Tipos de ataques de engenharia social

7 de fevereiro de 2022 By Nancy Guilherme Sem comentários 14 minutos

Os ataques cibernéticos hoje em dia aumentaram além da medida e, com isso dito, você provavelmente já ouviu falar sobre vários tipos de ataques de engenharia social. Você poderia chamá-lo de uma coleção de vários tipos de ataques maliciosos induzidos por meio de exploração e manipulação psicológica.

É mais como experimentar o piores tipos de ataques de segurança cibernética e nem mesmo sabendo como isso aconteceu. Os ataques de engenharia social são feitos de forma complexa, dedicando tempo para atingir pessoas específicas, desenvolver certas estratégias, descobrir pontos fracos de entrada, fazer com que a vítima confie no invasor e assim por diante.

Este guia revelará alguns dos piores tipos de ataques de engenharia social e como você pode criar estratégias de proteção contra eles.

Índice

• O que é engenharia social?
• O ciclo de ataques de engenharia social
• 17 tipos de ataques de engenharia social
• Estratégias de proteção para evitar ataques de engenharia social
• Conclusão

O que é engenharia social?

Conforme mencionado acima, a engenharia social é uma coleção de vários tipos de ataques cibernéticos que ocorrem por meio de interações humanas e psicológicas. É onde o perpetrador irá definir um alvo e usar todos os meios possíveis para obter resultados. Esses resultados são perda de informações confidenciais, detalhes bancários, fraude de identidade, fundos roubados, controle de dispositivo ou instalação malwares nos dispositivos das pessoas por meio de tentativas de phishing.

Por exemplo, houve um tempo em que milhares de As contas do Facebook foram invadidas pelo malware FlyTrap Trojan. Isso aconteceu por meio de usuários baixando aplicativos falsos das lojas de aplicativos.

O ciclo de ataques de engenharia social

Existem certas etapas que cada invasor executa para concluir um ataque de engenharia social. Aqui estão os passos:

• Visando uma vítima
• Investigando-os e compilando informações
• Criar métodos de ataque dependendo dos pontos fracos ou vulneráveis.
• Envolvimento com a vítima
• Planejando uma história para girar e convencer a vítima
• Expandir o ataque pedindo informações ao alvo lenta e gradualmente
• Colocar malware e outras tramas de engenharia social no local para o ataque
• Cobrindo todas as faixas após o ataque ocorrer

Agora que você sabe como funcionam os ataques de engenharia social, dê uma olhada abaixo para conhecer os diferentes tipos de ataques de engenharia social.

17 tipos de ataques de engenharia social

A seguir estão alguns dos ataques de engenharia social mais avançados atualmente. Eles são:

• Phishing

Começando com Phishing, geralmente é o tipo de ataque de engenharia social que ocorre por meio de mensagens de texto e e-mails. Em algum momento, você pode ter notado um e-mail solicitando que você faça login com alguns detalhes da conta pessoal ou que você deve pagar uma certa quantia para continuar uma associação para a qual nunca se inscreveu. Eles podem até usar essas táticas para instalar Malware Zeus ou outros tipos no seu dispositivo.

Eu sei o que você está pensando. Por que alguém responderia cegamente a esses e-mails e textos? Não é tão simples assim. Alguns desses golpes de phishing são extremamente difíceis de identificar. Isso também inclui conversar com alguém no Instagram e ser levado a um relacionamento, apenas para descobrir que sua conta bancária foi esvaziada. Isso é chamado phishing no Instagram e pode acontecer em quase todos os outros serviços de mídia social.

• vishing

Outro tipo de ataque de phishing é vishing. Trata-se de golpistas enganando a vítima para que cumpra suas exigências por meio de ligações telefônicas. Eles falsificam seus números fazendo-se passar por funcionários de bancos, faculdades, hospitais, escritórios e assim por diante.

Às vezes, as chamadas são tão avançadas a ponto de suas vozes parecerem familiares. Esses golpistas solicitarão informações confidenciais, como endereços, números de previdência social e muito mais. É por isso que os funcionários do banco dizem repetidamente aos clientes que nenhum representante jamais pediria dados confidenciais em chamadas ou mensagens de texto.

•  Smishing

Cobrimos e-mails e telefonemas, e agora vamos falar sobre smishing ataques feitos através de mensagens de texto. Esse tipo de ataque de engenharia social provou ser muito bem-sucedido porque quase todo mundo assume que quem quer que tenha seu número e nome deve ser uma fonte autêntica.

Ele pode vir na forma de uma mensagem de texto solicitando que você clique em um link contendo a confirmação de entrega de sua encomenda, digitando um código em um texto para proteger sua conta de mídia social e assim por diante. Você mal saberá a diferença.

• Baiting

O que vem à sua mente quando você ouve a palavra isca? Você pode descrevê-lo como algo emocionante anexado ao final de um gancho mortal, esperando pacientemente que as vítimas sejam tentadas - atraídas. Existem diferentes variações de como são os ataques de isca.

Os invasores roubam informações por meio de anúncios, anúncios, prêmios gratuitos etc. ou infectam seu sistema com malware usando unidades flash. Sem pensar, a vítima conecta essas unidades flash maliciosas em seus dispositivos, causando falha do sistema ou perda de informações.

O mesmo pode ser dito sobre a instalação de aplicativos falsos ou maliciosos de várias lojas de aplicativos. Eles anunciam de maneira tão convincente que você não notará a diferença. É como procurar o melhores aplicativos Firestick e pousando em alguns que estão longe de serem autênticos – possivelmente enchendo seu dispositivo com malware e outros tipos de infecções.

• Spear Phishing

Spear phishing é outro dos tipos de ataques de engenharia social mais direcionados atualmente. É chamado de tipo preciso de golpe de phishing principalmente porque visa suas vítimas com muito planejamento detalhado - leva de semanas a meses para ser executado. Esses tipos de ataques visam peixes maiores, como grandes empresas, indivíduos de alto perfil, etc.

Para especificar como funciona, o alvo receberá um e-mail ou muitos em que o conteúdo representa um grupo do local de trabalho ou um consultor particular.

O e-mail pode solicitar que você altere sua senha ou e-mail para entrar ou login para uma página, portal ou conta específica. O link para a página do formulário pode ser a área onde o ataque é conduzido – onde o hacker pode facilmente ter acesso a todas as informações inseridas.

• Phishing de pescador

Se você comprou recentemente um produto on-line ou por meio de mídia social e apresentou uma reclamação, há golpistas esperando para atacar. Eles usam contas de atendimento ao cliente falsificadas ou falsas para enganar os clientes e fazê-los preencher formulários com informações pessoais.

Por exemplo, digamos que existe uma página no Facebook onde os usuários registram reclamações sobre as empresas XYZ. Esses invasores monitoram todas as reclamações e visam usuários específicos que têm muito a perder.

• Catfishing

Quantos de vocês foram vítimas de fraudes namoro online? Você já falou com alguém, se apaixonou por eles, apenas para descobrir que estava sendo trollado o tempo todo? A pessoa com quem você está falando afirma ser um garoto de 22 anos, mas na verdade é um homem de 78 anos.

Perfis falsos que são golpes costumam ser usados ​​como um dos ataques de engenharia social mais rápidos. Isso é chamado pesca-gato as vítimas a acreditar que estão falando com alguém que é honesto e real – é exatamente o oposto.

Esses tipos de golpes de pesca-gato podem ir tão longe a ponto de fazer com que alguém se apegue emocionalmente a você e, em seguida, usando uma história triste e triste, peça a eles que doem dinheiro para você. Os atacantes podem até pedir informações pessoais; pode ser usado de qualquer maneira possível.

• desvio de roubo

Entre os tipos de ataques de engenharia social, temos roubo de desvio. Se você der uma olhada no próprio nome, entenderá com mais clareza esse tipo de ataque. Diversion significa distrair alguém do que realmente está acontecendo.

Com isso, o invasor pode facilmente induzir os usuários a fornecer informações confidenciais, como detalhes da conta, endereços e senhas. Demonstrativos financeiros e muito mais.

• Pretexto

Pretexto pode ser definido como outro tipo de ataque de engenharia social em que o perpetrador seleciona cuidadosamente linhas ou informações, faz com que pareça legal e, em seguida, as envia para seu alvo. Pode ser uma representação dos órgãos de aplicação da lei, seus funcionários fiscais, funcionários do hospital, etc.

