O que é Phishing e Engenharia Social e como são usados pelos cibercriminosos

O que é Phishing

Primeiramente o que é Phishing? O phishing é um método onde um cibercriminoso consegue roubar informações sensíveis como dados de login de alguma rede social, intranet, dados de cartão de crédito e muito mais com uso de e-mails ou sites falsos.

O phishing de cartões de crédito geralmente é um e-mail falso informando o usuário sobre um desconto imperdível contendo imagem e textos de uma empresa verídica, com links que redireciona a vítima para um site falso onde é capturado dados do cartões de crédito pelo phishing.

O phishing de senhas de rede sociais mais comum é o link que redireciona a vítima para uma página de login falsa que pede suas credenciais.

Além do phishing, existe também o phishing de voz(vishing), e o phishing de sms(smishing).

O que é Engenharia Social

Engenharia Social ou Social Engineering é um termo mais abrangente exclusivo para induzir vítimas a realizarem algo. Engenharia social vai além do phishing, o cibercriminoso com conhecimento em engenharia social tem um papel complexo de induzir uma vítima a cometer erros.

Como por exemplo uma funcionária que sabe que a empresa não permite uso de pendrives nos computadores, mas o cibercriminoso consegue convencer a vítima que precisa imprimir um documento salvo no pendrive, que ao inserir o pendrive na máquina compromete a segurança e tem acesso a rede da empresa e documentos de negócio.

Engenharia social encaixa-se em vários cenários, e com certeza é usado em conjunto com outros ataques como o phishing, vshing e smishing.

Phishing e Engenharia social no mesmo time

Agora que entendemos como funciona o Phishing e a Engenharia Social conseguimos compreender como um ataque orquestrado utilizando os dois recursos pode comprometer uma pessoa ou empresa.

Um belo exemplo de como o phishing e engenharia social pode funcionar bem é o caso da Uber que um hacker conseguiu acessar seu Slack privado e roubar dados sensíveis e acesso ao código fonte do aplicativo principal da Uber:

Uber é hackeada e funcionários acreditam que aviso de invasor é piada

Também por meio do Phishing várias empresas foram alvos do Phishing da nota fiscal no Brasil, que ao ser enviado um e-mail se passando pela prefeitura induzia a vítima a instalar um malware que mais tarde roubaria dados bancários da vítima:

Campanha de phishing usa falsos e-mails de prefeituras e notas fiscais eletrônicas para golpes

Como se proteger do Phishing e Engenharia Social

O phishing e engenharia provavelmente não irá diminuir nos próximos anos, e para se proteger devemos seguir algumas atenções básicas para não cair nesse tipo de golpe.

• Não abra e-mails e anexos de remetentes desconhecidos – Se você não conhece ou contém nomes estranhos no remetente do e-mail, desconfie, não abra ou execute qualquer link e arquivo recebido, pode ser um vírus.
• Proteja suas contas com duplo fator de proteção – O famoso MFA deve ser configurado para caso haja o sequestro de senha com sucesso o MFA pode ajudar a proteger sua conta.
• Desconfie sempre de conversas diretas com muitas informações: Geralmente um phishing com engenharia social vai tentar te convencer com uma única mensagem, antes de seguir confirme o remente e valide as informações antes de qualquer coisa.
• Tenha um antivírus: O antivírus pode ajudar a combater as ameaças de sites falsos e arquivos malicioso, com certeza vale ter um instalado em sua máquina.