Image for post
Image for post
Centro de Hacking | everis Aeroespacial Defensa y Seguridad

Pense no pior e você acertará.

As armadilhas dos delinquentes cibernéticos nas quais não se deve cair.

Quando o assunto é segurança cibernética, uma das frases mais utilizadas, principalmente quando se pretende conscientizar a população em relação à criminalidade cibernética, é a seguinte: “No quesito segurança, o usuário sempre é o elo mais fraco”. Esta realidade fica demonstrada ao vermos o tamanho do sucesso dos ataques de engenharia social, que são os que se aproveitam de nossas fraquezas. Para que quebrar os bloqueios se você pode enganar alguém para que nos dê sua senha? Neste artigo veremos algumas das formas utilizadas pelos atacantes para se aproveitar dessa grande vulnerabilidade conhecida por todos, o ser humano.

Um grande número de ataques está englobado dentro da categoria de engenharia social, mas, a que nos referimos quando falamos dela? É conhecido como engenharia social um conjunto de práticas que, através da manipulação de usuários legítimos, permitem cumprir um objetivo específico. Habitualmente o atacante pretende enganar o usuário com alguns dos seguintes propósitos:

· Obter informação confidencial;

· Realizar uma fraude;

· Obter acesso ilegítimo ao equipamento da vítima.

Os ataques de engenharia social estão muito presentes no dia a dia devido, entre outros fatores, à sua facilidade de realização, alta probabilidade de que alguém caia na armadilha ou a possível recompensa que se pode vir a conseguir.

Embora o termo engenharia social tenha começado a ser utilizado na década de 80, as fraudes e enganos estiveram presentes durante toda a história da humanidade, com base sempre nos seguintes princípios:

· Todas as pessoas querem ajudar;

· As pessoas não gostam de dizer não;

· Confiamos em quem nos fala de boas maneiras.

Golpes tradicionais como o “golpe do selo”, que consistia em trocar selos por papel picado, ou o “golpe do bilhete de loteria”, que enganava a vítima a fazendo pensar que comprava bilhetes de loteria premiados, que na verdade eram falsos; são algum destes exemplos.

Com a aparição das novas tecnologias, os golpes também evoluíram, como é o caso do conhecido como “golpe nigeriano”. Neste último tipo de golpe, um usuário recebe um e-mail, normalmente em nome de um parente distante, de um milionário ou de um rico príncipe nigeriano, onde lhe será oferecida uma grande herança. Para ter acesso a ela, seria necessário depositar antecipadamente uma determinada quantia a título de taxas ou impostos. Uma vez pago o valor, o golpista desaparece com o dinheiro.

Entretanto, atualmente são utilizadas técnicas muitos mais sofisticadas para induzir a pessoa a cair na fraude. Vamos ver as mais interessantes.

Conhecido por todos, o phishing é sem dúvida a forma mais popular de fraude cibernética. Neste ataque, o fraudador se faz passar por uma empresa ou pessoa de confiança que, através de um comunicado “oficial” (usualmente um e-mail) pede ao usuário alguns dados pessoais. Normalmente estas mensagens tem um link fraudulento que replica a página web da organização. Uma vez que a vítima insere seus dados no formulário, o ataque gerou seus frutos. Por trás fica esse príncipe nigeriano que ninguém conhece e que te obrigava a desconfiar. Os ataques de phishing atualmente suplantam os e-mails e as páginas web de entidades de confiança com muita precisão.

Imagine que você encontra um pen drive USB jogado na rua. Estes pequenos itens se tornaram uma ferramenta que todo o mundo utiliza no dia a dia, de forma que pegá-lo do chão pode sugerir uma pequena economia. Entretanto, atualmente está na moda um novo tipo de ataque de engenharia social onde o fraudador deixa soltos vários pen drives em uma zona visível com o objetivo de que as possíveis vítimas os introduzam em seus dispositivos pessoais. Estas memorias, uma vez que ativados nestes dispositivos, atacam o computador do usuário, seja executando algum malware ou roubando suas senhas armazenadas.

Assim como o phishing com os e-mails, o atacante tenta enganar os usuários para que utilizem seus telefones celulares para ler um código QR. Um exemplo seria criar um cartaz publicitário que imita uma empresa (logotipo, cores corporativas, etc.) para participar a vítima acessa o link malicioso se depara com um formulário fraudulento, ou com uma mensagem que solicita baixar uma aplicação móvel para participar de um sorteio, entre outros exemplos. Em qualquer caso, toda informação inserida pelo usuário ficará disponível para os atacantes.

Nosso smartphone se tornou uma extensão do nosso corpo, de forma que um dos medos diários mais temidos é ficar sem bateria na metade do dia. Por sorte, ultimamente estão começando a aparecer em diversos lugares públicos (estações de metrô, ônibus, restaurantes) pontos de carga para conectar o nosso aparelho e deixar a temida zona vermelha da bateria. No entanto, existe a possibilidade de que um atacante oculto em um desses carregadores um dispositivo que permita intercambiar informações com o nosso celular, permitindo-lhe roubar os dados que temos armazenados.

Este é um dos mecanismos mais simples de fraude. O atacante liga para a vítima fazendo-se passar por alguém da assistência técnica da empresa ou banco, e lhe diz que houve um grave erro no sistema e que necessita suas credenciais para solucioná-lo. Este método é surpreendentemente eficaz, principalmente considerando a sua simplicidade, visto que conforme comentamos anteriormente, o ser humano sempre se mostra servil em situações complexas.

Embora sejamos o elo mais fraco, isto não quer dizer que estamos indefesos. A melhor arma contra as fraudes é o ceticismo. Sempre que alguma coisa parecer suspeita é melhor desconfiar, seja uma mensagem inesperada pedindo informações pessoais, uma página web com um endereço diferente do habitual, etc. É importante prestar atenção a qualquer sinal que nos chame a atenção e evitar enviar nossas informações pessoais e, principalmente, desconfiar desse parente distante que nos manda uma mensagem oferecendo uma alta quantia em dinheiro mediante o pagamento das taxas. Seguro que não existe.

Written by

Exponential intelligence for exponential companies

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store