Você está na página 1de 10

ENGENHARIA SOCIAL

A engenharia social visa em estudar principalmente o comportamento humano e suas


implicações para a segurança da informação.

O que é engenharia social?

Engenharia Social (SE) é uma mistura de ciência, psicologia e arte. Embora seja
incrível
e complexo, também é muito simples.

Nós o definimos como "qualquer ato que influencia uma pessoa a tomar uma ação
que pode ou não ser do seu interesse".
Definimos isso em termos muito amplos e gerais, porque sentimos que a engenharia
social nem sempre é negativa,
mas abrange como nos comunicamos com nossos pais, terapeutas, filhos, cônjuges e
outros.

Como a SE nem sempre é negativa, merece uma análise mais detalhada de como é
usada tanto para o bem quanto para o mal.
Pesquisas mostram que exatamente os mesmos princípios usados para obter um
aumento ou se comunicar com seu cônjuge ou
filhos são frequentemente usados por golpistas maliciosos e engenheiros sociais
para separar você e sua empresa de dados,
informações, dinheiro e muito mais.

Veremos agora alguns protagonistas da história utilizando a Engenharia Social.

--------------------------------Usando técnicas de detecção de fraude com


William Ortiz

William Ortiz, um examinador federal de polígrafo que trabalhou no FBI por


décadas.
Nesta discussão, você aprenderá como o polígrafo funciona, como as pessoas
tentam enganar o polígrafo e o que os agentes e
advogados realmente procuram quando recebem os resultados de um exame de
polígrafo.
Você também ouvirá algumas dicas e truques sobre engano que podem informar suas
interações diárias.

William Ortiz ingressou no FBI em 1997. Ele foi designado para trabalhar
crimes violentos e grandes infratores.
Depois do 11 de setembro, o departamento transferiu recursos e ele foi
designado para trabalhar no terrorismo internacional.
Ele acabou se transferindo para a divisão de Tampa e começou a trabalhar em
período integral como examinador de polígrafo.
Como agentes, eles recebem muito treinamento sobre como entrevistar e
interrogar. Quanto mais você faz, melhor fica.

Algumas de suas melhores confissões ele obteve antes de se tornar um examinador


de polígrafo.
Os não verbais são muito importantes.
Depois de realizar muitas entrevistas, você começa a saber o que é a
linguagem corporal normal para dados demográficos específicos.
Quando alguém parece estranho com base em algumas dessas indicações
demográficas, William vê isso como uma bandeira vermelha.
O polígrafo é uma ferramenta que pode validar se alguém está mentindo, usado
juntamente com sugestões não verbais e questões de
análise de comportamento.
Antes de iniciar o polígrafo, William geralmente sabe se alguém está
mentindo para ele.
No FBI, um agente o procurava e contava as evidências que eles tinham. Ele
lia o caso, olhava as evidências, aprendia sobre o indivíduo.
A primeira coisa que William faria ao se encontrar com um indivíduo era
estabelecer um relacionamento. Ele pode passar de uma a duas horas
conhecendo essa pessoa e fazendo perguntas sobre análise de comportamento.
Uma pessoa honesta responderia perguntas hipotéticas de uma certa maneira.
Eventualmente, no decorrer da conversa, ele chegaria à questão relevante.
Antes de iniciar seu polígrafo, ele já possui muitos indicadores.
William admite que já foi enganado antes. Ele fez as pessoas passarem no
teste quando ele pensou que iriam falhar, mas geralmente ele sabe.
Ele está olhando o que a pessoa está dizendo e não dizendo.
Ninguém pode derrotar o polígrafo. As pessoas podem derrotar o examinador.
O polígrafo é um instrumento projetado para registrar respostas
fisiológicas.
Existem vários sensores. Um examinador treinado pode identificar e rastrear
respostas normais e anormais.
Quando você sabe que alguém está mentindo, em algum momento você precisa
enfrentá-lo.
O material polígrafo nem sempre é admissível em tribunal devido a erro
humano.
O polígrafo melhorou, mas quando adicionamos o fator humano ao processo, é
quando nos tornamos imperfeitos.
Um examinador de polígrafo pode fazer com que alguém que não está mentindo
falhe no teste.
Os resultados do exame devem convencer o examinador de que o indivíduo está
mentindo para ele ou não.

