Os ataques com recurso a engenharia social são baseados num conjunto de técnicas dirigidas aos utilizadores, com o objectivo de os levar a divulgar informações pessoal ou permitir que o agressor assuma o controlo dos seus dispositivos.
Existem diferentes tipos de ataques baseados no engano e manipulação, embora as suas consequências possam variar muito, uma vez que são frequentemente utilizados como um ponto de partida para a ataques posteriores, perpetrados por malware.
Algumas das técnicas mais utilizadas neste tipo de ataque são os fenómenos criminais conhecidos por Phishing, Vishing ou Smishing.
Como se verificam estes ataques
Estes três tipos de ataques, baseados em engenharia social, são muito semelhantes na sua execução.
Em geral, o cibercriminoso envia uma mensagem a imitar uma entidade legítima, tal como um banco, uma rede social, um serviço técnico ou uma entidade pública e com a qual nos sentimos confiantes.
Estas mensagens são normalmente de natureza urgente ou atractiva, para evitar que a vítima pense muito obre o assunto.
- Phishing – Frequentemente utilizado em correio electrónico, redes sociais ou aplicações de mensagens instantâneas;
- Vishing – É realizado através de chamadas telefónicas;
- Smishing – O canal utilizado é o SMS.
Estas mensagens podem possuir um link para websites fraudulentos, tidos como legítimos, bem como levar à instalação de malware.
Formas de propagação
O principal meio de propagação é o correio eletrónico, fingindo ser uma entidade de confiança, o atacante lança o isco.
Normalmente trata-se de uma mensagem urgente e muito atraente, de forma a motivar o utilizador a clicar num anexo.
Na maior parte das vezes é ainda solicitada a partilha de diversos dados pessoais ou mesmo credenciais de acesso a serviços.
Objetivo destes ataques
A finalidade destes ataques encontra-se relacionada com a obtenção de dados pessoais e credenciais de acesso a serviços, fazendo-nos acreditar que estamos a partilhá-los com alguém em quem confiamos.
Esta técnica também pode utilizar para descarregar malware, no sentido de infectar e controlar o dispositivos.
Como se deve proteger destes ataques
O principal conselho passa essencialmente por ser cauteloso e ler a mensagem cuidadosamente, especialmente se se tratar de entidades com pedidos urgentes, promoções ou pechinchas muito atraentes.
Além disso, outras directrizes que podemos seguir para evitar ser vítima de phishing são:
- Detectar erros gramaticais na mensagem;
- Se for um assunto muito urgente ou sobre uma promoção muito atraente, é muito provável que se trate de uma fraude;
- Verifique se a ligação corresponde ao endereço para o qual aponta;
- Verifique o remetente da mensagem e certifique-se de que se trata de um telefone legítimo, recorrendo para tal a uma pesquisa na internet;
- Não descarregue quaisquer anexos e faça um scan prévio com o antivírus;
- Em caso de vishing, não devemos descarregar nenhum ficheiro, nem abdicar do controlo do nosso equipamento através de acessos remotos propostos;
- Nunca responda a estas mensagens, devendo apagar de imediato as mesmas.
Mensagens de Spam
Consiste no envio de grandes quantidades de mensagens ou publicidade através da internet sem ser solicitada, tornando-se por isso indesejada.
A maioria tem uma finalidade comercial, embora, em algumas situações, possam igualmente conter algum tipo de malware.
Por norma a conta de correio electrónico é comprometida quando alguém se inscreve em ofertas ou promoções on-line.
Além disso, é essencial configurar o filtro anti spam para evitar recepção deste tipo de mensagem.
Fraudes online
A engenharia social é normalmente associada a diversos tipos de crimes, cometidos on-line ou por meios informáticos, nomeadamente a nível de fraudes.
Tentam recolher os nossos dados pessoais e obter benefícios económicos com isso.
Existe uma grande variedade de fraudes, motivos pelo qual as medidas de protecção podem variar de um tipo para outro.
Podemos estar perante situações de falsos empréstimos, lojas on-line fraudulentas, alugueres fraudulentos, falso apoio técnico e muitas outras situações perigosas.
Crimes associados a este modo de atuação fraudulenta
Dependendo dos contornos associados à atividade delituosa verificada, podemos estar perante a existência de diversos crimes, nomeadamente:
- Acesso ilegítimo, previsto no art.º 7º, n.º 1 e 2 da Lei nº 109/91, de 17/8 (Lei do Cibercrime);
- Burla informática e nas comunicações – Art.º 221.º do Código Penal;
- Falsidade informática, previsto no art.º 4º da Lei nº 109/91, de 17/8 (Lei do Cibercrime).
Esclarecimentos adicionais?
Consulte o assistente virtual ou utilize o formulário de contacto disponível aqui.
Artigo relacionado
