para persuadir as vítimas a instalar malwares ou compartilhar dados confidenciais. No entanto, a engenharia social como técnica não é limitada aos mesmos meios de comunicação do phishing. O phishing é um exemplo de engenharia social, mas nem todos os ataques de engenharia social são phishing.
O objetivo dos cibercriminosos com o phishing é fazer com que a vítima clique em um link para baixar malwares em seu dispositivo, roubar suas informações confidenciais ou levá-las até um site falsificado.
Veja alguns dos tipos mais comuns de tentativas de phishing nos quais você deve prestar atenção:
- Mensagens utilizando linguagem urgente, especialmente no contexto de ameaças de desativação de contas se você não agir rapidamente
- Ameaças de consequências financeiras
- Ofertas que parecem boas demais para serem verdade
- Solicitações de informações pessoais vindas de cibercriminosos que afirmam ser uma empresa ou pessoa que você conhece
- Endereços de email ou nomes de domínio que não correspondem a quem a pessoa afirma ser
Vishing e smishing
Agora que sabemos o que é phishing, é importante saber mais sobre outros tipos de ataques de engenharia social: vishing e smishing. Tanto o vishing quanto o smishing são tipos de ataques de phishing, mas o que os diferencia é o método de contato que o agente malicioso utiliza para atingir sua vítima.
O vishing ocorre por telefone, fazendo com que a vítima acredite na voz do outro lado da linha com mais facilidade. Recentemente, cibercriminosos têm utilizado IA em golpes de vishing para imitar a voz de alguém que a vítima conhece, como um colega de trabalho ou membro da família, analizando gravações de áudio e vídeos para serem mais realistas. Uma medida crucial para se proteger contra ataques de vishing é evitar atender chamadas de números desconhecidos. Alguns telefones têm até uma configuração para silenciar chamadas de pessoas desconhecidas, para que você não sofra a tentação de atender.
O smishing ocorre por meio de mensagens SMS e também é conhecido como phishing por SMS. As vítimas de smishing recebem uma mensagem de texto com linguagem urgente pedindo para clicar em um link e fazer login em uma conta usada regularmente. Porém esse link não será legítimo, e o agente malicioso poderá usar as credenciais que a vítima inserir para obter acesso à sua conta. Com uma solução semelhante para evitar ser vítima de vishing, uma maneira fácil de evitar cair em ataques de smishing é bloquear números de telefone que enviam links suspeitos.
Pretexting
Outro tipo de ataque de engenharia social é o pretexting, no qual uma vítima é persuadida a revelar informações privadas por uma história inventada. Com o pretexting, o agente malicioso manipula a vítima psicologicamente para gerar nela simpatia ou medo, e assim ganhar sua confiança. Quando um cibercriminoso cria uma narrativa falsa na qual a vítima acreditará, ele consegue mais credibilidade, aumentando a probabilidade de uma vítima acredit que é necessário enviar dinheiro ou compartilhar informações confidenciais. O pretexting envolve uma extensa pesquisa da parte do cibercriminoso para saber onde sua vítima trabalha, no que ela está interessada (através de suas contas em redes sociais), quem ela conhece (por meio de atividades online) etc. Esse tipo de ataque de engenharia social é especialmente prejudicial, porque uma vítima pode, sem tomar conhecimento, cair em golpes que podem colocar suas informações privadas em perigo.
Scareware
Como o nome sugere, o scareware é outro tipo de ataque de engenharia social que tenta enganar a vítima para fazê-la baixar malwares camuflados como software antivírus. Ao assustar as pessoas com mensagens urgentes alegando que seu dispositivo foi infectado, os cibercriminosos intimidam suas vítimas e as manipulam psicologicamente para que realizem uma ação, que por sua vez permitirá ao cibercriminoso obter acesso aos seus dados confidenciais.
Um dos ataques de scareware mais comuns ocorre por meio de anúncios pop-up. Por exemplo: se você clicar em um novo site, um anúncio falso pode afirmar que seu computador foi infectado por um vírus. Para impedir a infecção pelo vírus e corrigir esse problema, você pode sentir-se tentado a clicar na mensagem para baixar um software antivírus que, na realidade, contém malwares destrutivos. Em vez de clicar nos anúncios pop-up ou mesmo tentar clicar em um “X” para fechar o anúncio, basta fechar a janela do navegador para evitar ser vítima de ataques de scareware.
Baiting
O baiting ocorre quando cibercriminosos atraem vítimas para realizar uma ação e elas acabam tendo suas informações roubadas ou seu dispositivo infectado por malware. O malvertising é um tipo de baiting em que cibercriminosos utilizam anúncios que uma vítima pode ver online para espalhar malwares em seus dispositivos. Ataques de engenharia social atraem as vítimas através de malvertisements, levando ao comprometimento de dados. Por exemplo, se você estiver fazendo compras online e clicar em um anúncio, um malvertisement pode alertá-lo de que seu dispositivo está infectado e, em seguida, ele infectará seu dispositivo, não importando se você clicou no aviso ou não. Embora muitas pessoas pensem que baiting é o mesmo que phishing, o último envolve cibercriminosos fingindo ser alguém que a vítima conhece, enquanto o primeiro não exige nenhuma dissimulação.
Fraude de CEO
Quando um cibercriminoso finge ser o CEO de uma organização, isso é chamado de fraude de CEO. Esse tipo de ataque de engenharia social manipula um funcionário-alvo para enviar dinheiro ao cibercriminoso ou compartilhar informações privadas, aproveitando-se da confiança da vítima em uma figura de autoridade dentro de sua empresa. A fraude de CEO é considerada um exemplo de engenharia social porque o cibercriminoso ataca vítimas específicas para manipulá-las psicologicamente, convencendo-as de que são o CEO da sua empresa.
Como prevenir ataques de engenharia social
Após saber mais sobre esses exemplos de ataques de engenharia social, você provavelmente quer saber como evitar ser uma vítima. Veja algumas dicas e práticas recomendadas complementares para evitar ser afetado por ataques de engenharia social:
- Limpe seu histórico de navegação e cookies com frequência
- Torne seus perfis de mídia social privados
- Exclua contas que não estão mais em uso
- Desconfie de emails, mensagens SMS ou chamadas telefônicas suspeitas
- Crie senhas fortes e habilite a autenticação multifator (MFA)
Com a popularidade das redes sociais, há inúmeros perigos relacionados ao compartilhamento excessivo, que podem resultar em ataques de engenharia social. Embora compartilhar tudo o que acontece na sua vida possa fazê-lo se sentir mais conectado aos seus seguidores, o compartilhamento excessivo nas redes sociais pode colocar sua privacidade em risco. Evite postar detalhes íntimos sobre você, pessoas com quem você convive regularmente e informações relacionadas ao trabalho, ou marcar a sua localização geográfica nas postagens. Cibercriminosos podem utilizar qualquer um desses detalhes de sua identidade contra você na forma de ataques de engenharia social.
Proteja-se contra ataques de engenharia social
Esses tipos de ataques de engenharia social podem afetar qualquer pessoa que desconheça as táticas usadas por cibercriminosos para obter acesso às suas informações privadas. Tome as medidas necessárias para se proteger contra ataques de engenharia social e minimizar os riscos de roubo de identidade, acesso não autorizado a contas importantes e muito mais.
Inscreva-se para uma avaliação gratuita de 30 dias do Keeper Password Manager para evitar ser prejudicado por engenharia social.