24 de abril de 2020

Descubra como identificar e-mails falsos utilizados para os ataques de Engenharia Social

email falso

E-mails são a principal forma de comunicação interna e externa para muitas empresas, dos mais variados setores.

Enquanto contatos via telefone ou pessoalmente são mais difíceis de serem forjados, principalmente quando existe uma pré-relação entre as duas partes, os e-mails podem mascarar melhor uma falsa comunicação.

Para desvendar o que pode diferenciar um e-mail autêntico de um falso, preparamos este guia, onde iremos discutir:

O que é Engenharia Social

A Engenharia Social como conhecemos hoje, existe para tratar ameaças que possuem como vítima uma pessoa.

Mas antes de nos aprofundarmos no tema, é preciso entender o que é a segurança da informação e porque é importante estudarmos sobre a engenharia social:

A segurança da informação é baseada em um conjunto de ações para a proteção de dados, desde um dado corporativo sigiloso até as informações sobre um funcionário ou cliente.

Principais ataques de Engenharia Social

ataques engenharia social

Phishing

O Phishing é o ataque da engenharia social mais comum da atualidade, em suas dezenas de versões.

O crime consiste na obtenção de dados de uma pessoa ou organização através de técnicas de comunicação que resultam na persuasão da vítima.

No ambiente corporativo, qualquer usuário pode ser uma porta de entrada para uma brecha de segurança por saber, ter acesso ou simplesmente saber quem sabe de algo importante.

O contato do criminoso pode ocorrer a partir de qualquer meio de comunicação, como telefone, e-mail, ou SMS – na tentativa de fazer com que pessoas caiam em um golpe.

Fácil de ser executado, o phishing também não é um ataque difícil de ser reconhecido quando observado com atenção. Por isso, a chance de sucesso da prática depende de dois fatores: O momento certo e a desatenção do usuário.

Quem é exposto a essa tática pode ser surpreendido com algum contato em um momento em que aquele contato faça sentido, por exemplo.

Pretexting

O Pretexting é uma ação maliciosa que consiste na tentativa de se obter dados pessoais ou sobre uma empresa de maneira voluntária por uma falsa causa.

Este golpe pode vir disfarçado de uma causa ou confirmação de informações e com isso, despertar a generosidade do alvo.

Suas vítimas podem receber um e-mail suspeito, um telefone ou até mesmo mensagem de texto no WhatsApp.

Quid pro quo

O Quid pro quo é uma abordagem de troca inconsciente. Alguém oferece algo em troca de outra coisa.

Uma vítima desta abordagem pode receber ajuda técnica por algo, que embora seja resolvido pelo criminoso, dá a ele o poder de instalar ou induzir a instalação de arquivos maliciosos no dispositivo.

É uma falsa sensação de benefício em troca de dados pessoais ou problemas técnicos maiores no futuo.

Sextorsão

A sextorsão (sexo + extorsão) é um crime virtual em que a vítima é chantageada a realizar uma ação caso não queira que algum conteúdo íntimo seja divulgados.

Quando uma vítima possue algum e-mail ou número de celular exposto e que possam ser encontrado por botnets, é muito provável que receba tentativas de diversos tipos de ataques, incluindo a sextorsão.

É uma prática que se apoia muito na informação que coleta sobre um alvo, por muitas vezes ele não possui, realmente, um arquivo confidencial, mas sua abordagem (mais informada do que a maioria) vai fazer a vítima acreditar que sim.

Dumpster Diving

O dumpster diving é uma das práticas mais comuns e cotidianas que não utilizam dispositivos eletrônicos.

Trata-se do ato de vasculhar o lixo alheio para obter algum bem.

No mundo da tecnologia, vasculhar o lixo não é apenas uma ação de desespero, pois resíduos, peças ou até mesmo dispositivos com falhas podem ser descartados pelas companhias e tornarem-se alvo de algum tipo de vazamento ou boato.

Muitas organizações já possuem políticas de descarte para formalizar a ação e blindar qualquer tipo de vazamento ao tornar os itens inutilizáveis.

Shoulder Surfing

O Shoulder Surfing consiste na prática de observar as ações que uma pessoa está realizando em dispositivos como um celular ou computadores.

Para os engenheiros sociais, a ação pode representar mais do que uma simples curiosidade e tornar-se uma oportunidade para descobrir e memorizar senhas ou informações da vítima ou empresa que trabalha.

Tailgating

O tailgating é uma tática mais complexa que consiste no acesso presencial a lugares restritos por pessoas não autorizadas.

Considerada a mais antiga das abordagens de engenharia social, utiliza-se na maioria das vezes da bondade da vítima, como quando alguém está com as mãos tão ocupadas que uma pessoa gentil decide ajudar ao abrir e segurar a porta.

Como identificar e-mails falsos de Engenharia Social

Reconhecer um e-mail falso pode parecer uma tarefa fácil, até mesmo automática para muitas pessoas. Mas a verdade é que a tarefa está se tornando um pouco mais complexa do que costumava ser.

