abril 22, 2021

[Segurança] As técnicas de engenharia social utilizadas pelos ciber criminosos

Recentemente o portal CSO Online publicou um artigo sobre as "7 novas táticas de engenharia social que os agentes de ameaça estão usando atualmente". Embora interessante, é importante lembrar que o artigo representa uma visão do cenário americano.

Por isso mesmo, eu resolvi pensar nas principais técnicas de engenharia social que os ciber criminosos brasileiros estão utilizando atualmente em seus golpes contra os usuários finais - aproveitando e complementando esse artigo do CSO Online.
  • Perfis falsos em redes sociais: um dos principais golpes é o uso de perfis fake nas redes sociais, principalmente no Instagram, em nome de empresas e de atendentes de suporte dessas empresas. Os criminosos entram em contato com suas vitimas para obter dados pessoais ou dados de acesso, ou para oferecer falsas promoções, que devem ser confirmadas através de um código recebido por SMS - justamente o código para conseguir roubar o WhatsApp da vítima!
  • Descoberta de senha bancária: Eu não vejo notícia na imprensa sobre isso, mas hoje um golpe muito frequente para acesso a contas bancárias começa quando os criminosos conseguem roubar um celular da vitima, desbloqueado. Isso é fácil: basta pegar alguém distraído na rua, usando seu celular, ou assaltar um motorista que está usando o seu celular no painel, no app do Waze, por exemplo. Com o celular desbloqueado, eles vasculham os arquivos e até as informações no navegador do aparelho para buscar senhas gravadas no aparelho - e assim eles conseguem acessar o app bancário da vítima - e limpar a conta;
  • Mensagens falsas, de phishing, via e-mail,SMS e Whatsapp: golpe velho, mas que até hoje faz muitas vítimas. O artigo da CSO Online classifica esses phishing por SMS e Whatsapp como "Text fraud";
  
  • QR Codes maliciosos: esta é uma tendência que especulamos no mercado, principalmente com o uso de QR Codes como meio de pagamento (além de algumas empresas específicas, agora temos os QR Codes usados no PIX). No nosso caso, um QR code malicioso pode te fazer realizar um pagamento para a pessoa ou empresa errada;
  • Typosquatting: Mais um golpe velho, quando criminosos criam domínios com nomes parecidos dos originais, usados para hospedar sites maliciosos que pareçam reais.
O artigo cita outras táticas, que eu acredito que ainda vão demorar um pouco para se popularizar no Brasil:
  • Sequestro das notificações dos navegadores ("browser notification hijack")
  • Scams em falsos projetos colaborativos ("collaboration scams")
  • Personificação de fornecedores ("suply chain partner impersonation")
  • Gravações com deepfake ("Deepfake recordings") -isso pode virar uma tendência para uso em fake news e também para fraudadores tentarem burlar ferramentas de autenticação basedas em reconhecimento facial e liveness.
Para saber mais:

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.