O que o agente quer, o que o advogado quer é a confissão do crime. Contanto que
isso seja obtido legalmente, isso é evidência.
Um examinador de polígrafo pode dizer ao júri que alguém confessou um crime
e isso é evidência.
O instrumento não registra como alguém está nervoso. Ficar nervoso não
afetará o teste.
Até William ficaria nervoso ao fazer um teste de polígrafo. Há algo sobre o
instrumento que deixa as pessoas loucas.
William informa o examinando que não há problema em ficar nervoso.
Não ficar nervoso em fazer um exame de polígrafo é uma bandeira vermelha.
Muitas pessoas pesquisam on-line não porque querem derrotar o teste, mas
porque querem se preparar. Eles costumam ler informações erradas.
William realiza um teste prático rápido, onde pede que eles mentam para ele
durante esse teste.
Ele lembra aos examinados que se eles não mentirem para ele, eles se sairão
bem.
Se um examinador inicia um teste sem deixar que o examinador se acalme, isso
pode causar um resultado falso.
Cabe ao examinador determinar a linha de base.
Algumas pessoas tentam enganar o polígrafo, especialmente os mais jovens.

Quando ele vê fisiologia atípica, William diz ao examinado que ele vê o que eles
estão fazendo. Eles geralmente param. Se eles não param,
ele para o teste e inicia a fase de interrogatório.
Existem diferentes técnicas que eles podem usar para tentar limpar os
gráficos e evitar distorções na fisiologia.
Mesmo se você usar contramedidas, ele ainda verá que você está mentindo.
Como uma pessoa comum pode usar essas habilidades básicas para melhorar suas
comunicações?
É mais fácil falar do que fazer. As pessoas precisam primeiro ver que
possuem essa capacidade.
Quando conversamos, a maior parte da comunicação que estamos transmitindo é
não verbal.
Se você for a uma concessionária de automóveis e fizer uma pergunta e os não
verbais não transmitirem o que a pessoa disse a você, isso é uma bandeira.
Se você acha que alguém está mentindo para você, provavelmente está.
A dica número um de William é prestar atenção à resposta. Quando você faz
uma pergunta e ela responde a algo não relacionado à pergunta,
isso é uma bandeira vermelha.
Outra bandeira está faltando partes da história.
Se algo não faz sentido, continue perguntando até que faça sentido para
você.
Não chegue à conclusão de que a falta de detalhes significa automaticamente
decepção sem fazer mais perguntas.
Não existe um dicionário universal de linguagem corporal.
Cruzar os braços para você pode significar algo diferente para outra pessoa,
como quebrar o contato visual.
William recomenda ler O que todo corpo está dizendo.

3 pontos principais:

O polígrafo é uma ferramenta ao lado de perguntas não verbais e de análise


de comportamento para determinar se alguém está dizendo a verdade.
Estar nervoso faz parte do teste do polígrafo. Ficar nervoso não afetará o
teste, mas ajuda a estabelecer sua linha de base.

3. Ao fazer uma pergunta a alguém, preste atenção se ela a responde. Em seguida,


faça mais perguntas para ver aonde elas levam.

-------------------------Kevin Mitnick, o hacker mais famoso da história.

