Quais técnicas de engenharia social um hacker usaria e como você se protegeria delas? Vamos dar uma olhada em alguns dos métodos mais comuns de ataque.
Você pode proteger suas senhas, instalar um software antivírus e configurar um firewall, mas, em última análise, os hackers sempre podem explorar um elo fraco: os humanos. Todo um tipo de hacking, conhecido como engenharia social, se desenvolveu em torno dessa vulnerabilidade. Usando uma combinação de hacking técnico, habilidades interpessoais e manipulação, o engenheiro social pode extrair informações confidenciais de um alvo. Apesar da astúcia dos ataques de engenharia social, é possível identificá-los e se proteger deles.
1. Ataques de Phishing
Phishing é a prática de disfarçar e-mails e outras mensagens como se fossem de fontes confiáveis com o objetivo de influenciar o destinatário a revelar informações confidenciais. O título e o conteúdo das mensagens geralmente são redigidos para induzir medo, criar um senso de urgência ou despertar seu interesse com brindes. Por exemplo, receber um e-mail com o título “Urgente: você tem direito a um reembolso de imposto” pode levá-lo a tomar decisões precipitadas, pensando que há uma janela limitada para reivindicar esse suposto reembolso.
Como se proteger de phishing
- Não clique em links em e-mails. Se você tiver dúvidas sobre a segurança do e-mail, não clique nos links, mesmo que pareçam legítimos. Em vez disso, abra o e-mail em sua área de trabalho e passe o mouse sobre o link para visualizar o URL. Em casos de phishing, você normalmente veria que a visualização redireciona para um site suspeito. Você também pode usar outros sites para verificar se um link é seguro.
- Não baixe anexos. A maneira mais fácil de infectar seu dispositivo com malware é baixar anexos. A maioria dos clientes de e-mail baseados na Web verificará os anexos para informar se eles são seguros, mas eles não são infalíveis. Se você baixar um anexo, verifique-o com um antivírus antes de abri-lo. Além disso, verifique a extensão do arquivo. Os cibercriminosos geralmente disfarçam o malware como algo como “document.pdf.exe” para induzi-lo a ver o anexo como um documento PDF em vez de um programa executável. Por segurança, nunca abra (ou baixe) anexos “.exe”.
- Verifique o endereço do remetente. O nome do remetente corresponde ao endereço de e-mail? Um remetente pode aparecer como “PayPal”, mas o endereço pode ser “paypal@hotmail.com” ou “contact@paypalpay.com”. Se o endereço de e-mail parecer incomum, não clique em nenhum link nem baixe anexos.
2. Ataques Vishing
Vishing é semelhante ao phishing, mas é mais pessoal. Em vez de enviar uma mensagem de texto ou um e-mail, o agente da ameaça pode ligar para o alvo, fingir ser um funcionário legítimo de uma empresa ou agência governamental e tentar estabelecer um relacionamento. Este ataque pode ser eficaz, pois falar com um ser humano real pode fazer com que as pessoas diminuam suas defesas habituais. Um exemplo comum é o esquema de suporte técnico do Windows, em que um invasor solicita que você verifique sua senha, um OTP ou outras informações confidenciais.
Como se proteger do vishing
- Verifique a identificação do chamador. Se alguém alegar ser do seu banco, faça uma verificação de segurança. Obtenha um nome completo, departamento e filial. Em seguida, visite o site oficial do seu banco e ligue para o atendimento ao cliente em uma linha separada. Certifique-se de se sentir confiante de que eles são quem dizem ser.
- Não compartilhe o PIN, senha ou OTP da sua conta pelo telefone. Ninguém deve ligar para você para pedir as informações do seu cartão de crédito, número do seguro social, senha da conta ou PIN do cartão pelo telefone. Se alguém pedir esses detalhes, provavelmente é uma farsa. Encerre a chamada e relate o incidente à central de segurança do seu banco.