Se antes bastava conferir o remetente da mensagem @empresa, hoje diversos serviços de disparo de e-mail já não recebem um endereço personalizado, mas sim, um gerado automaticamente pelo serviço, o que dificulta que o reconhecimento ocorra dessa maneira.

Outro detalhe é que visualmente os e-mails falsos estão idênticos as suas versões originais.

Então como identificar e-mails falsos?

Confira o remetente da mensagem

Embora e-mails gerados automaticamente estejam dificultando o reconhecimento de alguns remetentes, no geral, os e-mails falsos tentam replicar o endereço original da empresa para confundir o usuário na desatenção.

Para isso eles criam, por exemplo, endereços parecidos porém com detalhes numéricos.

E em tentativas de golpes de menor qualidade, o próprio e-mail entrega não se tratar de algo legítimo e dependendo do domínio ou formato, o serviço de e-mails por desconhecer ou ter casos recorrente de endereços parecidos, nem mesmo permite que a mensagem chegue ao usuário final, ativando a proteção contra spam.

Links internos

No processo para identificar e-mails falsos é importante observar que sempre que um e-mail contêm links ao longo da mensagem, a proteção spam de um serviço de e-mail de qualidade já o analisa de uma outra maneira, sendo que caso o link seja popularmente malicioso, a proteção é ativada automaticamente.

Mas o sistema não é perfeito e falha em inúmeros casos, pois alguns domínios são novos e ainda não tem nenhuma reputação (negativa ou positiva), por exemplo.

Neste caso, é importante analisar duas coisas:

Em que parte do texto os links são inseridos

Quando um hiperlink é criado em cima de um texto, por exemplo “acesse o site”, a primeira coisa que deve ser verificada é se o link corresponde ao texto.

Verifique o formato de link

Existem links que se assemelham ao original com o detalhe de algum caractere especial para possibilitar o registro do domínio.

Mas no geral, muitos links maliciosos terão um formato diferente, nada familiares. Caso ao passar o mouse por cima do link e notar que o mesmo possui um formato diferente, não clique.

O ideal é pesquisar pelo domínio principal e ver os resultados que aparecem. Caso não há muito material disponível na internet, desconfie. Entre em contato com a empresa antes de clicar em qualquer coisa, assim é possível garantir a segurança do link.

Ao analisar essas duas características será muito mais fácil de identificar e-mails falsos e, principalmente, a segurança dos links apontados no corpo dele.

Desconfie de ofertas inesperadas muito vantajosas

Embora todos queiram acreditar que foram contemplados com alguma promoção, é preciso tomar cuidado quando a oferta parece ser boa demais para ser verdade.

Por isso, antes de qualquer ação em um e-mail desse tipo, verifique as informações diretamente com o remetente – no caso a empresa que enviou o e-mail.

Um e-mail falso é um dos principais meios de contato para a aplicação de um golpe por phishing.

Portanto, é preciso tomar cuidado com abordagens não esperadas que apresentem uma oferta muito vantajosa, tanto de empresas conhecidas como desconhecidas.

O e-mail acompanha anexo um boleto, nota fiscal ou fatura

Empresas que enviam qualquer tipo de cobrança ou nota fiscal por e-mail devem apresentar algum tipo de comprovação de que os arquivos são legítimos, além do mais, é importante refletir se um desses documentos é necessário – como resultado de alguma transação realizada.

Jamais faça o download sem ter certeza de que o arquivo é legítimo e muito menos o pagamento.

No caso de cobranças recorrentes, como assinaturas de telefone, celular, internet, basta atentar-se aos valores e dados informados no corpo do e-mail, caso não especifique o titular correto ou o valor esteja diferente do usual, confirme diretamente com o remetente.

Caso exista alguma pendência, solicite um novo boleto para garantir o pagamento da versão correta de preferência.

O próprio e-mail se contradiz ou possui muitos erros de português

Erros básicos podem ser cometidos em e-mails falsos.

Às vezes, as cores e fonte não batem com a identidade da marca, ou o texto possui muitos erros de português ou ainda, possuem um discurso contraditório.

É por isso que grande parte do processo de identificar um e-mail falso é a atenção do usuário ao observar as características mencionadas acima.

Para identificar e-mails falsos também é possível verificar a existência de um e-mail através da ferramenta gratuita CaptainVerify.

Como proteger funcionários da Engenharia Social

proteção de funcionários

Muitas empresas erram na prevenção contra golpes virtuais ao só importarem-se com eles após uma primeira ocorrência.

A verdade é que quando falamos que a maior vulnerabilidade de segurança no ambiente corporativo é o fator humano e não suas tecnologias, não estamos falando que os funcionários são menos competentes, mas sim, que todos podem ser persuadidos.

É por isso que uma boa estratégica para combater a engenharia social possui duas características:

  • Prevenção.
  • Constância.

