A engenharia social é uma técnica de manipulação que explora o erro humano para obter informações privadas, acesso ou objetos de valor. No cibercrime, esses golpes de “hacking humano” tendem a atrair usuários desavisados para que exponham dados, espalhem infecções por malware ou forneçam acesso a sistemas restritos. Os ataques podem acontecer online, pessoalmente e por meio de outras interações.
O Facebook e o Instagram foram inundados com grupos, páginas e perfis que postam questionários engraçados pedindo aos membros e seguidores que respondam a perguntas que estimulem o engajamento, como quantos anos eles tinham para datas ou eventos específicos em suas vidas. Naturalmente, as pessoas sedentas por atenção compartilham as informações de bom grado. Ainda assim, os usuários de mídia social não percebem que, ao participar, estão fornecendo informações confidenciais, como data de nascimento, local de nascimento, data do casamento e caindo em golpe de engenharia social.
Os comentários postados nessas brincadeiras costumam ser públicos, o que significa que todos podem vê-los. E por todos, nós da DT Network queremos dizer, hackers e eles estão sempre procurando maneiras de cometer um crime. Com essas informações disponíveis gratuitamente, a seção de comentários sob uma pergunta engraçada de repente se torna uma fonte de informação para os fraudadores. Pense neste método de coleta de informações como a versão para mídia social do vídeo viral “qual é a sua senha” de Jimmy Kimmel de 2016, coloque a tradução automática caso você não fale inglês.
Os criminosos usam táticas de engenharia social porque geralmente é mais fácil explorar sua inclinação natural para confiar do que descobrir maneiras de hackear seu software. Por exemplo, é muito mais fácil enganar alguém para lhe dar sua senha do que tentar hackear sua senha (a menos que a senha seja muito fraca).
Bilhões de bases de conhecimentos foram roubados em violações de dados de grandes corporações na última década e, muitas vezes, o que os hackers apenas precisam para cometer crimes de roubo de identidade e encontrar a peça que faltava pode se esconder na seção de comentários. Os hackers não procuram apenas da de nascimento, mas também respostas potenciais a perguntas de segurança, como “onde você e seu parceiro se encontraram pela primeira vez?” ou “qual é a sua comida favorita?” ou “qual era o nome do seu primeiro animal de estimação?” ou ” qual é o nome do seu animal de estimação?”.
Esses pedidos para revelar mais sobre você, muitas vezes são disfarçados de perguntas bobas, mas divulgar essas informações publicamente pode ter consequências negativas. E a parte final do quebra-cabeça que pode ser uma palavra-chave ou uma resposta a uma pergunta de segurança pode estar escondida em um de seus comentários de mídia social.
Qual é a aparência de um ataque de engenharia social?
Mensagem de um amigo
Se um criminoso conseguir hackear ou fazer engenharia social na senha de e-mail de uma pessoa, ele terá acesso à lista de contatos dessa pessoa e como a maioria das pessoas usa uma senha em todos os lugares, provavelmente também terá acesso aos contatos da rede social dessa pessoa.
Uma vez que o criminoso tenha essa conta de e-mail sob seu controle, ele envia e-mails para todos os contatos da pessoa ou deixa mensagens em todas as páginas sociais de seus amigos e, possivelmente, nas páginas dos amigos do amigo da pessoa.
Aproveitando sua confiança e curiosidade, essa mensagem terá em seu conteúdo:
- Contém um link que você só precisa verificar – e como o link vem de um amigo e você está curioso, você confiará no link e clicará, e assim será infectado por malware para que o criminoso possa assumir o controle de sua máquina e coletar seus informações de contatos e enganá-los como você foi enganado ou irá para uma página de login falsa, onde vc irá digital a sua senha;
- Contém um download de imagens, música, filme, documento, etc. – que contém software malicioso incorporado. Se você baixar, o que é provável que você faça, já que pensa que é de seu amigo, você será infectado. Agora, o criminoso tem acesso à sua máquina, conta de e-mail, contas de redes sociais e contatos, e o ataque se espalha para todos que você conhece. E assim por diante.
Usando uma história ou pretexto convincente, essas mensagens de engenharia social podem ser:
- Peço sua ajuda urgentemente- Seu ‘amigo’ precisa de dinheiro, pois está em um situação complicada e você acredita ser realmente seu ‘amigo’, assim você envia o dinheiro para o criminoso;
- Tentativas de phishing com um fundo aparentemente legítimo- Normalmente, um phisher envia um e-mail, mensagem instantânea, comentário ou mensagem de texto que parece vir de uma empresa, banco, escola ou instituição legítima e popular;
- Peça que você faça uma doação para a arrecadação de fundos de caridade ou alguma outra causa- Provavelmente com instruções sobre como enviar o dinheiro ao criminoso. Aproveitando a gentileza e a generosidade, esses phishers pedem ajuda ou apoio para qualquer desastre, campanha política ou caridade que seja momentaneamente prioridade;
- Apresentar um problema que exige que você “verifique” suas informações clicando no link exibido e fornecendo as informações no formulário- O local do link pode parecer muito legítimo com todos os logotipos e conteúdo corretos (na verdade, os criminosos podem ter copiado o formato e o conteúdo exatos do site legítimo). Como tudo parece legítimo, você confia no e-mail e no site falso e fornece todas as informações que o criminoso solicitar. Esses tipos de golpes de phishing geralmente incluem um aviso do que acontecerá se você deixar de agir logo, porque os criminosos sabem que, se eles conseguirem fazer com que você aja antes de você pensar, é mais provável que você caia na tentativa de phishing;
- Notificá-lo de que você é um ‘vencedor’- Talvez o e-mail afirme ser de uma loteria, de um parente morto ou da milionésima pessoa a clicar em seu site, etc. envie para você ou forneça seu endereço e número de telefone para que eles possam enviar o prêmio, e você também pode ser solicitado a provar quem você é. Esses são os ‘gananciosos’, nos quais, mesmo que o pretexto da história seja ralo, as pessoas querem o que é oferecido e caem nessa, dando suas informações, tendo sua conta bancária esvaziada e sua identidade roubada.
“Você não deve nunca dizer nada nas redes sociais e na internet que não gritaria pela janela da sua casa.“
Como regra geral, você não deve dizer nada nas redes sociais que não gritaria pela janela, pois não sabe quem está ouvindo ou neste caso, lendo. Os hackers estão ficando cada vez mais criativos e explorando outras maneiras de obter acesso a informações que seriam úteis para eles, e olhar a seção de comentários de postagens aleatórias costuma ser um ponto de partida excelente para conseguir fazer você cair em um golpe de engenharia social.
Maneiras de se proteger:
- Exclua qualquer solicitação de informações financeiras ou senhas;
- Rejeite pedidos de ajuda ou ofertas de ajuda;
- Defina seus filtros de spam como altos;
- Proteja seus dispositivos de computação.
Da próxima vez que surgir uma pergunta na linha do tempo em alguma rede social pedindo para você compartilhar o modelo e o ano do seu primeiro carro ou o ano em que se formou no ensino médio, pense duas vezes antes de responder, pois os cibercriminosos podem estar de olho nesses comentários. Quanto mais você interage e revela nas mídias sociais, mais conhecimento de dados você deixa para os hackers analisarem e possivelmente usarem em um futuro próximo.