- Desconfie de chamadores pessoais. Embora algumas pessoas sejam legais e genuinamente divertidas de conversar, isso também pode ser parte da tática do engenheiro social para fazer você se sentir à vontade e mais propenso a divulgar informações.
3. Golpes de mídia social e pesca-gato
Se você procurar seu nome completo no Google, provavelmente verá sua identidade digital e pegada. Isso inclui links para suas contas do Twitter, LinkedIn, Facebook ou Instagram, bem como fotos suas. Agora, considere quais informações você obtém desses links – localização aproximada (ou detalhada), lugares que você visita, amigos, local de trabalho e muito mais. Pode ser aterrorizante a quantidade de informações que você publica, mesmo quando não é essa a sua intenção.
Os cibercriminosos podem vasculhar a Web em busca desses dados, usá-los para entendê-lo e, em seguida, elaborar e lançar um ataque de engenharia social eficaz. Eles podem fingir ser antigos colegas de classe, conhecidos de uma viagem que você fez há muito tempo ou até mesmo um admirador secreto.
Como se proteger de golpes nas redes sociais
- Considere o que você publica. Evite marcar geograficamente sua foto ou use apenas uma localização geral, como a cidade ou o país. Procure e remova ou desfoque informações confidenciais no fundo da foto.
- Ajuste suas configurações de privacidade. As redes sociais adoram que compartilhemos tudo com todos — é por isso que as configurações de privacidade do Facebook são tão complicadas, mas você ainda pode controlar sua privacidade com essas configurações. Por exemplo, você pode restringir as pessoas que podem visualizar a atividade da sua conta apenas para amigos ou até mesmo selecionar os contatos que podem visualizar sua postagem.
- Selecione amigos que você não conhece. Se você criou sua conta há muito tempo, é provável que tenha amigos que nem conhece e com quem nunca interagiu. Remover pessoas que você não conhece da sua lista de amigos pode ajudar a reduzir a chance de que suas postagens sejam vistas por estranhos.
- Impedir a indexação do mecanismo de pesquisa. Plataformas de mídia social como Pinterest, Facebook, Reddit e LinkedIn têm configurações que você pode ativar para impedir que sua conta apareça nos resultados de pesquisa. A maioria dessas plataformas tem essa configuração como “desativar a indexação do mecanismo de pesquisa”.
- Vá privado. Uma conta privada significa que apenas os seguidores que você aprova podem ver suas postagens. Você não precisa tornar todas as suas contas de mídia social privadas. Aqueles em que você tem mais probabilidade de revelar coisas pessoais ou eventos da vida servirão.
- Pense antes de postar. Só porque a opção de postar está lá, não significa que você precise. Pensar no que você publica pode ajudá-lo a evitar o compartilhamento excessivo publicamente e a criar um relacionamento mais saudável com a tecnologia.
4. Mergulho no lixo
Você provavelmente ainda recebe informações confidenciais (registros médicos, extratos bancários ou correspondência do governo) em sua caixa de correio física. E se você trouxer material de trabalho para casa, é provável que alguns papéis acabem no lixo. Seu lixo pode ser uma arca do tesouro para determinados atacantes. O mergulho no lixo é quando alguém vasculha o lixo com a esperança de encontrar informações sobre você que possam ser usadas para fins maliciosos.
Como manter seus arquivos privados de Dumpster Divers
- Triture tudo. Páginas individuais podem parecer inofensivas e é difícil ver o mal em jogar fora um recibo. No entanto, quando colocados junto com outros documentos, os papéis descartados podem fornecer aos invasores contexto suficiente para saber mais sobre você do que você pretendia. Rasgue ou rasgue completamente os papéis em pedaços antes de descartá-los.
- Mova-se online, se puder . Fazer negócios na Internet gera menos papelada para você e é sem dúvida mais conveniente. A maioria dos bancos e provedores de serviços mudou-se para o online. Se o seu provedor de serviços permitir extratos online, considere usá-los.
- Mantenha as informações confidenciais seguras. Parece antiquado, mas se você precisar manter cópias em papel de documentos que contenham informações privadas ou confidenciais, mantenha-as trancadas em um cofre.
5. Isca
Apelar para a curiosidade das pessoas (ou senso de ganância) é a razão pela qual esse ataque funciona. O invasor deixará um USB, CD ou outra mídia física infectada e aguardará que alguém o pegue, insira em sua máquina e seja infectado.
Como se proteger de ataques de isca
- Não use USBs ou dispositivos de armazenamento aleatórios. Se você não sabe o que é, não o conecte em sua máquina.
- Instale um pacote de antivírus. Se você conectar um dispositivo desconhecido ao seu computador, certifique-se de ter a melhor proteção possível. Alguns malwares podem escapar e até mesmo desabilitar o software antivírus, mas trancar a porta é melhor do que deixá-la aberta.
6. Utilização não autorizada
Este ataque é mais frequentemente direcionado a empresas, embora não exclusivamente. É quando o invasor conseguirá entrar em um prédio físico seguindo ou seguindo atrás de uma pessoa autorizada.
Como se proteger da utilização não autorizada
- Esteja ciente de quem está ao seu redor. Um bom atacante não vai se destacar, mas se alguém que você não conhece estiver te seguindo o dia todo, fique de olho nele.
- Não tenha medo de questionar. A utilização não autorizada é mais comum no trabalho, onde um invasor espera obter informações sobre a empresa. Se alguém o seguir até seu prédio de trabalho, pergunte aonde eles estão indo e se você pode ajudá-los a encontrar o caminho. Fazer isso pode fazer com que o criminoso desista do ataque.
7. Typosquatting
É muito fácil digitar incorretamente um endereço de site. E é exatamente isso que o engenheiro social deseja. Esses invasores reivindicam sites semelhantes a destinos populares (pense em “Amozon” em vez de “Amazon”) e, em seguida, usam essas páginas para redirecionar usuários ou capturar informações de login para o site real. Alguns dos sites maiores já ajudam você com isso e redirecionam variações com erros ortográficos de seu URL para o endereço correto.
Como se proteger de Typosquatting
- Preste atenção ao digitar endereços de sites.
- Instale um bom software antivírus. Alguns dos sites de typosquatting vão tentar fazer com que você baixe malware. Um bom pacote antivírus irá alertá-lo sobre arquivos e sites maliciosos antes que eles causem danos reais.
- Marque sites visitados com frequência. Dessa forma, você sempre saberá que está indo para o site certo.
8. Sequestro de cliques
Clickjacking é uma técnica usada para induzir um usuário a clicar em algo diferente do que ele pensava que era.
Um exemplo disso seria se um vídeo “lolcat” fosse postado no Facebook que parecesse um vídeo do YouTube. Você clica no botão play, mas em vez de assistir alguns gatos rolando, você acaba em uma página solicitando o download de um software ou qualquer outra coisa que não seja assistir ao vídeo do gato.
Como se Proteger do Clickjacking
- Instale NoScript. NoScript é um complemento do Firefox que bloqueia automaticamente scripts da web executáveis como Flash, Java e Javascript. O NoScript possui um recurso chamado “ClearClick” para evitar ataques de clickjacking.
- Não use navegadores no aplicativo. Os navegadores da Web no aplicativo não têm a mesma funcionalidade que os navegadores da Web padrão e podem não alertá-lo quando você visitar sites maliciosos.
Ataques de engenharia social são inteligentes, mas podem ser evitados
Como indivíduo, você tem “privacidade através da obscuridade”. Portanto, a menos que você seja uma celebridade ou funcionário de uma empresa, é improvável que seja um alvo específico. Independentemente disso, você deve manter esses hábitos em mente, mas não deixe que eles controlem sua vida.