Esta é sua história:


Kevin David Mitnik, também conhecido como "El Condor", nasceu em 6 de agosto de
1963 em Van Nuys, uma pequena cidade ao sul da Califórnia.
41 anos atrás. Kevin não teve uma infância fácil. Seus pais se divorciaram e o
ambiente em que cresceram representou uma das causas que o levaram a se
trancar em casa e a ficar em solidão, tempo (anos 70) que foi seduzido pela
doçura da computação;
em particular, pelo poder que ele podia vislumbrar através das redes
telefônicas. De fato, mesmo que Kevin tenha recebido epítetos tão diversos
quanto
hacker, cracker, hacker e outras palavras legais que evito mencionar, o fato é
que, em essência, Mitnik sempre foi um Phreaker;
phreaker o melhor da história, segundo muitos.
Desde jovem, ficou intrigado com os sistemas de comunicação eletrônica,
cultivando e desenvolvendo um desejo quase obsessivo de pesquisar,
aprender e alcançar objetivos aparentemente impossíveis. Na adolescência,
Mitnick já havia se tornado um fenômeno.
Aos 16 anos marca sua primeira linha atrás da barreira, o "lado sombrio", que
nunca separamos: o sistema de gerenciamento de segurança pulou sua escola;
no entanto, ele fez para alterar as notas, como você pode pensar, mas "apenas
para olhar".

Daí em diante, ele inicia sua carreira como criminoso. A data, 1981. Kevin e
dois amigos invadiram os escritórios da empresa Pacific Bell,
da Cosmos (Sistema de Computador para Operações de Mainframe), que era um banco
de dados usado pela maioria das empresas de telefonia dos EUA
para controlar as ligações. Uma vez lá, eles obtiveram a lista de chaves de
segurança, a combinação das portas de várias filiais e manuais do sistema
COSMOS, entre outras coisas. De fato, ele disse que os roubados por Mitnick e
seus amigos tinham um valor equivalente a 170.000 euros.

O uso da engenharia social usava seus pseudônimos e números de telefone em uma


das mesas da sala. Então, eles usaram o nome falso de "John Draper",
que era um conhecido programador de computadores e também um lendário phreaker
conhecido como "Captain Crunch".
Os números de telefone foram encaminhados para outras rotas. No entanto, esse
desempenho estava longe de ser um sucesso.
Um gerente de uma companhia telefônica logo encontrou esses números de telefone
e os informou da polícia local que começou a investigar.
Como a namorada de um de seus amigos, intimidada pelo que poderia acontecer, os
traiu à polícia, Mitnick foi condenado por um tribunal de menores a
três meses de prisão e um ano sob liberdade condicional, porque ainda era menor
de idade. Essa foi sua primeira vez na prisão, não a última.

Uma das histórias curiosas relacionadas a esta etapa do Mitnick tem a ver com o
oficial encarregado do seu caso. Aos três meses de prisão,
Mitnick começou a deixar uma "surpresa" para o exposto.
O policial descobriu que seu telefone havia sido desconectado e todos os dados
de registro na companhia telefônica haviam sido excluídos.
A partir daqui, tudo aconteceu com uma velocidade perturbadora.

Dizem que Mitnik adotou seu apelido ou nom de guerre ("Condor") depois de ver o
filme estrelado por "Três Dias do Condor", de Robert Redford,
porque de alguma forma ele foi identificado com o protagonista. Redford retratou
um funcionário da Agência Central de Inteligência dos EUA
(CIA) que se envolve em um caso obscuro que continua com perseguição implacável.
Seu codinome "Condor" e Redford usa sua experiência para manipular
o sistema telefônico e evitar a captura.
Sua próxima prisão ocorreu pouco depois; em 1983, por uma polícia da
Universidade do Sul da Califórnia, onde ele teve alguns problemas alguns anos
antes.
Mitnick foi capturado usando um computador universitário para obter acesso
(ilegal) ao ARPAnet (o antecessor da Internet).
De fato, foi descoberto entrando em um computador do Pentágono por meio da
ARPAnet e foi condenado a seis meses de prisão em uma prisão juvenil
na Califórnia (Escola de Treinamento Karl Holton, da juventude juvenil da
Califórnia). Uma vez liberado, ele obteve a licença do "X Hacker".

Em 1987, Mitnick parecia estar mudando sua vida e começou a viver com uma jovem
que estava fazendo aulas de informática com ele em uma escola local.
Depois de um tempo, de qualquer maneira, sua obsessão emergiu do uso de números
de cartões de crédito.
O telefone ilegal levou a polícia ao apartamento que ele dividia com sua
namorada Mitnick, na aldeia Thousand Oaks, Califórnia.
Mitnick foi acusado de roubar o software Microcorp Systems, uma pequena empresa
de software californiana, e naquele mesmo dezembro ele foi condenado
a três anos de liberdade condicional.

Após esse Mitnick, ela se candidatou a um emprego no Security Pacific Bank,


encarregado da segurança da rede do banco, mas isso foi rejeitado precisamente
por causa de seu registro criminal. A resposta de Mitnick foi falsificar um
balanço do banco, onde as perdas foram de US $ 400 milhões,
eles mostraram e tentaram espalhá-lo pela rede. No entanto, o administrador da
rede interrompeu esta ação no prazo.

Nesse mesmo ano começou o escândalo que o lançou à fama. De 1987 a 1988, Kevin e
seu amigo, Lenny DiCicco, entraram em um laboratório digital
contínuo de pesquisa digital contra cientistas em Palo Alto. Mitnick ficou cego
ao obter uma cópia do protótipo do novo sistema operacional
chamado segurança VMS e estava tentando obter acesso à rede corporativa da
empresa, conhecida como Easynet.
Computadores digitais O laboratório Palo Alto parecia simples, então todas as
noites e persistência inestimável Mitnick e DiCicco
lançavam seus ataques de uma pequena empresa californiana (Calabasas), onde
DiCicco trabalhava como técnico.
Embora a empresa tenha descoberto os ataques quase imediatamente, eles não
sabiam de onde vinham. De fato, nem o FBI podia confiar nos dados
obtidos das empresas telefônicas porque Mitnick estava preocupado em não
rastrear alterações no gerente do programa para rastrear a
origem das chamadas e desviar a trilha da sua chamada para outros lugares.
Em uma ocasião, o FBI, acreditando ter encontrado Mitnick invadiu a casa de
imigrantes que estavam assistindo televisão, para espanto desses e daqueles.

No entanto, já estavam na pista, Mitnick, que, assustado com a possibilidade de


ser pego, traiu seu companheiro e tentou colocar os
federais na pista de DiCicco, fazendo ligações anônimas para o chefe deste
trabalho em uma empresa de software como suporte técnico.
Vendo a traição de Mitnick, DiCicco finalmente confessou tudo ao seu chefe, que
notificou o DEC (Digital Equiment Corporation) e o FBI.
Logo, uma equipe de agentes do departamento de segurança telefônica conseguiu
capturá-lo. Era 1988.

Embora a DEC tenha alegado que Mitnick havia roubado software no valor de vários
milhões de dólares, Kevin foi acusado de fraude informática e
posse ilegal de códigos de acesso por longa distância. Foi a quinta vez que
Mitnick foi preso por um caso de crime informático e o caso atraiu a
atenção de todo o país, graças a uma tática incomum de defesa. A defesa
solicitou um ano de prisão e seis meses em um programa de reabilitação
para tratar seu vício em computadores. Era uma tática de defesa estranha, mas um
tribunal federal, depois de hesitar, pensou que houvesse
algum tipo de relacionamento psicológico entre a obsessão de Mitnick em entrar
nos sistemas de computadores e nas dependências ou slots de drogas,
e foi bem-sucedido. Após o período da prisão e a temporada com psicólogos, onde
ele foi proibido de se aproximar de um computador ou telefone
(ele perdeu 45 quilos de peso), Mitnick foi para Las Vegas e conseguiu um
emprego como programador de computador de baixo nível em uma empresa que
envia listas de discussão.
Em 1992, Mitnick mudou-se para a área do vale de San Fernando depois que seu
meio-irmão morreu de uma aparente overdose de heroína.
Lá, ele teve um curto trabalho de construção, que conseguiu um emprego através
de um amigo de seu pai na Detective Agency Tel Tec.
Assim que comecei a trabalhar, alguém foi descoberto ilegalmente usando os dados
da agência comercial do sistema e por que Kevin foi alvo de
uma investigação sob o bastão do FBI.

