Notícias que tratam sobre o vazamento de dados ou crimes cibernéticos têm ocupado um tempo ainda maior nos jornais nos últimos tempos. Com o aumento do número de pessoas trabalhando remotamente, as organizações públicas e privadas ficaram ainda mais vulneráveis aos golpes de engenharia social, como phishing.
Grupos criminosos têm operado diversas formas de ataques cibernéticos. Dessa forma, eles podem explorar diferentes vulnerabilidades para cumprir seus objetivos, como sequestrar informações ou desviar fundos.
Mas não são apenas as grandes organizações que estão sujeitas a esse tipo de ameaça. Além delas, as organizações de pequeno e médio porte, assim como instituições públicas e até mesmo tribunais, também se tornaram alvo desses ataques.
As técnicas utilizadas pelos criminosos para se infiltrar em sistemas se tornaram cada vez mais elaboradas. Através de mensagens e e-mails, eles se passam por grandes marcas ou pessoas conhecidas para roubar dados sensíveis e também aplicar golpes.
Mas como isso pode afetar a sua organização? Sabe aquele anúncio tentador de uma viagem em promoção que você recebeu em seu e-mail corporativo e clicou para ver se era real? Isso pode abrir as portas da sua organização para criminosos.
Phishing
As ameaças relacionadas à engenharia social não são uma novidade. Esse tipo de golpe já era praticado e cresceu ainda mais durante a pandemia. Um levantamento da Febraban (Federação Brasileira de Bancos) indicou um crescimento de 165% neste tipo de golpe no primeiro semestre de 2021, em comparação com o mesmo período do ano anterior.
Ainda de acordo com a Febraban, as fraudes de engenharia social mais comuns são golpes no WhatsApp e o phishing. Segundo a federação, golpes de phishing tiveram um crescimento de 26% nos seis primeiros meses do ano passado.
Phishing são campanhas de mensagens que buscam enganar os usuários para recolher credenciais, ou adquirir acesso a sistemas e diretórios. Esse tipo de estratégia sempre está entre os principais vetores de ataques cibernéticos.
Mensagens elaboradas de acordo com temas atuais, ou uma comunicação falsa sobre um acesso indevido à sua conta, podem ser a porta de entrada dos criminosos.
Desde o início da pandemia, comunicados relacionados à Covid-19 foram veiculadas com o intuito de roubar informações. Formulários falsos para o cadastramento em postos de vacinação foram muito utilizados para ludibriar as pessoas.
Dessa maneira, essas estratégias de engenharia social coletam informações importantes, que podem ser utilizadas para executar ataques cibernéticos, ou reunidas e expostas em fóruns.
As mídias sociais também se tornaram um dos principais meios empregados por criminosos para aplicar golpes de phishing. Se passando por canais de atendimento, os golpistas podem fazer com que a vítima forneça informações pessoais, que posteriormente podem ser utilizadas para aplicar golpes.
Dentro do contexto corporativo, os criminosos podem enviar e-mails, e até mesmo mensagens em redes sociais, como o LinkedIn, para compartilhar links maliciosos e roubar dados sensíveis, que podem ser aproveitados para executar ataques.
Como os ataques de phishing podem ser direcionados especificamente para coletar dados de organizações específicas, conhecido como spear phishing, é do interesse dessas organizações evitar que as pessoas sejam vítimas desses golpes.
Dessa forma, organizações têm apostado no investimento em simulações e treinamentos constantes para conscientizar os usuários. Mesmo investindo em ferramentas que desenvolvem camadas de proteção e contenham mensagens suspeitas, basta que uma pessoa caia nesse tipo de golpe para que a segurança esteja comprometida.
Por isso, é muito importante a conscientização das pessoas. Assim como a utilização de simulações, treinamentos e questionários para tornar os temas da segurança digital mais próximos do cotidiano.
Somente adotando estratégias eficientes, as organizações poderão lidar de forma efetiva contra os ataques. Os criminosos se mantêm atualizados e a cada dia utilizam novas tecnologias para executar seus ataques.
Golpes como o phishing podem ser a porta de entrada para a execução de ataques de ransomware, ou outros crimes cibernéticos. Atualmente, os criminosos estão operando formas para desenvolver serviços que facilitem essas operações.
