Por Ladi Adefala, Estrategista de Segurança Sênior da Fortinet

Os cibercriminosos usam uma grande variedade de táticas em seus golpes para obter acesso a um dispositivo ou rede, extorquir dinheiro ou roubar informações valiosas. Para compreender as ameaças de hoje e de como proteger a si e a sua organização contra elas, é importante conhecer como as táticas de engenharia social são utilizadas pelos cibercriminosos para enganar os usuários. Com isso, as pessoas podem minimizar o impacto dos ciberataques aprendendo sobre variações comuns desses golpes:

1. 
   1. Phishing

Os ataques de phishing são ocorrências muito comuns em redes corporativas e pessoais. Eles acontecem quando um criminoso envia uma mensagem (por e-mail, telefone, texto etc.) fingindo ser outra pessoa para extrair ou acessar credenciais, dados pessoais, informações financeiras ou confidenciais sobre a pessoa ou organização para a qual a pessoa trabalha. Veja abaixo alguns detalhes que vão ajudar a reconhecer melhor esses golpes:

• 
  Verifique os contatos: cuidado ao receber uma mensagem de uma fonte que você não reconhece pedindo para que você faça algo, como fornecer informações pessoais ou entrar em um site. Verifique o e-mail ou telefone e compare com os da pessoa ou organização à qual eles afirmam estar associados e verifique se há alguma inconsistência.


• 
  Verifique se há erros de ortografia e gramática:várias organizações leem as mensagens antes de enviá-las aos destinatários, mas os cibercriminosos de phishing muitas vezes não revisam seu texto. Se você receber uma mensagem de uma fonte supostamente confiável, mas com erros de digitação, gramática ou pontuação, é provável que seja um golpe.


• 
  Verifique se o comportamento é agressivo: se o assunto e a linguagem de uma mensagem forem muito agressivos, é provável que seja um golpe. Você já viu um e-mail em sua pasta de SPAM dizendo algo como: "Urgente! Sua conta está em aberto há X dias; entre em contato IMEDIATAMENTE"? O objetivo aqui é deixar você em pânico e fazer o que os criminosos querem.


• 
  2. Spear Phishing

Os ataques de phishing são enviados em massa e oferecem pistas relativamente fáceis de detectar, mas o spear phishing é bem direcionado e muito mais sofisticado. Os cibercriminosos de spear phishing fazem pesquisas detalhadas sobre suas vítimas e dedicam tempo para estudar sua organização, colegas, interesses etc., para aumentar suas chances de sucesso. Para se proteger melhor contra spear phishing, faça o seguinte:

• 
  Seja discreto(a) ao fornecer informações:isso parece simples e claro, mas se os usuários não estivessem fornecendo suas informações de forma voluntária para agentes mal-intencionados, o phishing não seria um golpe eficaz.


• 
  Mantenha boa higiene digital:quando você adota práticas básicas de higiene digital, você não permite que os golpistas executem muitos dos vetores de ataque que eles usam para infectar máquinas e obter acesso a informações ou rede de uma organização. A adoção de hábitos simples e rotineiros pode ajudar muito a evitar que ciberataques comprometam um dispositivo ou uma rede.


• 
  3. Baiting

Os golpes do tipo baiting (termo em inglês que significa "isca"), como o nome sugere, têm como objetivo levar os usuários desavisados a executar uma determinada ação, como baixar um vírus ou fornecer informações pessoais em troca da "isca". Essa isca pode ser qualquer coisa que pareça atraente, como software antivírus gratuito ou filmes que os usuários podem baixar, ou ainda uma isca física, como um pen drive com etiqueta de "Informações sobre salários", deixado à vista para que a vítima encontre facilmente e conecte em sua máquina. Embora esse tipo de golpe possa assumir muitas formas, o objetivo final é sempre o mesmo: fazer com que usuários instalem algo malicioso. Para proteger você e a sua organização, preste atenção a esses indicadores comuns:

• 
  Evite negócios "gratuitos":desconfie de propostas "boas demais para ser verdade", pois muitos golpistas tentam seduzir as vítimas com promessas de download gratuito, frete grátis, assinaturas gratuitas, etc.


• 
  Evite pen drive ou drive externo que você não conhece:o ataque tipo baiting pode ocorrer digitalmente ou com drives físicos que instalam software malicioso. Verifique quem é o proprietário do pen drive/drive antes de conectá-lo em sua máquina.


• 
  4. Segurança de dispositivos móveis

Os dispositivos móveis também estão cada vez na mira dos golpistas. Aplicativos falsos usados para mineração de dados ou ransomware são fáceis de encontrar, principalmente para sistemas operacionais Android.

• 
  Evite malware disfarçado de aplicativo ou atualização de aplicativo:um número cada vez maior de aplicativos falsos está disponível em lojas de aplicativos de terceiros. Além disso, também são comuns implementações e atualizações que exploram aplicativos e dispositivos (como o malware cryptojacking).


• 
  Use Wi-Fi seguro:preste atenção a redes de Wi-Fi gratuitas. Espaços públicos e lojas que oferecem conexões de Wi-Fi gratuitas são locais comuns para ataques do tipo man-in-the-middle (interceptor de dados), onde os criminosos geralmente divulgam a disponibilidade de serviços WiFi e os utilizam para capturar dados. Ao usar rede de WiFi pública, use conexões VPN e evite transações confidenciais.


• 
  5. Dispositivos IoT

Os dispositivos IoT também são um vetor de ataque cada vez mais popular. Muitos dispositivos IoT são fáceis de explorar, mantêm conexão de internet persistente e usam processadores GPU poderosos, o que os torna ideais para mineração de criptomoedas e exploração de DDoS.

• 
  Atualize seus dados de acesso: a estratégia de exploração mais comum é simplesmente tentar se conectar a um dispositivo IoT usando seu nome de usuário e senha padrão. Sempre que possível, mude a senha dos seus roteadores, TVs inteligentes e sistemas de entretenimento residencial, etc.


• 
  Carros conectados: com os dispositivos cada vez mais interconectados, eles se tornam vulneráveis ao elo mais fraco da cadeia. Dispositivos como carros conectados são alvos fáceis para os cibercriminosos e, além disso, contêm dados de usuários, informações de telefone e até informações de pagamento, podendo também representar um risco para os motoristas e passageiros. Ao comprar um carro conectado, analise e altere cuidadosamente suas configurações de segurança padrão e evite a instalação de aplicativos de fontes desconhecidas.

Os golpes digitais podem afetar qualquer pessoa que não estiver atenta a esses sinais comuns. Como as pessoas continuam adotando cada vez mais dispositivos que se conectam à rede, aumenta o risco de se tornar vítima desses golpes. Ao conhecer mais sobre os golpes virtuais comuns atuais e reconhecer os sinais que mostram esses golpes, você pode proteger suas informações valiosas e as informações das redes às quais você se conecta.