O phishing é um dos principais problemas de segurança que as empresas e os indivíduos enfrentam. As tentativas anteriores envolviam sítios Web e e-mails falsos que recolhiam informações pessoais. Estas tentativas continuam a ser graves e arriscadas. No entanto, novas abordagens, como as fraudes de pretexto, são agora mais prevalecentes.
Tal como a maioria das pessoas, pode perguntar-se o que são os esquemas de pretexto. Estes métodos de engenharia social ocorrem quando os hackers convencem as vítimas a partilhar dados privados. Ao contrário de outras opções comuns, estas burlas são direcionadas, tornando muito difícil para as vítimas reconhecerem a ameaça. Os casos destas burlas aumentaram à medida que os ciber-atacantes utilizam ataques de engenharia social para explorar as vulnerabilidades humanas e aperfeiçoar os seus métodos.
Takeaways de chaves
- As burlas de pretexto são ataques de engenharia social em que os burlões criam histórias de fundo ou cenários convincentes para manipular as pessoas de modo a que partilhem informações sensíveis.
- Estas burlas estão a aumentar devido aos avanços tecnológicos, à disponibilidade de dados em linha e à mudança para o trabalho remoto.
- Exemplos comuns de esquemas de pretexto incluem fazer-se passar por funcionários do banco, agentes de apoio técnico ou funcionários do governo.
- As consequências incluem perdas financeiras, danos à reputação e angústia emocional, com as organizações a enfrentarem violações de dados e perda de confiança.
- As estratégias de mitigação incluem formação dos funcionários, ferramentas avançadas de segurança do correio eletrónico e autenticação multifactor (MFA).
O que são esquemas de pretexto?
As burlas de pretexto envolvem atacantes que enviam mensagens de texto enganadoras para manipular as pessoas e levá-las a revelar dados privados. Ao contrário de outras burlas, estas visam a psicologia humana. Os atacantes fazem-se passar por pessoas de confiança, como funcionários de bancos.
O seu objetivo é criar histórias de fundo convincentes. Isto torna-os perigosos porque exploram a sua confiança. Os atacantes podem utilizar informações publicamente disponíveis ou informações recolhidas de violações anteriores para tornar as suas histórias credíveis.
Exemplos de esquemas de pretexto
Exemplos comuns destas burlas incluem:
- Impersonalização de pessoas conhecidas: Podem fazer-se passar por pessoas conhecidas, como polícias ou funcionários das Finanças. Por exemplo, podem telefonar-lhe, dizendo que são do IRS.
- Fraudes de apoio técnico: Estes burlões fazem-se passar por funcionários de empresas de tecnologia conhecidas. Na maioria dos casos, afirmam que o seu dispositivo tem um vírus e oferecem-se para o reparar.
- Chamadas de fraude bancária: Os burlões também podem fazer-se passar por funcionários do seu banco. Podem alegar uma atividade suspeita na sua conta.
Porque é que as burlas de pretexto estão a aumentar?
Os seguintes factores conduziram ao aumento destas fraudes:
1. Novas inovações
As inovações têm impactos positivos e negativos na segurança das empresas. Os novos sistemas permitiram às empresas proteger melhor os dados e as redes. Infelizmente, também trazem consigo problemas. Várias inovações tecnológicas estão na origem do número crescente de ataques bem sucedidos. Tornaram mais fácil para os atacantes obter informações pessoais e convencer os utilizadores.
Um dos principais avanços que potenciam estas burlas é a presença de informações pessoais em linha. O aumento do número de pessoas que acedem à Internet significa que estão disponíveis grandes quantidades de dados dos utilizadores. Isto torna mais fácil para os piratas informáticos obterem pormenores sobre os seus alvos e ajudá-los a elaborar textos convincentes. Por exemplo, um estudante pode partilhar inadvertidamente informações pessoais em plataformas de redes sociais, que podem depois ser utilizadas por burlões para se fazerem passar por amigos ou professores e solicitar informações sensíveis, como credenciais de acesso ou dados financeiros, sob falsos pretextos. Isto pode envolver pedidos como "por favor, faz o meu trabalho" ou "preciso da tua ajuda para um favor rápido".