SMishing
Como dissemos anteriormente, os criminosos utilizam diferentes métodos para enganar as pessoas e atingir seus objetivos. Entre eles está o smishing, técnica de phishing que utiliza mensagens de texto.
Uma das principais formas utilizadas pelos criminosos é enviar mensagens de texto fraudulentas relacionadas ao delivery. Outras iscas comuns incluem mensagens de texto que trazem informações falsas relacionadas à vacina, auxílios financeiros e vinculam vítimas a sites que se parecem com canais oficiais de governos, empresas e instituições.
Seguindo a mesma lógica do phishing, o smishing explora a ingenuidade e descuido das pessoas. Ao clicar em links maliciosos, as vítimas abrem as portas para que os criminosos executem ataques cibernéticos.
Vishing
Vishing é a versão verbal do phishing. Normalmente, essa técnica é utilizada através de ligações telefônicas, criando pretextos para obter informações da vítima.
Usualmente, o vishing costuma começar por onde o phishing parou. Por exemplo, você está procurando por algum tipo de produto na internet e entra em um site que não é totalmente seguro.
A sua interação nos links deste site desperta a atenção de um cibercriminoso que momentos depois conversa com você pelo telefone. Durante a conversa ele te convence a fornecer dados do seu cartão de crédito. Usualmente, a pessoa só percebe que foi vítima de um golpe dias depois.
QR Code
Esse tipo de fraude de phishing começou a se destacar ainda mais no ano passado.
Os QR codes, códigos de matriz branca e preta que são legíveis através das câmeras dos celulares, ficaram mais populares durante a pandemia. Assim, as empresas enxergaram uma oportunidade para envolver os consumidores e fornecer serviços durante a pandemia.
Um dos maiores exemplos é o setor alimentício, onde os restaurantes abandonaram os cardápios de papel e passaram a permitir que os clientes digitalizem os códigos com seus dispositivos móveis.
Entretanto, muitos dos sites que esses QR codes direcionam as pessoas são operados por fornecedores terceirizados. Dessa forma, esse tipo de serviço pode conectar telefones a um destino malicioso, como clicar em um link mal-intencionado.
Assim, as pessoas podem simplesmente presumir que o código e o site são legítimos e cair em golpes sem nem mesmo perceber.
Alguns atacantes até mesmo substituem os códigos verdadeiros dos estabelecimentos, modificando o direcionamento dos usuários. Com isso, a vítima cai em uma página falsa que transmite informações, ou até mesmo direciona pagamentos, para os cibercriminosos.
Além disso, aplicativos com malware podem ser instalados sem que o usuário perceba, infectando o celular e roubando diversos dados.
Deepfake
Você sabe o que é Deepfake? Deepfakes utilizam a inteligência artificial para imitar a imagem e a voz de pessoas reais. Esse tipo de tecnologia também passou a fazer parte dos ataques de phishing nos últimos anos.
Para enganar as pessoas, os criminosos utilizam esse tipo de tecnologia para se passar por outras pessoas e convencer vítimas a fornecerem dados confidenciais.
Um grande exemplo é a utilização desse tipo de tecnologia para enganar colaboradores de empresas que trabalham remotamente. Essas pessoas se tornam alvos porque praticamente não estabelecem contato presencial com outros colaboradores e podem ser enganados através de uma imitação da voz extremamente realista.
Contas falsas
Esse é um dos métodos favoritos dos cibercriminosos. Por conta da facilidade de criar uma conta falsa e o baixo custo de manutenção, os criminosos aproveitam para realizar diversos tipos de golpes.
Esses perfis utilizam a identidade visual e a reputação de grandes marcas para enganar as vítimas. Por exemplo, um consumidor faz um comentário na página de uma grande marca, isso chama a atenção do criminoso, que utiliza uma página falsa para fazer contato com essa pessoa e aplicar um golpe.
Além do clássico phishing, os criminosos podem aplicar estelionatos, chantageando as vítimas e até mesmo aplicando outros tipos de golpe para usufruir das vítimas.
Os criminosos podem utilizar esses perfis falsos para pulverizar links de phishing. Além disso, eles utilizam termos para passar credibilidade aos perfis falsos, fazendo com que as pessoas realmente acreditem que estão lidando com a marca verdadeira.
Fake News
A manipulação de fatos e o compartilhamento de notícias falsas tem sido motivo de grande parte dos debates atualmente. Normalmente, muitos temas da atualidade sofrem distorções e são manipulados para distribuir informações sem fundamentos, que muitas vezes utilizam fontes pouco confiáveis para disseminar assuntos controversos e até mesmo informações falsas.
Pessoas consomem informações diariamente, e com a popularização da internet, a possibilidade de receber notícias em tempo real ficou muito mais fácil. Porém, existem aspectos negativos na facilidade de compartilhamento.
É pouco comum que as pessoas chequem as fontes de notícias. Dessa forma, quando alguém recebe uma notícia urgente, que trata sobre assuntos do momento, é provável que ela acredite e não busque questionar aquela fonte.
Assim, criminosos utilizam essas notícias falsas para disseminar links maliciosos, que podem permitir que os dados das vítimas sejam roubados. Dessa forma, os cibercriminosos utilizam páginas falsas, que simulam portais famosos de notícias, para gerar ainda mais cliques.
Para evitar esse tipo de problema, as pessoas precisam ser conscientizadas para identificar esse tipo de golpe. Além disso, é preciso que elas percebam os problemas de compartilhar notícias falsas e as consequências que elas podem trazer para a sociedade, além dos riscos cibernéticos.
Eleições
Esse é um ano de eleições no Brasil e isso deve se traduzir em um crescimento no número de contas falsas e outras formas de disseminação de notícias falsas.
Para garantir um processo eleitoral democrático nas eleições de 2022, os órgãos brasileiros que controlam o pleito buscam lutar contra as notícias falsas.
Para lutar contra a desinformação, grandes corporações como Google, Twitter e Facebook, têm feito parcerias com agências de checagem. Além disso, desenvolvem tecnologias para reconhecer informações falsas e impedir que elas sejam compartilhadas.
Porém, muitas tecnologias desenvolvidas para as redes sociais também dependem das pessoas e da ação de moderadores. Muitas denúncias de conteúdos que compartilham informações falsas não são ouvidas, permitindo que esse tipo de postagem continue no ar por grandes períodos de tempo.
Essas plataformas também são acusadas de não atuarem de forma efetiva em outros países. Assim, muitas ferramentas para combater a disseminação de informações falsas não estão disponíveis para todos os usuários, o que pode impactar de forma diferente as nações.
Dessa maneira, é papel de toda a sociedade o combate à desinformação. Desde organizações, públicas e privadas, até órgãos governamentais e a população em geral, é necessário parar de alimentar a desinformação.
Assim, as notícias falsas podem influenciar eleições em muitos países. Somada a capacidade de disseminação de informações das redes sociais, é muito difícil controlar que esse tipo de informação circule.
É preciso que as principais corporações desenvolvam métodos para que essas informações falsas sejam identificadas rapidamente, e impedir que sejam compartilhadas e até mesmo visualizadas por outros usuários.
Também é importante o desenvolvimento de tecnologias para identificar e excluir perfis falsos, garantindo que os usuários sejam humanos.
Esse é um desafio que deve ser enfrentado em diversas frentes, e também passa pela conscientização das pessoas. É preciso que elas saibam reconhecer uma notícia falsa, que busquem as fontes das informações e sempre se dediquem a buscar fontes confiáveis.
Eventos
Como sabemos, esse ano teremos um dos maiores eventos esportivos do mundo, a Copa do Mundo. Além disso, as Olímpiadas de Inverno em Pequim também atrai muitos turistas e consumidores.
Tudo isso é um prato cheio para cibercriminosos aplicarem golpes oportunistas. Seja em ataques diretos a organizações, patrocinadores, participantes, torcedores, todos se tornam alvos dos criminosos.
Dessa forma, grandes eventos podem ser um grande chamariz para os criminosos aproveitarem a credibilidade das marcas e aplicarem golpes. Eles atuam enviando links e mensagens falsas, assim, muitos consumidores podem ser vítimas de esquemas de phishing que buscam informações sigilosas.
Quer saber mais sobre os principais tipos de ataque focados em engenharia social? Faça download do nosso relatório de engenharia social.
