5 Engenharias Sociais Comuns e Ataques Cibernéticos e Como Evitá-los

2020-06-12

No artigo anterior #StaySAFU, vimos cinco golpes comuns em criptomoedas e como evitá-los. Mas não é apenas no phishing que você deve estar atento.

O phishing é apenas um dos muitos métodos empregados por maliciosos para roubar dados confidenciais ou ativos digitais. 

Diferença entre engenharia social e hackers

Os ataques de engenharia social são baseados na manipulação psicológica do alvo, com o visando atrair vítimas desconhecidas para a divulgação de informações confidenciais ou a assinatura de ativos digitais.

A engenharia social não realiza ataques diretos nos sistemas de segurança, hardware ou o lado tecnológico das coisas. O alvo é o mais fraco da cadeia – nós. Por meio de engano e manipulação, a vítima é levada a entregar voluntariamente seus dados confidenciais ao atacante. 

Os hackers, por outro lado, têm como alvo um elemento completamente diferente de segurança. Hacking envolve ataques diretos em hardware, infraestrutura ou elementos de segurança para encontrar ou criar vulnerabilidades exploráveis. O objetivo dos criminosos é diferente. Hoje, as técnicas predominantes tentam obter controle sobre seu dispositivo ou sistema ou roubar credenciais para benefício financeiro. Também há ocasiões em que o autor realiza um ataque com a única intenção de ferir a vítima. 

Agora, vamos dar uma olhada em cinco dos ataques mais comuns de engenharia social e hackers - e um erro de que todos somos culpados.

Ransomware

Este software malicioso infecta seu computador e geralmente ameaça excluir seus dados, a menos que você pague um resgate. As circunstâncias mudam dependendo do tipo de ransomware com o qual você está lidando. 

O scareware é o tipo de ataque mais primitivo. Seu computador ou navegador interage com scripts ou softwares maldosos e exibe uma mensagem de aviso, tentando assustá-lo a baixar um arquivo, pagar por um produto ou entrar em contato com uma equipe de suporte falsa. Você pode remover facilmente o scareware com produtos de segurança cibernética de alta qualidade e prontamente acessíveis, sem causar qualquer dano aos seus dados ou dispositivo.

Um bloqueador de tela é outro tipo de ataque de ransomware e também mais perigoso que o scareware. Os bloqueadores de tela impedem completamente o seu dispositivo e exibem uma mensagem representando uma organização estatal ou um grupo de prevenção ao crime. Coincidentemente, esses grupos terão prazer em desbloquear seu dispositivo se você os pagar com criptomoedas. No entanto, o pagamento do resgate não libera seus dados automaticamente e as chances são de que os dados sejam perdidos para sempre.

O pior cenário é a encriptação ransomware. Aqui, o invasor criptografa seus dados e ameaça a exclusão ou publicação se você não pagar o resgate. Os hackers por trás do famoso ransomware WannaCry, trouxeram muita reputação negativa às criptomoedas - principalmente para o Bitcoin - pois as vítimas tiveram que pagar o resgate em Bitcoins. O grupo WannaCry recebeu um total de 327 pagamentos, totalizando 51,62 BTC. Isso vale mais de US$500.000 no momento da redação deste artigo. 

Os bloqueadores de tela e os ataques encriptados de ransomware são, em muitos casos, impossíveis de remover depois que eles controlam o seu dispositivo. A única solução é a prevenção. 

Baiting

Como o nome indica, baiting é uma atividade em que o atacante tenta atrair a vítima com a promessa de uma recompensa. O baiting ocorre tanto fisicamente quanto online. No plano físico, a isca pode ser um pendrive ou uma carteira de hardware deixada em um local visível. Depois de conectá-lo ao seu dispositivo, o software malicioso irá atacar o seu computador. A isca on-line geralmente é apresentada na forma de anúncios e competições promissoras.

Se você encontrar uma carteira de hardware da Trezor com uma etiqueta com o nome "CZ’s BTC Life Savings", provavelmente não é real. Não use dispositivos que não pertencem a você e fique atento aos anúncios e ofertas que prometem ótimos negócios ou lucros. 

Vishing

Uma combinação de palavras de voz e phishing, em que o vishing é um dos ataques em ascensão, com novas variações aparecendo diariamente. Essa técnica não usa correio, chamadas telefônicas ou mensagens, mas serviços de telefone via Internet (VoIP). O ataque é uma ligação informando que sua conta ou cartão bancário está bloqueado, que sua hipoteca pré-aprovada está aprovada ou que uma instituição de caridade está buscando sua contribuição. Os criminosos geralmente se passam por indivíduos de confiança, como funcionários de bancos, cobradores de dívidas, suporte ao cliente ou até mesmo órgãos de cobrança de impostos, como o IRS. 

Você pode facilmente desmascarar o vishing ligando para o número oficial da organização que o autor da chamada alega representar e verificar as informações. Uma boa regra, se houver suspeita, é desligar e ligar para o número listado em seu site.

O suporte da Binance nunca entrará em contato com você por telefone. Nunca compartilhe dados confidenciais por telefone, não importa quem seja seu provedor ou fabricante do telefone, nenhuma ligação é totalmente privada.

Pretexting

O atacante tem como objetivo obter suas informações privadas através de uma série de mentiras. Como pretexto, o criminoso geralmente se passa por alguém que conhecemos ou confiamos em autoridade, como policiais ou funcionários de bancos. Ele usará um senso de urgência para atrair suas informações particulares ou solicitar que você execute tarefas específicas. 

Os alvos mais comuns como pretexto são números de segurança social, detalhes de cartões, endereços pessoais, números de telefone,  frases de restauração ou até bitcoins. Para evitar se tornar uma vítima, aplique as mesmas regras que você faria com o vishing: sempre verifique se está falando com uma pessoa real iniciando uma comunicação em um canal diferente daquele que você está usando no momento. 

Bait e Switch

Os locais de caça para o ataque bait e switch são os ambientes confiáveis de sites e mecanismos de busca. Os domínios maliciosos são exibidos como resultados regulares – às vezes patrocinados – entre muitos resultados legítimos da sua pesquisa. Com técnicas avançadas de SEO e publicidade paga, a isca representa um site oficial e sobe na classificação dos mecanismos de busca. Quando você clicar no resultado acreditando ser legítimo, você será direcionado ao site do invasor.

Para evitar esse ataque, você precisa ser proativo. Evite visitar sites com nomes incomuns ou com erros de digitação. Não acredite em anúncios que prometem resultados irrealistas. Use o seu bom senso e não clique automaticamente em algo que capte a sua atenção. 

BÔNUS: Reutilização de Credenciais

Embora este não seja um ataque, é uma vulnerabilidade, mas que vale a pena mencionar, pois é regularmente explorada por atacantes. A reutilização das informações de login é algo de que todos nós somos culpados no passado. Todos nós reutilizamos o mesmo nome de usuário e senha em vários serviços. Uma vez que um invasor rouba seus dados de uma plataforma, todas as outras contas ficam expostas e em risco, se você não estiver usando credenciais exclusivas. 

Vamos deixar a reutilização de credenciais para trás. Existe uma seleção enorme de gerenciadores de senhas de código aberto gratuitos e seguros disponíveis para você hoje, que geram senhas seguras e exclusivas para cada site que você usa. 

Conclusão

É importante observar que nem todos os hackers são maliciosos. Cypherpunks, testadores de penetração, hackers whitehat e muitos outros estão ajudando indivíduos e empresas a permanecerem seguros na era digital. O cenário das criptomoedas está cheio de milhares de empresas, indivíduos e profissionais de segurança de criptomoedas e Bitcoin, criando um futuro mais seguro para todos nós. 

Acreditamos que podemos ser tão fortes quanto o elo mais fraco. Todo indivíduo precisa aprender a cuidar de sua segurança e permanecer no comando de seus dados e riqueza privados. Como em todas as formas de ataque, sua melhor defesa é o bom senso e a consciência. 

Vamos melhorar nossa segurança digital juntos. Compartilhe nossa campanha #StaySAFU com seus amigos! 

Não perca os próximos artigos #StaySAFU:

Disponível agora- #StaySAFU com a Campanha de Segurança da Binance

Disponível agora - 8 Estatísticas Surpreendentes Sobre Cripto Phishing

Disponível agora - 5 Golpes Comuns de Criptomoedas e Como Evitá-los

Disponível agora - 5 Ataques Comuns de Engenharia Social e Ciberataque e Como Evitá-los

Em junho - Proteja Sua Conta na Binance em 7 Etapas Simples

Em junho - #StaySAFU Com Dicas de Seguranças dos Profissionais

Em junho - Como Proteger suas Criptomoedas

Em junho - Participe da Competição #StaySAFU e Ganhe uma Parte dos US $500 em BNB

Se você ainda não o fez, certifique-se de seguir a Binance e a Binance Academy no Twitter para se manter atualizado com os últimos andamentos da campanha.

Siga-nos em nossos canais em português no novo Twitter, novo Instagram, Facebook e YouTube. Participe do nosso grupo oficial da Binance em Português Telegram para conversar com a nossa comunidade.