A IA e a aprendizagem automática também permitiram aos atacantes aperfeiçoar as suas estratégias. Estas ferramentas podem analisar grandes volumes de dados em segundos. Os piratas informáticos também utilizam estas soluções para criar mensagens falsas destinadas a pessoas específicas. Estes avanços aumentam as hipóteses de as vítimas cumprirem os pedidos do atacante.
As plataformas de comunicação também desempenham um papel no aumento dos casos de burla de pretexto. Cada vez mais pessoas utilizam-nas para tratar dos seus assuntos pessoais e profissionais. Isto cria oportunidades para os atacantes acederem a redes pessoais e empresariais. Estes métodos não têm o toque humano que as opções presenciais proporcionam. Como tal, é fácil para os atacantes fazerem passar-se por pessoas de confiança.
2. Adoção do trabalho à distância
Trabalhar fora dos escritórios físicos não é um conceito novo no ambiente de trabalho. Começou por ser uma opção temporária durante a pandemia. Atualmente, a maioria das empresas já adoptou este modelo de trabalho. Embora traga várias vantagens, esta mudança introduziu novos desafios de segurança.
Trabalhar em casa significa que já não trabalha em redes de escritório seguras. Em vez disso, depende de redes de Internet domésticas e de aplicações na nuvem para concluir as suas tarefas. A maioria dos trabalhadores também prefere utilizar dispositivos pessoais. Esta mudança expôs as empresas a vários ataques. Os piratas informáticos exploram a ausência de provas presenciais. Assim, podem convencer os empregados remotos a confiar em pedidos fraudulentos.
A falta de interações pessoais permite que os criminosos se façam passar por funcionários da empresa. Isto significa que podem convencer os empregados a partilhar dados de acesso. O trabalho à distância também significa depender de opções de comunicação em linha e da nuvem. Embora estas ferramentas sejam cómodas, criam oportunidades perfeitas para as burlas de pretexto.
As burlas de pretexto baseiam-se frequentemente em mensagens convincentes que parecem vir de pessoas conhecidas. Por exemplo, os atacantes podem enviar mensagens de correio eletrónico fazendo-se passar por departamentos de RH. Os funcionários que trabalham a partir de casa não podem verificar estes pedidos e provavelmente acedem a eles.
Além disso, os trabalhadores remotos enfrentam muita pressão e stress devido ao isolamento. Os piratas informáticos exploram estas pressões, criando um sentido de urgência nas suas burlas. Por exemplo, podem fazer-se passar por funcionários ou supervisores de TI da empresa. Podem pedir acesso remoto aos dispositivos dos empregados para actualizações de segurança urgentes. O sentido de urgência pode convencer os empregados a atuar sem confirmar a sua legitimidade. Os empregados também não podem verificar estes pedidos pessoalmente.
As empresas devem considerar várias estratégias para mitigar estes riscos. Estratégias como MFA, formação regular e CSPM são eficazes. As estratégias corretas podem ajudar as empresas a adotar modelos de trabalho remoto sem estes riscos.
Qual é o impacto da pretextualização?
Estas fraudes afectam significativamente os indivíduos, as organizações e os governos. O impacto das burlas bem sucedidas inclui:
- Perdas financeiras: Estes ataques conduzem frequentemente à perda direta de dinheiro. Os piratas informáticos utilizam informações roubadas para autorizar transacções.
- Danos à reputação: Os alvos sofrem graves danos à reputação. A violação de dados conduz à perda de confiança dos clientes e a danos a longo prazo para a marca.
- Stress emocional: As vítimas destas burlas sofrem de ansiedade e sentem-se violadas. A recuperação da burla é emocionalmente desgastante.
Como atenuar as burlas de pretexto
Os ataques de pretexto são muito difíceis de detetar. No entanto, as empresas podem considerar várias estratégias para atenuar estes ataques. Estas incluem:
Sensibilização e formação dos trabalhadores
A formação dos funcionários é crucial para qualquer estratégia de segurança de redes e sistemas. Os seus empregados devem estar equipados para identificar burlas e outras ameaças. A formação deve centrar-se em garantir que os funcionários identificam as várias tácticas utilizadas pelos hackers.
