O que é um ataque de isco, e como evitá-lo?

Hoje em dia, a maioria dos ciberataques baseia-se na engenharia social, que é a manipulação cuidadosa do comportamento humano. 

98% de todos os ciberataques utilizam engenharia social. ~GCA Cybersecurity Toolkit post.

Os cibercriminosos utilizam várias técnicas de engenharia social para defraudar negócios de dinheiro e informação privada. Uma das técnicas de engenharia social mais comuns e bem sucedidas empregadas a nível mundial é o ataque de isco.

Já ouviu falar sobre o Ataque de Isco?

Ou se estiver a pensar em como evitar ataques de isco, este post cobrirá este tópico em profundidade.

O que é o Ataque de Isco?

Ataque de isco Significado: Uma estratégia utilizada na engenharia social onde uma pessoa é seduzida por uma promessa enganadora que apela à sua curiosidade ou ganância. A isca é quando um atacante deixa uma pen drive USB com uma carga útil prejudicial nos lobbies ou parques de estacionamento na esperança de que alguém a coloque num dispositivo por curiosidade, altura em que o malware que contém pode ser implantado.

Num ataque cibernético de isco, o agressor pode enviar uma mensagem de correio electrónico para a caixa de entrada da vítima contendo um anexo contendo um ficheiro malicioso. Após abrir o anexo, este instala-se no seu computador e espiões nas suas actividades.

O atacante também lhe envia um e-mail contendo um link para um website que hospeda código malicioso. Ao clicar neste link, ele pode infectar o seu dispositivo com malware ou ransomware.

Os hackers utilizam frequentemente ataques de isco para roubar dados pessoais ou dinheiro às suas vítimas. Este ataque tornou-se mais comum à medida que os criminosos encontraram novas formas de enganar as pessoas para se tornarem vítimas de crimes cibernéticos.

Lançado Ler: O que é Malware?

Técnicas de Ataque de Isco

A isca pode assumir muitas formas:

• Descarregamentos online: Trata-se de links para ficheiros maliciosos que podem ser enviados por e-mail, redes sociais ou programas de mensagens instantâneas. Os programas de mensagens instantâneas, como o Facebook e os mensageiros do Instagram, enviam ligações aos seguidores que clicam neste tipo de ligações.
• Dispositivos infectados pela guerra masculina: O atacante pode infectar um computador com malware e vendê-lo na teia escura. Os potenciais compradores podem testar o dispositivo ligando-o à sua rede e ver se ficam infectados.
• Ofertas tentadoras: Estes e-mails convidam as pessoas a comprar algo a um preço com desconto - ou mesmo gratuitamente. A ligação leva a malware em vez de mercadoria.

Exemplo de Ataque de Isco em Engenharia Social

Seguem-se alguns exemplos de ataques de isco:

• Um atacante envia um e-mail que parece ser de uma empresa legítima a pedir informações pessoais aos empregados, tais como os seus números de Segurança Social ou palavras-passe.
• Uma empresa coloca vagas de emprego no seu sítio web e depois pede aos candidatos que forneçam as suas informações pessoais antes de poderem candidatar-se.
• Um hacker cria um site falso que parece pertencer a um negócio real e depois pede às pessoas para submeterem as informações do seu cartão de crédito para que possam comprar produtos ou receber serviços do site.

Isco vs. Phishing

O isco e o phishing são dois tipos diferentes de golpes. A diferença básica é que a isca envolve uma empresa ou organização real, enquanto o phishing é utilizado para fingir que o remetente de e-mail é alguém que se conhece e em quem se confia.

Isco utiliza uma empresa ou organização legítima como isco para o enganar a fornecer informações pessoais ou clicar num link. Isto pode tomar a forma de emails de spam sobre produtos ou serviços, mailings directos, ou mesmo chamadas telefónicas de telemarketers. O objectivo é convencê-lo a fornecer-lhes a informação que podem utilizar para roubo de identidade.

