Você agora pode conhecer o bastante sobre tecnologia para saber que
se trata de um golpe quando um amigo chega no Facebook dizendo que foi
assaltado em algum lugar e precisa desesperadamente de dinheiro. Mas os "
engenheiros sociais" – criminosos que criam esses esquemas para tentar te enganar, estão sempre um passo à frente.
Os ataques de engenharia social estão ficando cada vez mais específicos, de acordo com Chris Hadnagy, autor do livro
Social Engineering: The Art of Human Hacking. “Os ataques direcionados estão proporcionando melhores resultados aos engenheiros sociais”, diz.
Isso significa que eles podem precisar trabalhar mais para descobrir
informações pessoais, e que isso pode levar mais tempo, mas a recompensa
geralmente costuma ser maior.
“Os ataques agora não são apenas um esforço amplo de spams, enviando
um milhão de e-mails com uma oferta de Viagra”, afirma Hadnagy. “Existem
agora ataques individuais em que eles vão atrás das pessoas
separadamente, uma por uma.”
Confira abaixo cinco novos golpes de engenharia social na web que empregam muito mais envolvimento individual:
1) “Somos da equipe de suporte da Microsoft – queremos ajudar” ("This is Microsoft support – we want to help")
Hadnagy afirma que um novo tipo de ataque tem atingido muitas pessoas
ultimamente. Ele começa com uma ligação telefônica em que alguém afirma
ser do serviço de suporte da Microsoft e diz que está ligando por causa
de um número anormal de erros que teriam origem no seu computador.
“A pessoa do outro lado da linha diz que quer ajudar na solução
porque há uma falha e eles tem feito ligações para usuários licenciados
do Windows”, explica Hadnagy. “Faz sentido; você é um usuário licenciado
do Windows, tem uma máquina com Windows e ela quer provar isso para
você.”
A pessoa que ligou diz para a vítima ir até o event log (visualizador
de eventos) da máquina e a acompanha pelos passos até chegar ao log do
sistema.
“Todo usuário do Windows terá dezenas de erros neste log,
simplesmente porque acontecem pequenas coisas; um serviço trava, algo
não inicializa. Sempre existem erros”, afirma Hadnagy. “Mas quando um
usuário sem experiência abre isso e vê todos esses erros, parece
assustador.”
Nesse ponto, a vítima está desesperadamente pronta para fazer
qualquer coisa que o suposto funcionário do “suporte” pedir. O
engenheiro social então aconselha-os a ir até o site Teamviewer.com, um
serviço de acesso remoto que dá a ele controle da máquina.
Uma vez que o cracker tiver acesso à máquina por meio do Teamviewer, ele pode então instalar algum tipo de
rootkit ou outro tipo de malware que permitirá a ele ter acesso contínuo ao sistema, afirma Hadnagy.
2) “Faça uma doação para ajudar as vítimas do (alguma tragédia)!” ("Donate to the hurricane recovery efforts!")
Golpes
de doações para caridade têm sido um problema há anos. A todo momento
temos desastres de grandes proporções no mundo, como o terremoto no
Haiti ou tsunami no Japão, e os criminosos rapidamente entram no jogo e
lançam sites falsos de doações. A melhor maneira de evitar isso é indo a
uma organização conhecida e de boa reputação, como a Cruz Vermelha, e
iniciar o contato por conta própria se quiser fazer uma doação. No
entanto, Hadnagy afirma que surgiu há pouco tempo um tipo
particularmente desprezível de golpe de engenharia social direcionado
para pessoas que possam ter perdido parentes ou amigos em desastres
naturais.
Neste exemplo, Hadnagy diz que, entre 8 e 10 horas após o incidentes,
o site aparece dizendo ajudar a encontrar pessoas que possam ter
desaparecido no desastre. Eles alegam ter acesso as bases de dados do
governo e informações de recuperação. Normalmente os engenheiros não
pedem por informações financeiras, mas exigem nomes, endereços e
informações de contato, como números de telefone e e-mail.
“Enquanto você está esperando para ouvir sobre a pessoa, recebe um
pedido de doação para caridade”, diz Hadnagy. “A pessoa da suposta
instituição de caridade normalmente vai iniciar uma conversa e dizer que
está coletando contribuições porque tem uma relação mais passional com a
causa porque perdeu um membro da família em um desastre parecido.
Secretamente, eles sabem que a pessoa que contataram também já perdeu
alguém, e isso ajuda a criar uma suposta camaradagem.”
Tocada pela pessoa que entrou em contato, a vítima então oferece um
número de cartão de crédito pelo telefone para fazer a doação para
"caridade".
“Agora eles tem seu endereço, seu nome, nome do seu parente e também
do seu cartão de crédito. Basicamente todas as informações que eles
precisam para cometer um roubo de identidade”, explica Hadnagy.
3) “Sobre sua inscrição para a vaga de emprego...” ("About your job application...")
Tanto pessoas buscando empregos quanto empresas de recrutamento estão sendo atacadas por engenheiros sociais.
“Esse é um golpe perigoso, para os dois lados”, afirma Hadnagy. “Seja
a pessoa buscando trabalho ou a companhia postando novas vagas, ambas
as partes estão dizendo ‘estou disposto a aceitar arquivos anexos e
informações de estranhos.”
De acordo com um alerta do FBI, mais de US$ 150 mil foram roubados de
uma empresa americana por meio de uma transferência não-autorizada como
resultado de um e-mail com malware que a companhia recebeu a partir de
uma oferta de emprego.
“O malware estava incorporado em um e-mail de resposta a uma vaga de
emprego que a companhia colocou em um site de recrutamento e permitiu ao
cracker conseguir as credenciais bancárias online da pessoa que estava
autorizada a realizar transações financeiras na companhia”, afirma o
aviso do FBI. “O invasor alterou as configurações da conta para permitir
o envio de transferências protegidas, sendo uma para a Ucrânia e duas
para contas domésticas.”
4) “@pessoanoTwitter, o que você pensa sobre o que a Dilma
disse sobre #desemprego? http://shar.es/HNGAt” ("@Twitterguy, what do
you think about what Obama said on #cybersecurity?
http://shar.es/HNGAt")
Os engenheiros sociais estão
observando o que as pessoas estão tuitando e usando essa informação para
realizar ataques que parecem mais críveis. Uma maneira disso acontecer é
na forma de hashtags populares, de acordo com a companhia de segurança
Sophos. Na verdade, o início da nova temporada da série “Glee” no começo
deste mês na Inglaterra fez com que os cibercriminosos “sequestrassem” a
hashtag #gleeonsky por várias horas. A operadora de TV por assinatura
Sky pagou para usar a hashtag como uma forme de divulgar a nova
temporada, mas os spammers tomaram conta dela rapidamente e começaram a
incorporar links maliciosos nos tuítes com o termo.
“Obviamente que os spammers podem escolher redirecionar para qualquer
site que quiserem uma vez que você tenha clicado no link”, afirma o
consultor sênior de tecnologia da Sophos, Graham Cluley. “Poderia ser um
site de phishing desenvolvido para roubar suas credenciais no Twitter,
uma farmácia falsa ou um site pornô.”
“Acho que veremos ainda mais ataques desse tipo em mídias sociais por
causa da maneira como as pessoas clicam nesses links”, afirma Hadnagy.
5) “Saiba como ter mais seguidores no Twitter!” ("Get more Twitter followers!")
A
Sophos também faz um alerta sobre serviços que dizem conseguir mais
seguidores no Twitter. De acordo com Cluley, serão cada vez mais comuns
mensagens como “QUEREM MAIS SEGUIDORES? EU VOU TE SEGUIR DE VOLTA SE
VOCÊ ME SEGUIR – (LINK)”.
Clicar nesse link leva o usuário para um serviço na web que promete conseguir muitos novos seguidores.
O próprio Cluley criou uma conta teste para ver o que acontecia.
“As páginas pedem para você digitar seu nome de usuário e senha do
Twitter”, afirma Cluley em um post no blog sobre o experimento. “Isso
deveria fazer você sair correndo – por que um site de terceiros deveria
pedir suas credenciais? O que os donos dessas páginas estão planejando
fazer com seu nome de usuário e senha? É possível confiar neles?”
Cluley também colocou que o serviço admite não ser apoiado ou
afiliado ao Twitter, e que para usar o serviço, você precisar autorizar o
aplicativo a acessar sua conta. A essa altura, todas as garantias de
segurança e uso ético já eram, afirma o especialista. O próprio Twitter
avisa aos usuários para tomarem cuidado com esses serviços em sua página
de informações de ajuda.
“Quando você fornece seu nome de usuário e senha para outro site ou
aplicativo, está passando o controle da sua conta para outra pessoa”,
explica uma das regras do Twitter. “Elas podem então postar atualizações
e links duplicados, maliciosos ou spam, enviar mensagens diretas não
desejadas, seguir outros usuários de modo agressivo, ou violar outras
regras do Twitter com a sua conta. Alguns aplicativos de terceiros já
foram implicados em atos de comportamento de spam, fraude, venda de
nomes de usuários e senhas e golpes de phishing. Por favor, não forneça
seu nome de usuário e senha para aplicativos de terceiros que você não
conheça ou tenha pesquisado com cuidado antes.”
