Tipos de ataques de enganação e como se prevenir
Dentro os ataques virtuais com Engenharia Social, existem várias formas para os criminosos virtuais tentarem te enganar, dentre essas formas as duas mais conhecidas são Phishing e a Baiting Attack que vamos falar mais sobre cada:
Phishing:
É uma das formas mais utilizada pelos cibercriminosos para obter informações sigilosas, o termo vem do derivado “Fishing” ou pesca. No caso os criminosos fingem serem pessoas confiáveis ou criam sites que fingem serem seguros para capturar informações da vítima, segue abaixo uma imagem de exemplo de um caso de Phishing no e-mail:
Esse é um exemplo bem comum de phishing, o criminoso virtual envia uma solicitação para o usuário de recadastramento / atualização de banco ou de contas críticas pedindo para inserir o código de acesso. Nota que o e-mail é muito parecido com o do Banco do Brasil. Para evitar esse tipo de situação, é muito importante validar o site que está sendo acessado ou o remetente do e-mail, por exemplo, o domínio do remetente do exemplo acima é @olines.com.br, isso já deixa bem evidenciado que é uma fraude, pois se fosse um e-mail verdadeiro, estaria com @bb.com.br.
SEMPRE desconfie de sites com domínios diferentes ou e-mails que peçam informações sigilosas, se tiver dúvidas, acione o responsável pela T.I. que lhe dará maiores informações. Aceite apenas e-mails com remetentes confiáveis.
Baiting Attacks
É um outro tipo de ataque bem comum usado pelos cibercriminosos, a tradução vem de “Ataques de isca”, ou seja, isso é influenciado pela curiosidade do usuário. O exemplo abaixo é um dos mais comuns e clássicos:
Sempre preste atenção em todos os links a serem clicados, nunca confie em prêmios instantâneos por acessos à sites.
Sempre valide se o site acessado tem SSL (cadeado verde):
Valide se o remetente de um determinado e-mail é confiável, sempre desconfie de domínios estranhos;
Tomar atenção redobrada em e-mails pedindo informações confidenciais;
Nunca abrir arquivos anexados de remetentes desconhecidos;
Sempre desconfie de e-mails com propostas ou propagandas irrecusáveis, ou de assuntos que despertem a sua curiosidade;
Valide sempre o site em que está sendo acessado:
Nunca repasse usuário e senhas de e-mails pessoais ou corporativos para ninguém, sempre mantenha suas credenciais em sigilo;
Nunca permaneça na dúvida, se tiver algum e-mail ou site não confiável, acione o setor de tecnologia de informação para validações primárias;
Esses passos são bem simples, mas se não for seguido à risca, pode ocorrer vazamento de informações sigilosas de dentro do ambiente corporativo e invasões com perda total de dados.
Manter todos os usuários informados é o melhor antivírus para se manter um ambiente seguro.
Se precisar de apoio com soluções de segurança da informação entre em contato: https://www.dinamio.com.br/contato/
Referências:
Equipe Kaspersky. “What is Social Engineering?” Disponível em: <https://www.kaspersky.com/resource-center/definitions/what-is-social-engineering>
Equipe Forcepoint. “CYBER EDU, What is Social Engineering” Disponível em: https://www.forcepoint.com/cyber-edu/social-engineering