Em setembro, eles revistaram seu apartamento como a casa e o local de trabalho


de outro membro de seu grupo de phreakers. Dois meses depois que um tribunal
federal ordenou a prisão de Mitnick por violar os termos de sua liberdade em
1989. Quando o prenderam, Mitnick desapareceu sem deixar rasto desde que se
tornou um hacker fugitivo.

Uma das teorias consideradas refletidas no eco tinha Mitnick na sociedade e,


entre eles, hackers, era que a segurança dos computadores da época não era terra
de ninguém; o computador havia acabado de acordar e o conhecimento de usuários e
técnicos em informática não representa o abismo atual.

Em 1991, ocorre o famoso confronto com o repórter do New York Times, John
Markoff, que liderou os 88 artigos sobre negócios e tecnologia. De fato, no
mesmo ano, ele recebeu o prêmio da Software Publishers Association pelo melhor
relatório. Kevin sempre insistiu que Markoff o chamou para colaborar em um livro
que estava escrevendo sobre ele; Mitnick recusou e Markoff publicou seu
exemplar, expondo Mitnick como um verdadeiro criminoso de computadores. Segundo
Mitnick, "tudo começou com uma série de artigos de John Markoff na capa do The
New York Times, cheios de acusações falsas e difamatórias, que mais tarde foram
negadas pelas autoridades. Markoff me aceitou porque me recusei a colaborou em
seu livro e criou o mito de Kevin Mitnick, para transformar Takedown [seu livro]
em um best-seller. "Depois que a caça pelas autoridades começou. Mitnick
defendeu essa caçada afirmando que "as autoridades aproveitaram a oportunidade
para transformar o bode expiatório de todos os hackers da terra. E a auto-
justificativa, para o improvável exagerado o dano que poderia causar".

Em 1994, com o boom da telefonia móvel, Mitnick descobriu que esse ideal não
pode ser localizado e vagar de um lugar para outro. Mas ele precisava usar uma
série de programas que permitiriam que ele se movesse com a mesma facilidade com
que ele havia feito antes (via rede telefônica). Assim, através de suas técnicas
refinadas e bem-sucedidas de engenharia social, ele consegue pegar a chave do
computador pessoal de Tsutomu Shimomura, graças à técnica de falsificação de IP
(IP distorcido), que teve muita sorte Mitnick, era um computador especializado
japonês, pertencente ao Segurança de comunicações on-line da Netcom. Seu
encontro com Shimomura levaria ao declínio.
Shimomura era considerado um hacker de chapéu branco (whitehats), um hacker bom
que, quando descoberto, uma vulnerabilidade o conscientizou da polícia ou da
entidade competente, em vez de espalhá-lo para outros hackers na Web. Quando ele
percebeu que eles violavam a segurança de seu próprio computador, ele começou a
pesquisá-lo e, dado o indecente personagem de Mitnick, Shimomura foi lançado em
uma cruzada pessoal contra o já chamado "superhacker" e disse que "prender o
americano estúpido", não iria parar. até pegá-lo. E assim foi.
Shimomura

Em 1995, depois de descobrir o software Shimomura, uma conta The Well (ele
costumava lançar ataques a empresas conhecidas como Apple, Motorola e Qualcomm),
um provedor de serviços de Internet da Califórnia, levou cerca de duas semanas
para determinar que as ligações vinham de Raleigh (Califórnia).
Depois de também passarem pelo ISP Internex, Shimomura entrou em contato com o
FBI e eles enviaram um grupo de rastreamento equipado com um simulador de
celular
(um computador geralmente usado para testar dispositivos móveis) que lidava com
o telefone Mitnick registrado ou não.
Um bom radar para localizar o hacker. No meio da meia-noite começou a busca pela
origem do sinal.
Poucas horas depois, localizaram o sinal em um grupo de apartamentos, mas ainda
não sabiam qual deles poderia ser encontrado Mitnick.

