Engenharia social: educação de usuários é preciso

Técnica é usada para disseminação em larga escala de phishing e malware que induzem pessoas desatentas a fornecer informações confidenciais

Por Edileuza Soares para o SocialSec

Orientar e conscientizar funcionários sobre as armadilhas da engenharia social são ações necessários para reduzir ataques cibernéticos e mitigar riscos de segurança da informação corporativa. A recomendação é de Maya Horowitz, diretora de Inteligência & Pesquisa de Ameaças e Produtos da Check Point Software Technologies.

“Eduque e treine bem usuários sobre a engenharia social, use tecnologias de segurança para bloquear e-mails suspeitos, proteja dispositivos móveis e oriente sobre o uso correto de senhas”, aconselha a executiva.     

Esse tema foi abordado durante a edição de 2021 do CPX 360, evento anual da Check Point para clientes e parceiros, realizado virtualmente, entre 23 e 24 de fevereiro. Em sua palestra sobre “Segurança cibernética & Mitologia Grega”, Maya relatou exemplos de golpes virtuais com estratégias de engenharia social.  

Entre as histórias da mitologia grega trazidas para o contexto do cibercrime, a diretora da Check Point lembrou do mito de Sísifo condenado a empurrar uma pedra até o topo de uma montanha. Seu objetivo não foi alcançado porque o pedregulho era pesado e sempre rolava ladeira abaixo.

Maya comparou o desafio de Sísifo ao esforço das empresas para combate às ameaças virtuais. Quando estão quase chegando ao pico da serra, uma nova vulnerabilidade surge e recomeça a escalada.

Armadilhas da engenharia social   

As fraudes virtuais por meio de engenharia social são antigas, mas continuam fazendo vítimas e desafiando a área de TI. Isso em razão da habilidade dos cibercriminosos de enganarem pessoas para conseguir informações confidenciais.

Entre esses tipos de ameaças virtuais estão o phishing e o malware. O primeiro induz o usuário a clicar em links fraudulentos e fornecer informações dos negócios ou pessoais como CPF, senha de banco, cartão de crédito, endereço etc. Já o segundo envolve o desenvolvimento de software malicioso que infeta e espiona ações executadas por computadores. 

Os fraudadores usam a engenharia social para atrair pessoas pelo seu estado emocional, fazendo com que elas cometam erros ou ações por impulsividade, sem percebem falhas ortográficos e incoerências nas mensagens.

E o correio eletrônico é o principal meio utilizado pelos criminosos para ciberataques com engenharia social. Segundo Maya, mais de 80% dos ataques por malware e phishing reportados em 2020 começaram com envio de e-mails maliciosos.

Na sua visão, as razões que levam as pessoas a caírem nessas ciladas são a curiosidade e crença de que vão ganhar alguma vantagem como prêmio, descontos em compras ou outros benefícios.

Maya cita a propagação de e-mails falsos durante as campanhas do varejo para Black Friday, oferecendo descontos em compras. Os criminosos digitais enviam mensagens de ofertas especiais com logotipo de empresas conhecidas, estimulando o usuário a clicar em páginas fraudulentas e a fornecerem dados pessoais, que serão utilizados em ataques.

A executiva chama a atenção dos usuários para que desconfiem dessas arapucas e brinca que não existe almoço grátis. É preciso ficar atento com e-mails marketing que prometem, por exemplo, 80% de desconto na compra de um novo iPhone, venda de vacina ou cura milagrosa para a Covid-19.    

Fraude com marcas conhecidas 

O envio de mensagens falsas imitando marcas conhecidas é uma das técnicas de engenharia social mais aplicadas atualmente para disseminação de phishing, segundo Maya. Relatório da Check Point realizado no último trimestre de 2020 apontou que a Microsoft foi a preferida para esse tipo de golpe.

Com a ampliação do trabalho em home office para atender medidas de isolamento social contra disseminação do novo coronavírus, golpistas dispararam e-mails falsos com a intenção de roubar credenciais das contas de usuários do Office 365. As mensagens tentavam convencer a vítima a clicar em um link malicioso que a redirecionava para uma página falsa de login da Microsoft.

O estudo da Check Point revelou que essa ocorrência fez com que a empresa de Bill Gates representasse 43% dos ataques por phishing entre outubro e dezembro de 2020, um aumento de 19% em relação ao trimestre anterior.  

A diretora da Check Point observa que o cibercrime está utilizando tecnologias de ponta para disseminar phishing e malware com objetivo de obter informações valiosas para futuros ataques. Entre esses recursos, Maya menciona sistemas de inteligência artificial e machine learning.

Os dados coletados são analisados, cruzados e aplicados em ataques. Um deles em crescimento, segundo a executiva, são as chamadas de voz para usuários de dispositivos móveis para chantagem e ganhos financeiros.   

Maya avalia que o megavazamento de mais de 233 milhões de registros, ocorrido recentemente no Brasil, tende a ser matéria-prima para futuros golpes. “Os cibercriminosos podem usar dados das vítimas para monetização”, adverte ela. Ou seja, para venda e fraudes financeiras.

Essas informações tendem também a serem utilizadas em e-mails de phishing com o nome completo das vítimas, tentando levá-las para sites fraudulentos, segundo a especialista da Check Point.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *