O ataque de engenharia social e phishing!

O ataque de engenharia social e phishing!

Esta é nossa primeira matéria na coluna atualidades, cibersegurança!

O editor geral da revista SBC Horizontes e eu planejamos iniciar esta coluna neste mês de Março de 2020 antes mesmo da explosão da pandemia do COVID-19. Assim, primeiramente, sejam todos bem-vindos a este canal em que trataremos mensalmente de assuntos relacionados à cibersegurança. 

 No planejamento para o lançamento da coluna, esta primeira matéria teria um teor e conteúdo diferentes deste que vocês lerão agora. Diante dos avanços do novo coronavírus no mundo e com o aumento de mensagens falsas circulando no ciberespaço, fiz ajustes nesta primeira matéria para tratar de um assunto importante neste momento: o ataque de engenharia social e phishing!

Infelizmente, diante do caos, existem pessoas que tentam tirar proveito da curiosidade, desinformação e medo da população para conseguir acesso a informações confidenciais (ex. senhas bancárias) ou a áreas importantes de uma instituição, usando algum tipo de persuasão. No momento, a persuasão passa pelo uso de termos como COVID-19, coronavírus, quarentena, além de descreverem situações, muitas vezes falsas, associadas à pandemia. Este comportamento é  exatamente o que chamamos de ataque de engenharia social. 

Segundo o especialista em segurança da informação, Wagner Monteverde,  nas últimas semanas ocorreu um aumento na quantidade de ataques de engenharia social associados ao novo coronavírus de forma direta ou indireta.  Com a evolução do número de casos da doença no Brasil, o aumento de medidas governamentais e as ações de empresas de grande porte, os golpistas iniciaram campanhas maliciosas se aproveitando de fatos importantes para a população. 

Um dos primeiros casos de engenharia social identificados foi uma promoção falsa envolvendo a empresa de streaming Netflix, disseminada no aplicativo de mensagens WhatsApp, onde os atacantes se aproveitaram do tema quarentena para explorar um gatilho mental e tirar vantagem de uma situação, neste caso a quarentena e a boa vontade da empresa. O texto da mensagem falsa é:  


“A Netflix decidiu liberar o acesso a sua plataforma de filmes e séries pelo período de isolamento das pessoas, mas é por pouco tempo o cadastramento! Corre no site  https://netflix-usa.net/?periodo-de-isolamento-gratis.”



Analisando o texto, observamos o uso de um outro gatilho mental, o da escassez, quando os golpistas escrevem “
mas é por pouco tempo o cadastramento”. Assim, a vítima tende a preencher de maneira ágil as informações solicitadas pelo atacante. Na página deste golpe, existia um cronômetro decrescente, o que instigava a vítima a preencher com maior agilidade os dados solicitados. Verificou-se também que a URL utilizada para hospedar a página maliciosa tenta imitar a original de alguma forma,  levando os usuários menos atentos a confiar na mesma.

Outro caso tem o tema de um benefício lançado pelo Governo Federal para auxiliar autônomos neste momento de pandemia, em que os mesmos estão impedidos de executar suas atividades.  O texto da mensagem falsa é:


“Governo Federal iniciou o cadastramento do Auxílio Cidadão que dá uma ajuda mensal no valor de R$ 200 para trabalhadores autônomos e pessoas de baixa renda para ajudar a combater CORONAVÍRUS..  

Confira se você tem direito ao benefício:  
http://auxilio-corona.info.”



Observa-se que o golpista se utilizou da notícia sobre um benefício oferecido, porém diferente do caso anterior, a notícia era verdadeira e amplamente divulgada na mídia. Este caso age sobre a curiosidade da vítima quando apresenta a sentença “
Confira se você tem direito ao benefício”. Apesar do texto não ser tão apelativo, a URL e a própria página denunciam o golpe. A URL não tem relação com os canais oficiais do Governo Federal ou com seus programas sociais, além disso a página do golpe possui aparência rústica, trazendo desconfiança ao visitante da página. Porém, pessoas menos informadas e com menos familiaridade com computação podem cair nesta armadilha.