Enquanto isso, Shimomura e o FBI planejavam capturar o hacker para o dia


seguinte (16 de fevereiro), mas um erro na mensagem codificada de que Shimomura
se referia à
acusação da Netcom precipitou sua captura, pois havia ordens para fazer backup
de todo o material que tinha Mitnick e depois apague uma vez que foi capturado.
E isso interpretou. O FBI estava condenado a agir rapidamente se não quisesse
perder novamente, para não suspeitar que Mitnick pudesse estar armado,
eles anunciaram sua presença na porta do apartamento que Mitnick era. Isso abriu
a porta silenciosamente e foi imediatamente preso.
O hacker havia sido capturado. Era 15 de fevereiro de 1995.

Mas Shimomura ainda mais uma surpresa o esperava naquele dia. Ao voltar para
casa e revisar as mensagens que havia recebido em sua secretária eletrônica,
boliche ouviu várias mensagens deixadas por Mitnick; mensagens que ele recebeu
várias horas depois de capturar Mitnick.
A realização dessas chamadas ainda permanece um mistério que faz parte da
história interessante desse hacker.

Kevin Mitnick foi acusado de roubo de software, fraude eletrônica, danos aos
computadores da Universidade do Sul da Califórnia,
roubo de arquivos e interceptação de e-mails. Entre as empresas afetadas estavam
Nokia, Fujitsu, NEC, Novell, Sun Microsystems, Motorola, Apple ...
Ele se declarou inocente e sentenciou-se a 5 anos de prisão sem fiança, o que
irritou os milhares de hackers ainda apaixonados pela história do crime.
Condor e iniciou a popular campanha "Kevin Free" (Liberate Kevin) alterando
sites conhecidos: Unicef, New York Times, Fox TV e assim por diante.

Mitnick, que foi libertado em janeiro de 2000 depois de passar quase cinco anos
na prisão federal, ficou em liberdade condicional até janeiro de 2003,
onde a juíza investigadora do caso, Mariana Pfaelzer, proibiu Mitnick de aceitar
qualquer tipo de computador, telefone celular,
televisão ou qualquer dispositivo eletrônico. dispositivo que pudesse se
conectar à Internet, que a abstinência de seu computador também o acompanhou
durante
os três anos após sua libertação da prisão.

Apesar disso, Mitnick não perdeu tempo. Ele lançou sua própria empresa, a
Defensive Thinking,
uma consultoria de segurança, e começou a escrever um livro sobre sua história.
Embora, de acordo com a sentença judicial, seja proibido obter benefícios
econômicos até
2010, em 4 de outubro de 2002, veio à tona "A arte do engano" (A arte do
engano), que descreve técnicas de manipulação e persuasão pelas quais você pode
obter
as informações necessárias. códigos para entrar na rede da empresa e se passar
por outra pessoa, por exemplo.
Seu lançamento explicava que o livro tinha um objetivo educacional. "Certas
técnicas e truques você os usou contra algumas empresas, mas todas as histórias
do livro são
fictícias", disse ele.

No final de 2003, Kevin anunciou seu segundo livro, "The Art of Intrusion". O
anúncio foi feito de uma maneira muito peculiar, pois Kevin afirmou estar
procurando
histórias que possam ser comprovadas e que contem o que fizeram, preservando a
identidade dos agressores. Os "hackers" selecionados receberiam como pagamento
uma
cópia do primeiro livro de Mitnick, "The Art of Deception", uma cópia do
segundo, ambos assinados pelo autor, e a opção de receber o prêmio de melhor
ataque,
no valor de 500.000 dólares. .