Ataques de phishing centram-se em falhas humanas em vez de problemas técnicos. Isto faz dos empregados o elo mais fraco da cadeia de segurança, e os atacantes visam-nos por esta razão. Os criminosos podem influenciar os funcionários a partilhar informações pessoais ou a aceder a sistemas restritos. Os empregados que não têm formação suficiente podem ser vítimas destes esquemas. Isto coloca em risco as suas informações pessoais e os dados da empresa.
Uma formação eficaz começa por ensinar aos empregados as várias formas de ataques. Cada tipo tem caraterísticas únicas, mas baseia-se em jogar com as suas emoções. A maioria dos ataques concentra-se em incutir medo ou um sentido de urgência. Os empregados devem aprender a identificar os sinais comuns destes ataques.
Utilizar soluções avançadas de segurança de correio eletrónico
O correio eletrónico é um dos métodos de comunicação mais utilizados. Isto torna-o um vetor primário para ataques. As empresas devem adotar soluções avançadas de segurança de correio eletrónico que ofereçam camadas de defesa.
As soluções avançadas utilizam IA para detetar e bloquear tentativas de pirataria informática. Estas soluções tecnológicas podem analisar grandes quantidades de dados de correio eletrónico em minutos. As empresas podem aprender padrões que significam actividades fraudulentas. Por exemplo, a IA pode identificar variações nos cabeçalhos ou anexos das mensagens de correio eletrónico. A IA também está sempre a aprender novos truques, adaptando-se às novas tácticas dos piratas informáticos.
Utilizar Autenticação Multi-Factor
As opções anteriores baseadas em palavras-passe não são suficientes para proteger contas e dados sensíveis. A autenticação multifactor (MFA) exige que os utilizadores verifiquem a sua identidade de várias formas. Por exemplo, os utilizadores precisam de uma palavra-passe e de um token de segurança ou de uma identificação facial. Esta abordagem reduz o risco de acesso de estranhos.
A segurança melhorada é uma das principais vantagens da MFA. Mesmo com as palavras-passe, continuam a ser necessárias mais credenciais para obter acesso. Isto torna a MFA segura contra todos os ataques, incluindo tentativas de força bruta. A MFA tem alguns desafios. Por exemplo, alguns utilizadores resistem-lhe devido à perceção da complexidade.
Nota final
O aumento dos ataques de pretexto mostra como são complicados. Infelizmente, os atacantes estão a tornar-se mais hábeis na execução dos seus esquemas. Deve tomar medidas proactivas para proteger as suas informações. A implementação de políticas de segurança fortes reduz o risco de ser vítima destas burlas.
FAQs sobre pretexting
Qual é a diferença entre pretexting e phishing?
Embora ambos sejam métodos de burla, têm abordagens diferentes. O pretexting envolve a utilização de mensagens de texto falsas para convencer alguém a fornecer informações privadas. Por outro lado, o phishing utiliza a comunicação em massa, como as mensagens de correio eletrónico, para enganar as vítimas e levá-las a descarregar ou clicar em ligações prejudiciais.
Qual é um exemplo de pretexto no phishing?
Um exemplo perfeito é quando os atacantes fingem ser técnicos de TI através de mensagens de correio eletrónico. Alegam frequentemente que precisam de aceder à sua conta para corrigir um problema.
O que é a regra do pretexto?
Estas são disposições de uma lei que protege os consumidores contra o acesso não autorizado aos seus dados privados. De acordo com estas regras, é ilegal utilizar falsas pretensões, como pretextos, para obter dados de pessoas ou organizações inocentes.
Qual é a diferença entre falsificação de identidade e pretexto?
Ambas são burlas relacionadas. No entanto, a falsificação de identidade implica fazer-se passar diretamente por outra pessoa para ganhar confiança. Por exemplo, um burlão finge ser um funcionário de um banco quando fala consigo.
Pretextar é usar um uniforme ou usar a autoridade?
O uso de um uniforme faz parte destas burlas. No entanto, o pretexto vai para além das aparências. Trata-se de criar situações credíveis.
- Quanto tempo demoram os registos SPF e DMARC a propagar-se? - fevereiro 12, 2025
- Como as ferramentas de pentest automatizadas revolucionam o e-mail e a segurança cibernética - 3 de fevereiro de 2025
- Estudo de caso de MSP: Hubelia simplificou o gerenciamento de segurança do domínio do cliente com o PowerDMARC - 31 de janeiro de 2025