Hoje em dia, a maioria dos ciberataques baseia-se na engenharia social, que é a manipulação cuidadosa do comportamento humano.
98% de todos os ciberataques utilizam engenharia social. ~GCA Cybersecurity Toolkit post.
Os cibercriminosos utilizam várias técnicas de engenharia social para defraudar negócios de dinheiro e informação privada. Uma das técnicas de engenharia social mais comuns e bem sucedidas empregadas a nível mundial é o ataque de isco.
Já ouviu falar sobre o Ataque de Isco?
Ou se estiver a pensar em como evitar ataques de isco, este post cobrirá este tópico em profundidade.
O que é o Ataque de Isco?
Ataque de isco Significado: Uma estratégia utilizada na engenharia social onde uma pessoa é seduzida por uma promessa enganadora que apela à sua curiosidade ou ganância. A isca é quando um atacante deixa uma pen drive USB com uma carga útil prejudicial nos lobbies ou parques de estacionamento na esperança de que alguém a coloque num dispositivo por curiosidade, altura em que o malware que contém pode ser implantado.
Num ataque cibernético de isco, o agressor pode enviar uma mensagem de correio electrónico para a caixa de entrada da vítima contendo um anexo contendo um ficheiro malicioso. Após abrir o anexo, este instala-se no seu computador e espiões nas suas actividades.
O atacante também lhe envia um e-mail contendo um link para um website que hospeda código malicioso. Ao clicar neste link, ele pode infectar o seu dispositivo com malware ou ransomware.
Os hackers utilizam frequentemente ataques de isco para roubar dados pessoais ou dinheiro às suas vítimas. Este ataque tornou-se mais comum à medida que os criminosos encontraram novas formas de enganar as pessoas para se tornarem vítimas de crimes cibernéticos.
Lançado Ler: O que é Malware?
Técnicas de Ataque de Isco
A isca pode assumir muitas formas:
- Descarregamentos online: Trata-se de links para ficheiros maliciosos que podem ser enviados por e-mail, redes sociais ou programas de mensagens instantâneas. Os programas de mensagens instantâneas, como o Facebook e os mensageiros do Instagram, enviam ligações aos seguidores que clicam neste tipo de ligações.
- Dispositivos infectados pela guerra masculina: O atacante pode infectar um computador com malware e vendê-lo na teia escura. Os potenciais compradores podem testar o dispositivo ligando-o à sua rede e ver se ficam infectados.
- Ofertas tentadoras: Estes e-mails convidam as pessoas a comprar algo a um preço com desconto - ou mesmo gratuitamente. A ligação leva a malware em vez de mercadoria.
Exemplo de Ataque de Isco em Engenharia Social
Seguem-se alguns exemplos de ataques de isco:
- Um atacante envia um e-mail que parece ser de uma empresa legítima a pedir informações pessoais aos empregados, tais como os seus números de Segurança Social ou palavras-passe.
- Uma empresa coloca vagas de emprego no seu sítio web e depois pede aos candidatos que forneçam as suas informações pessoais antes de poderem candidatar-se.
- Um hacker cria um site falso que parece pertencer a um negócio real e depois pede às pessoas para submeterem as informações do seu cartão de crédito para que possam comprar produtos ou receber serviços do site.
Isco vs. Phishing
O isco e o phishing são dois tipos diferentes de golpes. A diferença básica é que a isca envolve uma empresa ou organização real, enquanto o phishing é utilizado para fingir que o remetente de e-mail é alguém que se conhece e em quem se confia.
Isco utiliza uma empresa ou organização legítima como isco para o enganar a fornecer informações pessoais ou clicar num link. Isto pode tomar a forma de emails de spam sobre produtos ou serviços, mailings directos, ou mesmo chamadas telefónicas de telemarketers. O objectivo é convencê-lo a fornecer-lhes a informação que podem utilizar para roubo de identidade.
Esquemas de Phishing normalmente vêm em e-mails e frequentemente incluem anexos ou ligações que podem infectar o seu computador com software malicioso (malware). Podem também pedir o seu dinheiro ou informação de conta bancária fingindo ser de um banco ou outra instituição financeira.
Leitura relacionada: Phishing vs Spam
Como Prevenir um Ataque de Isco bem sucedido?
Prevenir um ataque de isco bem sucedido requer trabalho. A única maneira é compreender os motivos e objectivos dos atacantes.
1. Eduque os seus empregados
O primeiro passo para evitar um ataque de isco bem sucedido é educar os seus empregados para se protegerem a si próprios. Isto pode ser feito através de formação e campanhas de sensibilização, mas é importante mantê-los actualizados sobre as últimas tendências e tácticas de phishing. Deve também ensiná-los a reconhecer potenciais ameaças antes de clicar em quaisquer ligações ou abrir quaisquer anexos.
2. Não Siga os Links Cegamente
É fácil para os empregados ficarem preguiçosos e clicarem em qualquer link que vejam num e-mail, porque assumem que se alguém o envia, deve ser seguro. Contudo, isto nem sempre é verdade - os funcionários enviam frequentemente mensagens que parecem provir de fontes legítimas, tais como o endereço electrónico da sua empresa ou o endereço de outro funcionário (tal como alguém que trabalha em RH).
3. Educar-se para evitar ataques de isco
Aprenda a pensar cepticamente sobre qualquer oferta demasiado boa para ser verdade, tal como uma oferta por dinheiro ou artigos gratuitos.
O acordo provavelmente não é tão bom como parece.
Se alguém lhe pedir informações pessoais ou financeiras por e-mail ou texto, mesmo que alegue ser do seu banco, não as forneça! Em vez disso, contacte directamente o seu banco e pergunte se enviaram a mensagem a pedir esta informação (e depois informe o burlão).
4. Usar software antivírus e anti-malware
Muitos bons programas antivírus estão disponíveis, mas nem todos o irão proteger de um ataque de isco. Tem de se assegurar de ter um que possa detectar e bloquear as últimas ameaças antes que estas infectem o seu computador. Se não tiver um instalado, pode experimentar o nosso software gratuito Malwarebytes Anti-Malware Premium, que fornece protecção em tempo real contra malware e outras ameaças.
5. Não utilizar dispositivos externos antes de os verificar para detectar malwares.
Dispositivos externos como unidades flash USB e discos rígidos externos podem transportar malware que pode infectar o seu computador quando estão ligados. Por isso, certifique-se de que qualquer dispositivo externo que ligue ao seu computador foi primeiro verificado à procura de vírus.
6. Realizar Ataques Simulados Organizados
Outra forma de prevenir ataques de isco bem sucedidos é a realização de ataques organizados e simulados. Estas simulações ajudam a identificar fraquezas nos seus sistemas e procedimentos, permitindo-lhe corrigi-las antes que se tornem problemas reais. Também ajudam os empregados a habituarem-se a identificar comportamentos suspeitos, para que saibam o que procurar quando isso acontece.
Conclusão
Os ataques de baiting não são novos, mas estão a tornar-se cada vez mais comuns e podem ser muito prejudiciais. Se gere uma empresa, um blogue ou um fórum, saiba que é da sua responsabilidade proteger os seus activos online contra infestações. É melhor cortar esses problemas antes que eles se tornem mais comuns.
- A ascensão de esquemas de pretexto em ataques de phishing reforçados - 15 de janeiro de 2025
- DMARC torna-se obrigatório para a indústria de cartões de pagamento a partir de 2025 - 12 de janeiro de 2025
- Alterações do NCSC Mail Check e o seu impacto na segurança do correio eletrónico do sector público do Reino Unido - 11 de janeiro de 2025