O pretexto é uma forma de engenharia social em que o invasor obtém acesso a informações, sistemas ou serviços por meios enganosos. O invasor apresenta um cenário falso, ou pretexto, para ganhar a confiança da vítima e pode fingir ser um investidor experiente, representante de RH, especialista de TI ou outra fonte aparentemente legítima. Esse ataque não se limita ao ambiente on-line; pode ocorrer também por outros meios de comunicação, inclusive pessoalmente.
Saiba mais
Com os ciber criminosos criando métodos cada vez mais manipuladores para enganar pessoas e funcionários, as organizações precisam se manter à frente nessa corrida. Leia mais sobre ataques de engenharia social aqui:
Como funciona o pretexto?
Invasores usam uma série de métodos para ganhar a confiança de vítimas desavisadas, que acabam divulgando informações confidenciais. O ataque de pretexto explora o lado emocional da vítima criando um senso de urgência, oferecendo benefícios bons demais para serem verdade ou tentando ganhar confiança para enganar a vítima. As técnicas mais comuns incluem baiting, phishing, piggybacking, scareware, tailgating e vishing/smishing.
Técnicas de pretexto
Phishing: os ataques de phishing envolvem se passar por uma pessoa ou organização em um e-mail com o objetivo de roubar informações. Muitos ataques de phishing se baseiam em pretextos; por exemplo, um e-mail pode ser enviado a um executivo de alto escalão alegando ser alguém de dentro da organização. O e-mail tem um anexo com malware que, ao ser aberto, pode afetar todo o sistema.
Vishing/smishing: o vishing, ou phishing de voz, usa chamadas telefônicas para enganar a vítima e fazê-la fornecer informações confidenciais. O smishing é semelhante, mas usa SMS ou mensagens de texto para abordar os indivíduos. Um tipo comum de ataque de vishing tem como alvo indivíduos mais velhos e alega ser um funcionário da receita federal ou um representante do INSS e solicita dados pessoais.
Baiting: a tentativa de baiting pode vir em forma de uma promessa atrativa para conquistar a confiança da vítima e espalhar malware ou roubar informações confidenciais. Essa técnica pode envolver um anexo atrativo que contém malware, mas normalmente é realizada por meio de mídias físicas. Um método comum é deixar um pen drive com o logotipo da empresa em algum lugar nas dependências da companhia, para que um funcionário pense que é um dispositivo legítimo e o conecte a um computador. Essa simples ação pode introduzir o malware no sistema.
Piggybacking: o piggybacking é usado para obter acesso físico a uma instalação seguindo um indivíduo autorizado até uma área controlada. O invasor pode se posicionar na entrada de um prédio alegando ter perdido seu crachá de acesso. Então, sem suspeitar de nada, um indivíduo autorizado pode permitir que o invasor acesse o local.
Scareware: Scareware é um pretexto elaborado que alega ter detectado vírus ou outro problema em um sistema e oferece à vítima o que parece ser um antivírus ou outra proteção, mas na verdade é um malware disfarçado.
Tailgating: parecido com o piggybacking, o tailgating é uma tentativa de obter acesso a instalações físicas protegidas. Ao contrário do piggybacking, nesse método o invasor não é percebido pelo indivíduo autorizado. O invasor segue de perto a pessoa autorizada e segura a porta antes que ela feche por completo. A vítima não faz ideia de que foi usada para dar acesso às instalações a alguém não autorizado.
Exemplos frequentes de ataques de pretexto
Existem vários ataques de pretexto comuns que vale a pena mencionar a título de alerta.
Golpes com criptomoedas:
Esse golpe é muito aplicado nas plataformas de redes profissionais. O invasor aborda a vítima por mensagem se passando por um investidor experiente e oferece uma oportunidade de "enriquecimento rápido". O invasor pode até criar websites que pareçam legítimos e incluir testemunhos falsos para ganhar a confiança da vítima. Se a vítima enviar dinheiro e depois tentar sacar, o invasor dirá que não pode devido a impostos, taxas adicionais ou um saldo mínimo na conta que não foi atingido.
