Introdução
Os ataques de engenharia social, nos quais os adversários enganam as pessoas para que façam algo que não deveriam, são um dos métodos mais comuns que os ciberataques usam para atingir as pessoas. O conceito tem sido usado por vigaristas e golpistas há milhares de anos. A novidade é que a Internet torna muito fácil para um cibercriminoso em qualquer lugar do mundo fingir ser quem quiser e atacar quem quiser. Abaixo estão os três tipos mais comuns de métodos de engenharia social que os ciberataques usarão para tentar enganá-lo e enganá-lo.

Phish
Phishing é o ataque de engenharia social mais tradicional; é quando os invasores cibernéticos enviam um e-mail tentando induzi-lo a realizar uma ação que você não deveria realizar. Foi originalmente chamado de phishing porque era como pescar em um lago: você jogava uma linha e um anzol, mas não tinha ideia do que iria pescar. A estratégia por trás dessa tática era que quanto mais e-mails de phishing os cibercriminosos enviassem, mais pessoas seriam vítimas. Os ataques de phishing de hoje tornaram-se muito mais sofisticados e direcionados (às vezes chamados de spear phishing), com os cibercriminosos muitas vezes personalizando seus e-mails de phishing antes de enviá-los.

Smishing
Smishing é essencialmente um phishing baseado em SMS, no qual uma mensagem de texto é enviada em vez de um e-mail. Os invasores cibernéticos enviam mensagens de texto para o seu telefone em aplicativos como iMessage, Google Messages ou WhatsApp. Existem vários motivos pelos quais o smishing se tornou popular. A primeira é que é muito mais difícil filtrar ataques de mensagens do que filtrar ataques de e-mail. Em segundo lugar, as mensagens enviadas pelos cibercriminosos são muitas vezes muito curtas, o que significa que há muito pouco contexto, o que torna muito mais difícil determinar se a mensagem é legítima ou não. Terceiro, as mensagens são muitas vezes mais informais e baseadas em ações, por isso as pessoas estão habituadas a responder ou agir rapidamente em relação às mensagens. Finalmente, as pessoas estão cada vez melhores em detectar ataques de phishing por e-mail, então os ciberataques estão simplesmente migrando para um novo método, o envio de mensagens.

Vishing
Vishing, ou phishing baseado em voz, é uma tática que usa uma chamada telefônica ou mensagem de voz em vez de e-mail ou mensagem de texto. Os ataques de Vishing levam muito mais tempo para serem executados pelo invasor, pois eles falam diretamente e interagem com a vítima. No entanto, estes tipos de ataques também são muito mais eficazes, pois é muito mais fácil criar emoções fortes ao telefone, como um sentimento de urgência. Depois que um invasor cibernético coloca você ao telefone, ele não permitirá que você desligue até conseguir o que deseja.

Detectando e interrompendo esses ataques
Felizmente, não importa qual dos três métodos os ciberataques usam, há pistas comuns que você pode identificar:

Urgência: Qualquer mensagem que crie um tremendo senso de urgência, na qual os invasores tentam apressar você a agir rapidamente e cometer um erro. Um exemplo é uma mensagem que afirma ser do governo, informando que seus impostos estão vencidos e que se você não pagar imediatamente irá acabar na prisão.
Pressão: Qualquer mensagem que pressione um funcionário a ignorar ou ignorar as políticas e procedimentos de segurança da empresa.
Curiosidade: qualquer mensagem que gere muita curiosidade ou pareça boa demais para ser verdade, como um pacote UPS não entregue ou um aviso de que você está recebendo um reembolso da Amazon.
Tom: qualquer mensagem que pareça vir de alguém que você conhece, como um colega de trabalho, mas o texto não soa como essa pessoa ou o tom ou assinatura geral está errado.
Informações Sensíveis: Qualquer mensagem solicitando informações altamente confidenciais, como sua senha ou cartão de crédito.
Genérica: Uma mensagem vinda de uma organização confiável, mas que usa uma saudação genérica como “Prezado Cliente”. Se a Amazon tiver um pacote para você ou o serviço telefônico tiver um problema de cobrança, eles saberão seu nome.
Endereço de e-mail pessoal: qualquer e-mail que pareça vir de uma organização, fornecedor ou colega de trabalho legítimo, mas que use um endereço de e-mail pessoal como @gmail.com ou @hotmail.com. Ao procurar essas pistas comuns, você pode percorrer um longo caminho para se proteger.
Ao procurar essas pistas comuns, você pode percorrer um longo caminho para se proteger.

Se você precisa aprimorar a segurança de sua infraestrutura, fale conosco agora mesmo!