Protegendo

5 truques de Engenharia Social que os golpistas usam para enganar voc

Especialistas em segurana indicaram quais os principais novos esquemas para roubar seu dinheiro na Internet; ataques esto cada vez mais personalizados. Voc agora pode conhecer o bastante sobre tecnologia para saber que se trata de um golpe quando um amigo chega no Facebook dizendo que foi assaltado em algum lugar e precisa desesperadamente de dinheiro. Mas os engenheiros sociais criminosos que criam esses esquemas para tentar te enganar, esto sempre um passo frente. Os ataques de engenharia social esto ficando cada vez mais especficos, de acordo com Chris Hadnagy, autor do livro Social Engineering: The Art of Human Hacking. Os ataques direcionados esto proporcionando melhores resultados aos engenheiros sociais, diz. Isso significa que eles podem precisar trabalhar mais para descobrir informaes pessoais, e que isso pode levar mais tempo, mas a recompensa geralmente costuma ser maior. Os ataques agora no so apenas um esforo amplo de spams, enviando um milho de emails com uma oferta de Viagra, afirma Hadnagy. Existem agora ataques individuais em que eles vo atrs das pessoas separadamente, uma por uma. Confira abaixo cinco novos golpes de engenharia social na web que empregam muito mais envolvimento individual: 1) Somos da equipe de suporte da Microsoft queremos ajudar (This is Microsoft support we want to help)Hadnagy afirma que um novo tipo de ataque tem atingido muitas pessoas ultimamente. Ele comea com uma ligao telefnica em que algum afirma ser do servio de suporte da Microsoft e diz que est ligando por causa de um nmero anormal de erros que teriam origem no seu computador. A pessoa do outro lado da linha diz que quer ajudar na soluo porque h uma falha e eles tem feito ligaes para usurios licenciados do Windows, explica Hadnagy. Faz sentido; voc um usurio licenciado do Windows, tem uma mquina com Windows e ela quer provar isso para voc. A pessoa que ligou diz para a vtima ir at o event log (visualizador de eventos) da mquina e a acompanha pelos passos at chegar ao log do sistema. Todo usurio do Windows ter dezenas de erros neste log, simplesmente porque acontecem pequenas coisas; um servio trava, algo no inicializa. Sempre existem erros,

afirma Hadnagy. Mas quando um usurio sem experincia abre isso e v todos esses erros, parece assustador. Nesse ponto, a vtima est desesperadamente pronta para fazer qualquer coisa que o suposto funcionrio do suporte pedir. O engenheiro social ento aconselha-os a ir at o site Teamviewer.com, um servio de acesso remoto que d a ele controle da mquina. Uma vez que o cracker tiver acesso mquina por meio do Teamviewer, ele pode ento instalar algum tipo de rootkit ou outro tipo de malware que permitir a ele ter acesso contnuo ao sistema, afirma Hadnagy. 2) Faa uma doao para ajudar as vtimas do (alguma tragdia)! (Donate to the hurricane recovery efforts!) Golpes de doaes para caridade tm sido um problema h anos. A todo momento temos desastres de grandes propores no mundo, como o terremoto no Haiti ou tsunami no Japo, e os criminosos rapidamente entram no jogo e lanam sites falsos de doaes. A melhor maneira de evitar isso indo a uma organizao conhecida e de boa reputao, como a Cruz Vermelha, e iniciar o contato por conta prpria se quiser fazer uma doao. No entanto, Hadnagy afirma que surgiu h pouco tempo um tipo particularmente desprezvel de golpe de engenharia social direcionado para pessoas que possam ter perdido parentes ou amigos em desastres naturais. Neste exemplo, Hadnagy diz que, entre 8 e 10 horas aps o incidentes, o site aparece dizendo ajudar a encontrar pessoas que possam ter desaparecido no desastre. Eles alegam ter acesso as bases de dados do governo e informaes de recuperao. Normalmente os engenheiros no pedem por informaes financeiras, mas exigem nomes, endereos e informaes de contato, como nmeros de telefone e e-mail. Enquanto voc est esperando para ouvir sobre a pessoa, recebe um pedido de doao para caridade, diz Hadnagy. A pessoa da suposta instituio de caridade normalmente vai iniciar uma conversa e dizer que est coletando contribuies porque tem uma relao mais passional com a causa porque perdeu um membro da famlia em um desastre parecido. Secretamente, eles sabem que a pessoa que contataram tambm j perdeu algum, e isso ajuda a criar uma suposta camaradagem. Tocada pela pessoa que entrou em contato, a vtima ento oferece um nmero de carto de crdito pelo telefone para fazer a doao para caridade. Agora eles tem seu endereo, seu nome, nome do seu parente e tambm do seu carto de crdito. Basicamente todas as informaes que eles precisam para cometer um roubo de identidade, explica Hadnagy. 3) Sobre sua inscrio para a vaga de emprego (About your job application) Tanto pessoas buscando empregos quanto empresas de recrutamento esto sendo atacadas por engenheiros sociais.

Esse um golpe perigoso, para os dois lados, afirma Hadnagy. Seja a pessoa buscando trabalho ou a companhia postando novas vagas, ambas as partes esto dizendo estou disposto a aceitar arquivos anexos e informaes de estranhos. De acordo com um alerta do FBI, mais de US$ 150 mil foram roubados de uma empresa americana por meio de uma transferncia no-autorizada como resultado de um e-mail com malware que a companhia recebeu a partir de uma oferta de emprego. O malware estava incorporado em um e-mail de resposta a uma vaga de emprego que a companhia colocou em um site de recrutamento e permitiu ao cracker conseguir as credenciais bancrias online da pessoa que estava autorizada a realizar transaes financeiras na companhia, afirma o aviso do FBI. O invasor alterou as configuraes da conta para permitir o envio de transferncias protegidas, sendo uma para a Ucrnia e duas para contas domsticas. 4) @pessoanoTwitter, o que voc pensa sobre o que a Dilma disse sobre #desemprego? http://shar.es/HNGAt (@Twitterguy, what do you think about what Obama said on #cybersecurity? http://shar.es/HNGAt) Os engenheiros sociais esto observando o que as pessoas esto tuitando e usando essa informao para realizar ataques que parecem mais crveis. Uma maneira disso acontecer na forma de hashtags populares, de acordo com a companhia de segurana Sophos. Na verdade, o incio da nova temporada da srie Glee no comeo deste ms na Inglaterra fez com que os cibercriminosos sequestrassem a hashtag #gleeonsky por vrias horas. A operadora de TV por assinatura Sky pagou para usar a hashtag como uma forme de divulgar a nova temporada, mas os spammers tomaram conta dela rapidamente e comearam a incorporar links maliciosos nos tutes com o termo. Obviamente que os spammers podem escolher redirecionar para qualquer site que quiserem uma vez que voc tenha clicado no link, afirma o consultor snior de tecnologia da Sophos, Graham Cluley. Poderia ser um site de phishing desenvolvido para roubar suas credenciais no Twitter, uma farmcia falsa ou um site porn. Acho que veremos ainda mais ataques desse tipo em mdias sociais por causa da maneira como as pessoas clicam nesses links, afirma Hadnagy. 5) Saiba como ter mais seguidores no Twitter! (Get more Twitter followers!) A Sophos tambm faz um alerta sobre servios que dizem conseguir mais seguidores no Twitter. De acordo com Cluley, sero cada vez mais comuns mensagens como QUEREM MAIS SEGUIDORES? EU VOU TE SEGUIR DE VOLTA SE VOC ME SEGUIR (LINK). Clicar nesse link leva o usurio para um servio na web que promete conseguir muitos novos seguidores. O prprio Cluley criou uma conta teste para ver o que acontecia. As pginas pedem para voc digitar seu nome de usurio e senha do Twitter, afirma Cluley em um post no blog sobre o experimento. Isso deveria fazer voc sair correndo

por que um site de terceiros deveria pedir suas credenciais? O que os donos dessas pginas esto planejando fazer com seu nome de usurio e senha? possvel confiar neles? Cluley tambm colocou que o servio admite no ser apoiado ou afiliado ao Twitter, e que para usar o servio, voc precisar autorizar o aplicativo a acessar sua conta. A essa altura, todas as garantias de segurana e uso tico j eram, afirma o especialista. O prprio Twitter avisa aos usurios para tomarem cuidado com esses servios em sua pgina de informaes de ajuda. Quando voc fornece seu nome de usurio e senha para outro site ou aplicativo, est passando o controle da sua conta para outra pessoa, explica uma das regras do Twitter. Elas podem ento postar atualizaes e links duplicados, maliciosos ou spam, enviar mensagens diretas no desejadas, seguir outros usurios de modo agressivo, ou violar outras regras do Twitter com a sua conta. Alguns aplicativos de terceiros j foram implicados em atos de comportamento de spam, fraude, venda de nomes de usurios e senhas e golpes de phishing. Por favor, no fornea seu nome de usurio e senha para aplicativos de terceiros que voc no conhea ou tenha pesquisado com cuidado antes.