Muito dever de casa vai para um ataque como este, onde o atacante leva tempo para reunir todos os tipos de informações sobre seu alvo. Com isso, eles podem criar avisos, formulários, e-mails falsos, etc., forçando a pessoa a se corresponder e obedecer.

• A utilização não autorizada

Sabe aquela hora que você fica atrás de um carro ou veículo para conseguir a melhor vaga de estacionamento ou para conseguir alguma coisa? Isso é conhecido como utilização não autorizada. É um tipo de ataque de engenharia social simples, mas estratégico.

O atacante pode usar qualquer meio para se aproximar de um indivíduo ou alvo seguindo-o. Ele pode ser usado em circunstâncias em que um intruso pode seguir alguém até um edifício de alto perfil.

Quando a pessoa entra no portão, o intruso corre automaticamente para a porta e entra ilegalmente. O mesmo pode ser feito online. Quando você acompanha uma pessoa enquanto ela está usando seu aplicativo bancário ou outras plataformas confidenciais e coleta informações tão próximas.

• Às cavalitas

Você poderia dizer que o Piggybacking é muito semelhante à utilização não autorizada. No entanto, nesse tipo de ataque social, o indivíduo conscientemente leva o intruso a seus dados bancários e outras informações confidenciais.

Por exemplo, é como assumir a culpa de alguém, mesmo que você não esteja errado. Você só fez isso por cortesia porque o culpado inventou uma história triste e convincente.

Se formos para um ambiente profissional, o intruso pode facilmente enganar um guarda descuidado para dar a ele uma chave de acesso sobressalente; alegando que trabalham para a empresa e que deixaram o cartão de acesso em outro lugar.

Mas, como o guarda pode facilmente dar acesso? O intruso fez uma pequena pesquisa, reunindo o máximo de informações possível e usando-as da melhor maneira possível.

• Scareware

O scareware é um dos golpes de engenharia social mais usados. Você provavelmente recebeu ou viu algumas notificações informando que seu dispositivo está infectado por malware. Ele solicita que você clique em determinados links, levando você a instalar malware real ou outros tipos de ameaças. Outra variação de scareware é conhecida como scanner desonesto, fraudware ou software enganoso.

Ao entrar em determinados sites, você pode ter visto alguns banners pop-up etc. informando que seu dispositivo está infectado e que você precisa baixar um limpador ou instalar um software de segurança – recomendado pelo invasor, é claro.

Fora isso, existem e-mails e mensagens de texto que contêm rastros de scareware. Houve um incidente em um escritório em que um novo funcionário recebeu um e-mail dizendo-lhe para pagar uma determinada quantia ou ser exposto a seus empregadores. Assustado, o funcionário cumpriu as exigências sem pensar duas vezes, porque quem quer perder o emprego, não é mesmo? Esse foi um pequeno exemplo de ataque de ransomware, também outra contraparte do scareware.

• Baleeira

Outro tipo de ataque de phishing é chamado Whaling. No entanto, Baleeira é um tipo de ataque de engenharia social usado para capturar peixes grandes com apenas uma rede. Esses invasores têm como alvo pessoas de alto perfil, grandes empresas ou alguém de cargos mais altos – como um CEO.

Se você está se perguntando como isso funciona, bem, os invasores primeiro falsificam os endereços de e-mail de indivíduos de alta prioridade em um local de trabalho, ou de uma agência ou empresa, etc.

No e-mail enviado, eles fazem com que pareça uma situação de fazer ou morrer, fazendo com que pareça muito sensível ao tempo. Se o ataque for bem-sucedido, a vítima pode perder uma grande parte dos dados confidenciais e entrar em maus lençóis.

• Spam de contato

Se você usa o Facebook ou o nome mais recente, mude para metaverso, então você deve estar ciente desse tipo de ataque de engenharia social. Você já recebeu uma mensagem de um amigo que diz “assista a este vídeo, acho que você está nele?” Esse também é um tipo de vírus que é enviado para todos os contatos e não do seu amigo real.

Quando você clica no link ou no vídeo, malware ou outros tipos de ameaças se espalham e infectam seu dispositivo.

• Quid pro quo

O verdadeiro significado de quid pro quo é conceder algo a alguém em troca de atender a certas demandas. Da mesma forma, um quid pro quo é usado como um mecanismo de ataques de engenharia social.

