O documento discute as técnicas de engenharia social utilizadas por criminosos para obter informações confidenciais através da manipulação psicológica. Ele explica vários tipos comuns de engenharia social como phishing e spear phishing e descreve golpes populares como o golpe do CEO e do suporte técnico. Finalmente, fornece dicas para se proteger contra esses golpes.
"É melhor praticar para a nota" - Como avaliar comportamentos em contextos de...
Entendendo a Engenharia Social
1. • Você já recebeu alguma mensagem ou
ligação suspeita que solicitava
informações pessoais ou financeiras?
• Quais são as técnicas mais comuns
utilizadas por golpistas para manipular
suas vítimas?
• Por que é importante ter senhas fortes
e alterá-las regularmente?
2. Entendendo o que é
engenharia social
• Engenharia social é uma técnica
utilizada por criminosos cibernéticos
para obter informações confidenciais,
acesso a sistemas ou outros benefícios
por meio da manipulação psicológica
das pessoas, em vez de ataques
diretos aos sistemas de computador.
Isso pode envolver a utilização de
técnicas de persuasão, como o
phishing, o uso de informações falsas
para se passar por outra pessoa ou a
criação de um senso de urgência para
levar as pessoas a tomar decisões
impulsivas. A engenharia social é
frequentemente considerada uma
forma eficaz de ataque, uma vez que
3. Tipos mais comuns de engenharia social
Phishing: O tipo mais comum de
engenharia social, onde os hackers
usam mensagens de e-mail ou
mensagens de texto para obter
informações confidenciais dos
usuários, como senhas e
informações de cartão de crédito.
Spear phishing: Um tipo mais
avançado de phishing, onde os
hackers personalizam as
mensagens de phishing para
parecerem mais autênticas e
enganar as vítimas a compartilhar
informações confidenciais.
Pretexto: Um atacante se passa
por alguém que não é, como um
funcionário da empresa ou um
funcionário do governo, para obter
informações confidenciais.
Engenharia social inversa: O
atacante convence a vítima a
divulgar informações pessoais,
oferecendo algo em troca.
Engenharia social de contato: O
atacante tenta estabelecer contato
com a vítima para obter
informações confidenciais. Isso
pode incluir ligar para um número
de telefone ou visitar um local
físico.
Engenharia social baseada em
tecnologia: O atacante usa
técnicas de engenharia social para
explorar vulnerabilidades em
sistemas de computador ou
dispositivos móveis.
Engenharia social de mídia social:
O atacante usa informações
obtidas em plataformas de mídia
social para se passar por outra
pessoa ou para obter informações
pessoais.
6. Golpes que utilizam técnicas de engenharia social
1.Golpe do CEO : o golpista se faz passar por um CEO ou outro executivo de uma empresa
para solicitar transferências de dinheiro para uma conta falsa.
2.Golpe do suporte técnico: o golpista liga ou envia um pop-up falso informando que há um
problema com o computador ou dispositivo móvel da vítima, e oferece ajuda para
solucionar o problema. Em seguida, solicita informações pessoais ou acesso remoto ao
dispositivo da vítima.
3.Golpe do romance: o golpista se passa por alguém interessado em um relacionamento
romântico para obter informações pessoais ou financeiras da vítima.
4.Scareware: Um tipo de ataque em que os golpistas enganam as pessoas a acreditarem
que seu computador está infectado com um vírus e solicitam que instalem um software
malicioso para "remover" a infecção.
5.Baiting: Um tipo de golpe em que um golpista deixa um dispositivo de armazenamento
USB malicioso em um local público com a esperança de que alguém o encontre e o
conecte em seu computador, permitindo que o malware seja instalado.
6.Pharming: Um golpe em que o golpista redireciona o tráfego do site para um site falso, a
fim de obter informações confidenciais do usuário.
8. Métodos incomuns de engenharia social
• Em alguns casos, os criminosos virtuais usam métodos
complexos para realizar os ataques virtuais, como:
• Quando os clientes de um banco recebem um e-mail falso que
alega ser do banco, pedindo a confirmação de seus códigos
de acesso. Porém, o método de confirmação não ocorre pelo
caminho habitual do e-mail/Internet. Em vez disso, é solicitado
que o cliente imprima o formulário contido no e-mail, preencha
as informações e o envie por fax para o telefone do criminoso.
• No Japão, os criminosos virtuais usaram um serviço de
entregas para distribuir CDs infectados com um cavalo de
Troia de spyware. Os discos eram enviados aos clientes de
um banco japonês. Os endereços dos clientes foram roubados
previamente da base de dados do banco.
9. Garantia de que as vítimas não denunciarão a infecção por
malware
• Em alguns casos, os criadores e distribuidores de malware tentam reduzir a probabilidade de as
vítimas denunciarem uma infecção:
• As vítimas podem responder a uma falsa oferta de um utilitário gratuito ou um manual que promete:
• Acesso gratuito à Internet ou à comunicação por dispositivos móveis
• A oportunidade de baixar um gerador de números de cartão de crédito
• Um método para aumentar o saldo da conta on-line da vítima ou outras vantagens ilegais
• Nesses casos, quando se descobre que o download é um cavalo de Troia, a vítima não quer
divulgar suas intenções ilícitas. Portanto, é provável que ela não denuncie a infecção para as
autoridades legais.
• Outro exemplo dessa técnica foi o cavalo de Troia enviado para endereços de e-mail extraídos de
um site de recrutamento. As pessoas registradas no site recebiam falsas ofertas de trabalho que
continham o cavalo de Troia. O ataque atingiu principalmente endereços de e-mail corporativos. Os
criminosos virtuais sabiam que os funcionários que recebessem o cavalo de Troia não contariam a
seus empregadores que haviam sido infectados enquanto procuravam outros empregos.
10. Dicas de segurança
• Oriente pessoas próximas e familiares sobre o
perigo de fornecer informações sensíveis,
como dados pessoais, que são solicitadas na
rua, por telefone ou pela internet;
• Desconfie de mensagens que pedem
confirmação de dados pessoais ou
informações sensíveis sem que você tenha
solicitado;
• Não clique em links desconhecidos em SMS,
e-mails ou publicações em redes sociais.
• Não clique em banners de propagandas não
confiáveis.
• Se seu celular foi extraviado, solicite o
imediato bloqueio de seu número junto à
operadora e realize o procedimento para
“apagar” o dispositivo;
• Elabore sempre senhas “fortes” para proteger
suas contas e seus dispositivos, sejam
pessoais ou institucionais, buscando ativar a
verificação em duas etapas.
11. Responda no caderno:
1.Quais são os principais motivos pelos quais as pessoas caem em
golpes de engenharia social?
2.O que é engenharia social inversa?
3.Como você pode se proteger contra golpes de engenharia social?
4.Quais são as possíveis consequências de cair em um golpe de
engenharia social?
5.Qual é o papel das empresas e organizações na prevenção de
golpes de engenharia social?
6.Quais são as técnicas mais comuns utilizadas por golpistas para
manipular suas vítimas?
7.Como você pode identificar e denunciar um golpe de engenharia
social?