Como curiosidade, Mitnick participou de algumas séries de televisão;


entre eles, ele apareceu no "Alias" ABC, jogando um computador da CIA; um
programa de rádio produziu e vendeu alguns de seus bens
(um Toshiba Satellite 1960CS 4400SX e Toshiba).

Filmes foram feitos sobre sua vida como Takedown (Assault Final) em 2000, também
conhecido como Hackers 2
e alguns livros como "Cyber Alert: Retrato de um ex-hacker" The Fugitive Game:
Online Com Kevin Mitnick, The Cyberthief e o samurai ou "Remoção".

Hoje, Mitnick é consultor de segurança, dedica-se a palestras sobre a proteção


de redes de computadores, engenharia social, etc., em todo o mundo,
para continuar escrevendo livros e arrecadando muitos milhões de dólares com
ele.

--------------------------------------------------------

Então:

Como é a engenharia social em ação? Pode parecer um email projetado para parecer
de uma organização credível, como o serviço de mensagens de sua operadora ou
mesmo o seu banco ou quem sabe
recebenfo uma bolada de R$1.000.000.

Mas se você o abrir e clicar nesse anexo, link, poderá instalar malware¹ ou
ransomware².
Ou pode parecer disfarçado de alguém de seu serviço
(como um título incomum, como IT @ onomedasuaempresa - alguém em quem você
confia). Mas se você responder a esse email com seu nome de usuário e senha,
seu computador ficará facilmente comprometido. A regra é Pense antes de clicar.

----------------------

Ataques de engenharia social

O diretor técnico da Symantec Security Response disse que os bandidos geralmente


não estão tentando explorar vulnerabilidades técnicas no Windows. Eles estão
indo atrás de você.
"Você não precisa de tantas habilidades técnicas para encontrar uma pessoa que
possa, em um momento de fraqueza, abrir um anexo que contenha conteúdo
malicioso".
Apenas cerca de 3% do malware que eles encontram tenta explorar uma falha
técnica. Os outros 97% estão tentando enganar um usuário através de algum tipo
de esquema de engenharia
social; portanto, no final, não importa se sua estação de trabalho é um PC ,um
Mac ou até mesmo seu smartphone.

Phishing

Os ataques mais comuns de engenharia social vêm de phishing ou spear phishing e


podem variar de acordo com os eventos atuais, desastres ou período de impostos.
Ele é um dos métodos mais comuns e eficazes de cibercriminosos. Ele é simples,
de baixa tecnologia e explora emoções humanas, como o medo, para enganar
usuários
inocentes e induzi-los a clicar em links maliciosos. Em 2019, o número de
páginas de phishing no Brasil teve um crescimento recorde de mais de 231%. Além
de atividades nesse
padrão e vazamento de credenciais (e-mails com senha) e cartões de crédito, é
notório o número de senhas vazadas de organizações com domínios .br: foram 23,6
milhões de
credenciais únicas detectadas, sendo 123456 a senha mais comum com 37,65 milhões
de detecções no mundo.

Aqui estão alguns dos piores:

1.Existem inúmeras maneiras de sofrer esses tipos de ataques: acessar o Wi-Fi


público, acessar um site falso ou seguir um link em um e-mail que promete
ofertas exclusivas de
Black Friday ou Natal.

2. Notificação do Tribunal para Aparecer - Os golpistas estão enviando e-mails


de phishing alegando vir de um escritório de advocacia real chamado 'Baker &
McKenzie',
informando que você deve comparecer em tribunal e deve clicar em um link para
visualizar uma cópia do aviso do tribunal.
Se você clicar no link, você baixa e instala malware.

