DROPS, em sua tradução literal do inglês tem o significado de gota. Uma gota, quando cai, cai de forma muito rápida. Nesse sentido surgiu a ideia de fazer vários DROPS de Segurança da Informação. Esses DROPS de segurança da Informação nada mais são do que dicas rápidas com o tema de segurança da informação.
A ideia desse "estilo de vídeo" é fazer com que as pessoas comecem a adquirir uma cultura relacionada à segurança da informação.
E para iniciar, o primeiro DROPS que eu faço é sobre "A engenharia social e as mensagens estranhas".
Hoje em dia é difícil encontrar alguém que nunca tenha recebido uma mensagem estranha no celular, seja por SMS, aplicativos de mensagem instantânea ou e-mail. É comum recebermos mensagens no celular para "atualizarmos nosso cadastro" num site fake do Banco do Brasil. Ou então para atualizarmos nosso cadastro para recebermos um fake benefício. Essa técnica é chamada de engenharia social, e durante a pandemia os criminosos se aproveitaram da comoção que a doença COVID-19 causou na população.
Eu já comentei aqui, em posts anteriores, que os ataques por meio de mensagens falsas, recebidas por e-mail, SMS e aplicativos de mensagens, aumentaram consideravelmente durante a pandemia do Covid-19. O principal motivo é que não foram só as pessoas de bem que ficaram de quarentena, pessoas mal intencionadas também estão em casa. Essas pessoas mal intencionadas tiveram que se reinventar e se aproveitaram da comoção que a doença causou. E o instrumento mais fácil para roubar dinheiro em tempos de quarentena foi utilizando a engenharia social.
Mas o que é Engenharia Social?
Engenharia Social é a habilidade de conseguir acesso a informações confidenciais ou a áreas importantes de uma instituição através de habilidades de persuasão. Ou seja, ela se baseia na ação manipular psicologicamente pessoas e com isso conseguir acesso ilegal à informações.
De vez em quando eu falo nas minhas redes sociais sobre não clicar em links suspeitos. E o motivo? Essa é a forma mais básica de engenharia social.
Confira algumas técnicas de ataques de engenharia social que devemos ficar atentos:
Pretextos: São histórias inventadas pelos criminosos para criar uma situação que vai fisgar o usuário, criando um vínculo emocional com a vítima e com isso, coletar dados da vítima para executar outras técnicas de engenharia social.
Baiting (Isca): O criminoso deixa um dispositivo, como um Pen Drive infectado por algum malware, em um local público. Alguém encontra o dispositivo e conecta no seu computador pessoal para ver o que tem dentro e assim recebe algum malware cujo objetivo é roubar informações.
Quid Pro Quo: Seduz usuários com prêmios de luxo ou descontos absurdos em produtos caros. Basicamente oferece algo para a vítima. Mas para isso, a pessoa precisa preencher algum formulário ou fazer um depósito de “garantia”. Quase todos nós conhecemos alguém que caiu (ou quase caiu) num ataque desses.
Phishing: Lembra dos e-mails falsos? Então! Essa é uma estratégia usada pelos cibercriminosos para enganar o usuário a revelar informações pessoais por meio de sites falsos mas muuuuuito parecidos com os sites originais.
Spear phishing: É uma campanha direcionada a funcionários de empresas cujo objetivo é roubar informações. Nessa técnica o criminoso estuda o alvo previamente (o pessoal não tem costume de postar a vida inteira nas redes sociais? Esse é o melhor lugar para pesquisa). Depois o criminoso faz contato com essa pessoa, e parecerá extremamente relevante à vítima. Num desses contatos o criminoso envia algum contato com um link estranho, porém ele já terá a confiança da vítima. Depois de conseguir enviar o malware com sucesso, este estará no ambiente da empresa.
Vishing: É o call center falso. Essa abordagem se dá por meio de ligação telefônica. Utilizando a engenharia social, o criminoso tenta convencer a vítima de entregar informações pessoais por telefone.
Farming: Nessa técnica, o criminoso analisa o perfil das vítimas em mídias sociais e tenta uma aproximação com ela. Aqui o criminoso tenta enganar a vítima pelo maior tempo que conseguir para extrair o maior número de informações possíveis.
Como se proteger das técnicas de engenharia social?
Primeiro de tudo, tenha calma! Recebeu uma ligação de sequestro? Um SMS/e-mail de que sua conta foi comprometida? Calma! Os criminosos sabem que cometemos muitos erros quando estamos sob pressão.
Controle a sua curiosidade! Phishing, vishing e spear phishing são técnicas que dependem de você (candidato a vítima) para executar uma ação.por isso, não clique e nem repasse mensagens suspeitas.
Seja consciente, não compartilhe senhas! Não utilize a mesma senha em mais de um serviço! Altere sua senha frequentemente! Dá para fazer um outro post só falando de senhas...
Tenha bom senso! Você participou de algum sorteio da empresa XPTO? Não, mas é cliente? Os criminosos sabem disso! Não se engane, ninguém ganha um sorteio sem participar de uma promoção.
Evite ao máximo dar informações pessoais. Sabe aquele desodorante que você comprou na farmácia? Não precisa dar seus dados para efetuar um cadastro por causa de um desodorante. Lembre-se, os dados são seus. Você pode não informar. É um direito seu. Isso faz parte dos seus direitos em relação a Privacidade, assunto que falta na cultura do brasileiro. Tem um vídeo (só 2 minutos) que ilustra isso muito bem:
Os criminosos sabem como nos atingir. Quando não sabem, usam um grande número de vítimas para extrair informações por tentativa e erro. Fique atento! 😉