Por exemplo, digamos que você queira consertar seu aparelho e entre em contato com algum especialista em TI que acabou de conhecer na internet porque o serviço é mais barato. O invasor então “conserta” o dispositivo, mas, na verdade, instala um software malicioso no dispositivo da pessoa para controlá-lo ou obter informações.

Da mesma forma, pode ser qualquer pessoa dizendo que você ganhou um check-up médico gratuito e, para fazer isso, você deve fornecer seus dados, como informações de conta, endereços, senhas etc. Em troca? Você não obtém nada além de informações roubadas.

• Mel Armadilha

A armadilha de mel geralmente é um pote pegajoso para impedir que pessoas ou insetos sejam tentados pelo mel. No entanto, nessa circunstância, esse ataque de engenharia social é aquele em que o invasor finge estar emocional ou sexualmente envolvido com outra pessoa online.

Nessa situação, o invasor pede ao seu “parceiro” que envie imagens ou vídeos explícitos na esperança de usá-los contra eles. Caso contrário, o invasor pede à pessoa que envie algumas informações confidenciais que posteriormente podem ser trocadas por dinheiro.

• Furo de Rega

Por último na lista de tipos de ataques de engenharia social, temos o Watering Hole. Esse tipo de ataque visa sites ou serviços que reúnem um grande número de usuários. Quando o usuário faz login em sua conta, todas as informações inseridas podem ser registradas ou armazenadas no site infectado.

Estratégias de proteção para evitar ataques de engenharia social

Agora você tem uma visão completa do que são os ataques de engenharia social e seus tipos. No entanto, chegará um dia em que você poderá encontrar um ou dois, pois nem todos estão seguros online.

No entanto, por esse motivo, também desenvolvemos algumas medidas de proteção que podem ajudar a prevenir esses ataques. Veja o que você pode fazer sobre esses ataques:

• Continue fazendo perguntas, mesmo que não haja dúvidas

Nunca é uma pena fazer perguntas, especialmente se alguém está pedindo dados bancários e outros tipos de informações pessoais. Depois de fazer suas perguntas sobre o que e por que certos dados precisam ser fornecidos, certifique-se de manter um ouvido atento para as respostas.

• Verifique novamente a identidade da pessoa com quem você está falando

Se alguém enviar e-mails, mensagens de texto ou ligações solicitando suas informações; se eles alegarem ser alguém que você conhece, como do banco ou da sua empresa, peça os detalhes da pessoa. Verifique se a pessoa realmente existe, em vez de ser puxado para um golpe online.

• Procure por erros

Nem todo invasor é habilidoso no idioma inglês ou em qualquer outro idioma. Procure por erros de ortografia ou gramática. Verifique se há sinais de pontuação, etc. Se algo parecer estranho ou não muito profissional, pule o cumprimento. Se for importante, você será contatado novamente.

• Use um serviço VPN

Esta medida é uma das melhores. Em primeiro lugar, uma VPN, abreviação de Virtual Private Network, é projetada para proteger os usuários online, seus dados e manter a privacidade.

Existem vantagens adicionais, como acessar US Netflix ou outros serviços de streaming, mas a segurança é o benefício número um. FastestVPN oferece recursos de segurança de alto nível. Pode até ajudar a impedir que você clique em links aleatórios de vários anúncios pop-up maliciosos.

• Proteja seu dispositivo e software

Uma VPN pode ajudar a proteger seu dispositivo ou sua navegação com uma extensão para isso, mas não é a única coisa em que você deve se interessar. Use um senha forte, software antivírus, 2FA, e outros tipos de medidas de precaução necessárias. Em vez de ir para sites em qualquer navegador, certifique-se de ir apenas para o navegadores mais seguros que são populares.

Concluir

E isso é um embrulho. Agora você conhece alguns tipos de ataques de engenharia social que atualmente atingem usuários em todo o mundo. Ao mesmo tempo, você também tem conhecimento interno sobre como lidar com alguns deles com nosso guia sobre como se proteger. De qualquer forma, fique atento e conecte-se a um serviço VPN para obter melhor proteção online.

Subscrever Newsletter

Receba as postagens de tendências da semana e os últimos anúncios de FastestVPN através do nosso boletim informativo por e-mail.

Email