B. Ransomware de reembolso do IRS - Muitos de nós esperamos até o último momento


antes do prazo final do imposto de 15 de abril e agora estamos prendendo a
respiração coletiva
na expectativa desse reembolso possivelmente recompensador. O problema é que os
cibercriminosos estão muito conscientes dessa antecipação e usam táticas de
engenharia social
para enganar os contribuintes. Sabendo que muitos americanos estão aguardando
notícias do Internal Revenue Service sobre reembolsos pendentes,
a máfia cibernética está trabalhando duro para entrar primeiro com um ataque
maciço de phishing que tem um anexo de ransomware.
O anexo é um arquivo infectado do Word, que contém uma carga útil de ransomware
e criptografa os arquivos do infeliz usuário
final que abre o anexo e todas as unidades de rede conectadas, se houver.

C. Pesquisadores da Proofpoint descobriram recentemente uma campanha de Phishing


originada de ofertas de emprego selecionadas no CareerBuilder.
Aproveitando o sistema de notificação usado pelo portal de tarefas, o invasor
carregou anexos mal-intencionados em vez de currículos, o que obrigou o
CareerBuilder a
agir como um veículo de entrega de e-mails de phishing.
O golpe é simples e complexo. É simples porque o invasor usou um local de
trabalho conhecido para direcionar um pool de destinatários de e-mail desejados
e complexo porque o
malware entregue foi implantado em etapas.
O ataque começa enviando um documento malicioso do Word (chamado resume.doc ou
cv.doc) para uma publicação de trabalho. No CareerBuilder, quando alguém envia
um documento para uma lista de empregos, um email de notificação é gerado para
as pessoas que postaram o trabalho e o anexo é incluído.

D. O departamento de polícia de Durham, New Hampshire foi vítima de ransomware


quando um funcionário clicou em um e-mail de aparência legítima.
Vários outros departamentos de polícia foram atingidos, incluindo Swansea e
Tewksbury, MA, xerife do Condado de Dickson (Tennessee) e outros. A partir desse
momento,
o principal meio de infecção parece ser através de e-mails de phishing contendo
anexos maliciosos, avisos de rastreamento falsos da FedEx e UPS e até mesmo
através de anúncios
pop-up.

-----------------------------

Conclusão:

Como me manter seguro ?

As mensagens enviadas pelo e-mail costumam ser detalhadas, como se realmente


tivessem sido enviadas por grandes empresas ou por um funcionário do setor
financeiro de uma
organização, tentando obter, assim, informações confidenciais.

— Globalmente, os ataques ocorrem em qualquer ponto de contato com os usuários,


incluindo lojas de aplicativos que hospedam aplicativos desonestos,
plataformas de rede social com perfis falsos, mensagens SMS, domínios falsos e
muito mais — alerta Michael Lopez, vice presidente e gerente-geral de Total
Fraud Protection da
Cyxtera, empresa de segurança cibernética.

O phishing é usado para enganar as pessoas para que o invasor seja beneficiado
de alguma forma. Para que os dados sejam repassados pelos usuários sem
desconfiança,
os criminosos virtuais se aproveitam de curiosidades, emoções e medo.

— Normalmente, esses ataques são muito amplos, com o objetivo de atrair o maior
número possível de pessoas. Eles associam um senso de urgência às tentativas de
"assustar" a
vítima e tomar medidas "imediatamente". Por exemplo: clique em um link agora
para evitar que uma conta ou serviço seja suspenso. Esses são os truques que
devemos vigiar —
explica Lopez.

Como se proteger?

Não forneça informações confidenciais, tanto por telefone quanto por e-mail
Verifique o endereço do site. Em muitos dos casos, o link contém erros de
grafia ou um domínio diferente do site original
Mantenha seu navegador atualizado e utilize atualizações de segurança
Não acessar sites de bancos e afins em redes públicas, como em lan houses,
por exemplo
Não responda ou clique em links recebidos por e-mail ou Facebook sem
solicitação
Não abra anexos contidos em e-mail que não foram solicitados
Não revele senhas e acessos a sites

Você também pode gostar