Golpes de falsificação de identidade:
Para ganhar a confiança da vítima, o invasor pode tentar se passar por alguém que a vítima conhece. Pode ser alguém da mesma organização ou um amigo das redes sociais. Exemplo de mensagem que a vítima pode receber: "Olá, aqui é do suporte técnico da sua organização, precisamos confirmar os dados da sua conta". A vítima fica ainda mais confiante quando o invasor se passa por uma pessoa legítima da organização, como o CEO que tem uma "solicitação urgente".
Golpes passionais:
Semelhante ao golpe das criptomoedas, os golpistas passionais tentam convencer a vítima a investir em algo usando criptomoedas. Em vez de usar o pretexto de "investidor especialista", o golpista ganha a confiança da vítima fingindo um envolvimento romântico. Após isso, o invasor menciona uma oportunidade de investimento e incentiva a vítima a enviar grandes quantias, sem jamais obter qualquer retorno.
Como identificar e se proteger contra ataques de pretexto
Treinar os funcionários para detectar e evitar possíveis ataques de pretexto e golpes semelhantes ajuda na identificação de solicitações potencialmente danosas. As organizações também podem estabelecer políticas para transações financeiras e validação de credenciais. Por exemplo, a verificação de informações pessoais ou confidenciais deve ser feita pessoalmente ou por chat de vídeo, e jamais por mensagem de texto ou e-mail. Essa medida pode evitar tentativas de pretexto em que o invasor se faz passar por pessoas da empresa.
Como evitar ataques de pretexto
Há várias medidas que uma organização pode implementar para ajudar a evitar que um funcionário seja vítima de golpes de pretexto.
Dica 1. Incentive os funcionários a se manterem constantemente atentos e reportar qualquer indício de ação maliciosa, mesmo que seja um alarme falso.
Lembrar com frequência os funcionários de reportar qualquer comunicação suspeita e incentivar todos a falar pode manter sua força de trabalho vigilante e impedir que ataques de pretexto ocorram. Manter os funcionários sempre atentos a possíveis golpes de phishing é crucial.
Dica 2. Forneça treinamento frequente sobre como identificar atividades suspeitas, como domínios com spoofing.
Incentive os funcionários a verificar o domínio dos links e e-mails para confirmar que a comunicação vem mesmo do remetente alegado e não de um domínio falso. Outras dicas são examinar as URLs para garantir que sejam legítimas, nunca abrir anexos ou usar unidades USB de fontes desconhecidas e verificar se os websites acessados têm certificado SSL (secure sockets layer).
Dica 3. Monitore o ambiente em busca de atividades maliciosas.
A detecção e resposta de endpoint (EDR) do CrowdStrike Falcon® Insight™ monitora continuamente os endpoints, capturando eventos brutos para detecção automática de atividades maliciosas não identificadas só pelos métodos de prevenção. A investigação proativa de ameaças garante que a organização possa impedir ataques antes que eles aconteçam e proteger dados confidenciais da empresa.
Recebeu um e-mail de phishing? Veja como reportar:
O usuário não pode impedir tentativas de phishing, mas pode proteger a si mesmo e à organização em que trabalha mantendo-se sempre atento e reportando e-mails de phishing ao reconhecê-los. Faça a sua parte como bom internauta. Reporte o phishing para: phishing-report@us-cert.gov.
Bart é Gerente Sênior de Marketing de Produtos de inteligência de ameaças na CrowdStrike e tem mais de 20 anos de experiência em monitoramento, detecção e inteligência de ameaças. Depois de iniciar sua carreira como analista de operações de segurança de rede em uma organização financeira belga, Bart mudou-se para a Costa Leste dos EUA para atuar em diversas empresas de cibersegurança, incluindo 3Com/Tippingpoint, RSA Security, Symantec, McAfee, Venafi e FireEye-Mandiant, ocupando cargos de gestão e marketing de produtos.