O fato de ser preventiva mostra que a organização já está preparada para caso algo aconteça, ela reconhece o problema e suas probabilidades, e só isso já é o suficiente para afastar muitos criminosos entusiastas.

Quanto a ser constante, é para que os funcionários também estejam sempre alertas sobre o perigo e não apenas em campanhas específicas ou ações reativas a ataques sofridos.

Em outras palavras, a prevenção é a melhor arma contra ataques de engenharia social. Confira algumas dicas que podem ser lembradas dentro do ambiente corporativo:

Manter gavetas e armários fechados.

Holerites, documentos e diversos outros arquivos impressos, com informações sensíveis, podem tornar-se uma vulnerabilidade ao serem facilmente vistas por colegas no ambiente corporativo.

Por isso, é importante manter as gavetas e armários fechados, e instruir os funcionários a levarem tudo o que for crítico para casa no final do expediente, ou disponibilizar um armazenamento específico para este fim.

Minimizar ou encerrar softwares que exponham dados da empresa ou funcionário.

Especialmente em empresas em que as mesas e computadores estiverem expostas em ambiente aberto, é muito comum que, quase inconscientemente, funcionários “bisbilhotam” o que outros estão executando no dispositivo.

Embora na maioria das vezes isso não represente nenhum problema, pode representar uma vulnerabilidade ao gerar oportunidades para pessoas com más intenções.

Não compartilhar login e senha com nenhum colega de trabalho.

Talvez a prática mais comumente difundida em qualquer ambiente, o compartilhamento de senhas é uma das práticas simples que podem causar as piores consequências a um trabalhador.

Imagine que ao fornecer a senha, a pessoa não apenas ganhar acesso total aos recursos disponibilizados para o dono da conta como também abre uma nova vulnerabilidade para seus dados pessoais, que podem a qualquer momento ser obtidos por algum usuário mal intencionado dependendo da prática do novo portador das informações de acesso.

Na necessidade de ausentar-se da mesa de trabalho, realizar o logout até o retorno.

Isso pode ser feito através do menu iniciar ou CTRL + Alt + Del caso esteja utilizando o Windows como sistema operacional.

Da mesma maneira que é importante fechar gavetas e armários que contenham documentos críticos, é essencial que os integrantes de qualquer equipe em uma empresa recebam o treinamento adequado para adquirirem o hábito de, ao ausentar-se da mesa de trabalho, encerrem a sessão de login no computador.

Isso porque ao manter o sistema logado o usuário abre brechas para que outras pessoas acessem ou alterem um arquivo específico que possa comprometer a vítima.

Não jogue documentos inteiros no lixo, rasgue-o ou fragmente caso seja uma opção no local de trabalho.

Jogar documentos e itens críticos como cartões de crédito, exames ou papéis com outras informações podem abrir brechas para a prática de no-hacking conhecida como “dumpster diving”, que consiste basicamente na vulnerabilidade encontrada num lugar muito comum: as lixeiras.

Em situações externas, evitar ao máximo mencionar informações internas da empresa (quadro de funcionários, rotinas, procedimentos).

Exceto quando receber instruções específicas e treinamento de uma assessoria de imprensa, por exemplo.

Colaboradores bem informados sobre a própria organização nunca representarão algo negativo.

No entanto, é importante que os mesmos sejam instruídos nos lugares e momentos em que poderão falar sobre os temas internas.

Pessoas passam por diversos ambientes, além da empresa, ao longo do dia: transportes públicos, outras empresas e claro, a própria residência.

Todos os lugares externos podem abrir vulnerabilidades para que pessoas de fora ganhem acesso a informações privadas e que podem usar para finalidades de impacto negativo.

Coletar documentos impressos logo em seguida.

Impressão em rede é um excelente recurso para a maioria das empresas, afinal, diminui a necessidade de espaços físicos para diversas impressoras e permite que os funcionários compartilhem um mesmo equipamento.

No entanto, o compartilhamento desse dispositivo pode abrir vulnerabilidades para que pessoas tenham acesso ao que foi impresso antes mesmo de quem o solicitou.

E por isso recomendação geral é de que os documentos sejam coletados logo depois da impressão ser solicitada.

E-mails não são o único canal de comunicação

Ficou com dúvidas mesmo após as dicas acima?

Reforce a importância de alternância de meios de comunicação dentro da empresa, assim, as equipes podem reduzir as chances de um ataque oportunista funcionar.

Conforme as recomendações, e caso isso não seja possível, crie políticas internas, como frases ou códigos especiais que possam autenticar os autores originais das mensagens. E lembre-se, atenção é a melhor prevenção de todas.

O Brasil no foco dos ataques de Phishing

Infográfico - Engenharia Social

Tire suas dúvidas com nosso time

Consulte os especialistas de Segurança da Informação da Compugraf.

Compugraf

Especialista em segurança de dados e certificada por parceiros reconhecidos mundialmente, a Compugraf está pronta para proteger sua empresa na era digital.

O que procura?