Esquemas de Phishing normalmente vêm em e-mails e frequentemente incluem anexos ou ligações que podem infectar o seu computador com software malicioso (malware). Podem também pedir o seu dinheiro ou informação de conta bancária fingindo ser de um banco ou outra instituição financeira.

Leitura relacionada: Phishing vs Spam

Como Prevenir um Ataque de Isco bem sucedido?

Prevenir um ataque de isco bem sucedido requer trabalho. A única maneira é compreender os motivos e objectivos dos atacantes.

1. Eduque os seus empregados

O primeiro passo para evitar um ataque de isco bem sucedido é educar os seus empregados para se protegerem a si próprios. Isto pode ser feito através de formação e campanhas de sensibilização, mas é importante mantê-los actualizados sobre as últimas tendências e tácticas de phishing. Deve também ensiná-los a reconhecer potenciais ameaças antes de clicar em quaisquer ligações ou abrir quaisquer anexos.

2. Não Siga os Links Cegamente

É fácil para os empregados ficarem preguiçosos e clicarem em qualquer link que vejam num e-mail, porque assumem que se alguém o envia, deve ser seguro. Contudo, isto nem sempre é verdade - os funcionários enviam frequentemente mensagens que parecem provir de fontes legítimas, tais como o endereço electrónico da sua empresa ou o endereço de outro funcionário (tal como alguém que trabalha em RH).

3. Educar-se para evitar ataques de isco

Aprenda a pensar cepticamente sobre qualquer oferta demasiado boa para ser verdade, tal como uma oferta por dinheiro ou artigos gratuitos. 

O acordo provavelmente não é tão bom como parece.

Se alguém lhe pedir informações pessoais ou financeiras por e-mail ou texto, mesmo que alegue ser do seu banco, não as forneça! Em vez disso, contacte directamente o seu banco e pergunte se enviaram a mensagem a pedir esta informação (e depois informe o burlão).

4. Usar software antivírus e anti-malware

Muitos bons programas antivírus estão disponíveis, mas nem todos o irão proteger de um ataque de isco. Tem de se assegurar de ter um que possa detectar e bloquear as últimas ameaças antes que estas infectem o seu computador. Se não tiver um instalado, pode experimentar o nosso software gratuito Malwarebytes Anti-Malware Premium, que fornece protecção em tempo real contra malware e outras ameaças.

5. Não utilizar dispositivos externos antes de os verificar para detectar malwares.

Dispositivos externos como unidades flash USB e discos rígidos externos podem transportar malware que pode infectar o seu computador quando estão ligados. Por isso, certifique-se de que qualquer dispositivo externo que ligue ao seu computador foi primeiro verificado à procura de vírus.

6. Realizar Ataques Simulados Organizados

Outra forma de prevenir ataques de isco bem sucedidos é a realização de ataques organizados e simulados. Estas simulações ajudam a identificar fraquezas nos seus sistemas e procedimentos, permitindo-lhe corrigi-las antes que se tornem problemas reais. Também ajudam os empregados a habituarem-se a identificar comportamentos suspeitos, para que saibam o que procurar quando isso acontece.

Conclusão

Os ataques de baiting não são novos, mas estão a tornar-se cada vez mais comuns e podem ser muito prejudiciais. Se gere uma empresa, um blogue ou um fórum, saiba que é da sua responsabilidade proteger os seus activos online contra infestações. É melhor cortar esses problemas antes que eles se tornem mais comuns.

• Sobre
• Últimos Posts

Ahona Rudra

Ahona é gerente de marketing da PowerDMARC, com mais de 5 anos de experiência em escrever sobre tópicos de segurança cibernética, especializada em segurança de domínio e e-mail. Ahona possui uma pós-graduação em Jornalismo e Comunicação, solidificando sua carreira no setor de segurança desde 2019.

Últimos posts de Ahona Rudra (ver todos)

• Códigos de erro SMTP explicados - 20 de maio de 2024
• 10 melhores dicas e estratégias de proteção de correio eletrónico - 15 de maio de 2024
• A Blockchain pode ajudar a melhorar a segurança do e-mail? - 9 de maio de 2024