Um último exemplo consiste do caso de mensagens divulgadas no aplicativo WhatsApp que explora uma notícia verdadeira de distribuição gratuita de álcool em gel pela empresa AMBEV.  A ação verdadeira da empresa tinha como objetivo alcançar laboratórios e hospitais. Os atacantes por sua vez distorceram a notícia incluindo pessoas físicas na distribuição com a finalidade de capturar dados.  O texto da mensagem falsa é: 


“A AMBEV no combate ao COVID-19 está distribuindo gratuitamente álcool em gel em todas as cidades do país. Eles disponibilizaram um site para verificar os pontos de distribuição, mas são poucas unidades por pessoa.  

https://ambev-br.net/?retire-seu-alcool-em-gel-gratis.”



Nesta mensagem, além do apelo ao gatilho mental de escassez através da sentença “
mas são poucas unidades por pessoa”, os atacantes também exploram a situação atual de falta do produto durante a pandemia. A URL divulgada na mensagem não tem relação com a empresa em questão.

Os gatilhos mentais são peças-chave em ataques de engenharia social. Estes nada mais são do que técnicas de persuasão que se relacionam com as emoções e as percepções sociais presentes em todos os seres humanos. Os principais gatilhos mentais são os da segurança, da razão, da prova social, da autoridade, da reciprocidade, da afinidade e da escassez.

O ataque de engenharia social e os phishings não são novidades. No dia-a-dia convencional, identificamos com facilidade um e-mail que solicita uma “alteração cadastral” ou a mudança de senha bancária. Parte dos phishings são detectados pelos nossos softwares antivírus.  Porém, o alerta consiste no fato desses ataques estarem potencializados com a pandemia e no fato de estarmos mais vulneráveis em clicar em um link malicioso, diante da nossa busca constante por informação e atualização sobre a situação.

É necessário ficarmos atentos a fim de não comprometermos ou infectarmos nossas redes e computadores neste momento em que nossa comunicação com familiares, trabalho, compras pela Internet e entretenimento dependem desses recursos.

Como forma de ajudar a nos prevenir do roubo de informações e infecções por vírus de computador, especialistas em segurança da informação oferecem as seguintes recomendações: 

  • Pense duas vezes antes de abrir e clicar em links enviados por e-mail;
  • Não forneça dados sensíveis antes de confirmar a identidade de quem solicitou;
  • Quando o assunto ou proposta que chegar até você parecer muito boa pense duas vezes antes de clicar;
  • Não utilize redes públicas para trabalho remoto;
  • Quando disponibilizado pela empresa conecte-se utilizando uma VPN;
  • Desconfie sempre;
  • Qualquer dúvida sobre Segurança da Informação, entre em contato com especialistas que possam ajudar.

Denuncie: Como forma de ajudar a população em geral, o Centro de Ciência de Segurança Computacional (CCSC) da Universidade Federal do Paraná (UFPR) e a empresa EarlySec disponibilizaram uma página para registro de casos suspeitos de engenharia social. Os registros de casos suspeitos são analisados por profissionais de segurança computacional e, quando confirmados, estão sendo divulgados para conhecimento da população. Assim, acreditamos contribuir para reduzir os efeitos indiretos do coronavírus no ciberespaço.

Esta não foi a matéria que planejei para o lançamento deste canal, mas é uma matéria que pode nos ajudar a entender na prática o que é engenharia social e oferecer à população formas de prevenir infecções em suas redes e computadores, além de roubos de informação.  

Agradeço a leitura e fiquem todos com saúde!

Nota da autora: Este texto foi produzido por mim, Michele Nogueira (UFPR), com a colaboração Wagner Monteverde, especialista em Segurança da Informação com certificação ISO 27001, CEO da Startup de Segurança Cibernética EarlySec.

Para mais informações sobre o trabalho conjunto da EarlySec e CCSC dentro do escopo do projeto de P&D GT-Periscope do programa Grupo de Trabalho (GT) da Rede Nacional de Pesquisa (RNP), veja:  https://www.sherlock-x.com.br/



Compartilhe: