Assim como dirigir, o acesso à internet, de um jeito ou de outro, faz parte da vida da maioria das pessoas – e é inegável que ambas as atividades tenham riscos intrínsecos. Segundo a Agência de Cibersegurança e Segurança de Infraestrutura dos Estados Unidos, uma em cada três residências com um computador está infectada por um software mal-intencionado. E mais: 65% dos americanos que estão na internet recebem pelo menos uma tentativa de golpe online. Mas assim como dá para aprender direção defensiva, aprender a identificar e evitar ataques cibernéticos pode ajudar a proteger você e seus dados contra ataques cibernéticos.
Embora muitas ameaças cibernéticas possam ser mitigadas de forma automática por serviços de antivírus, firewalls ou outras medidas de proteção, as ameaças mais perigosas normalmente se aproveitam do elemento humano para burlar essas defesas automatizadas. Algumas têm interação direta com a vítima (em geral, se enquadram na categoria de engenharia social), enquanto outras lançam uma armadilha na esperança de que um usuário desatento morda a isca (por exemplo, aplicativos falsos disponíveis lojas de aplicativos não reguladas). Abordaremos esses dois tipos de ameaças e o que você pode fazer para evitá-las. Também falaremos sobre a reutilização de senhas, o perigo que essa prática cria e como evitar esse erro.
Engenharia social
Engenharia social é um termo utilizado para descrever uma gama de atividades mal-intencionadas com um método básico em comum: abordar a vítima diretamente (por e-mail, SMS, ligação telefônica ou outro método) para fazê-la revelar dados sensíveis ou interagir com um site feito para infectar o computador com um malware. Embora o elemento humano seja a base desse tipo de ataque, os métodos e os sinais de alerta variam. Então, vejamos quais são os principais tipos de engenharia social. Phishing Esse é a forma mais comum de ataque cibernético, com o envio de cerca de 3,4 bilhões de e-mails de phishing por dia. São e-mails formatados para parecer que foram enviados por um remetente legítimo, com diferentes assuntos ou abordagens, conhecidos como “chamarizes”, para tentar fazer o destinatário interagir com o e-mail. Esses chamarizes podem usar eventos recentes, como feriados ou desastres naturais, para chamar a atenção, podem parecer que são de uma empresa que está alertando que a sua conta foi comprometida ou podem conter um boleto falso referente a uma compra cara, recente e sem muito tempo para o destinatário conferir se a cobrança é devida. O objetivo desses e-mails é criar uma pressão psicológica para que o destinatário responda, seja para demonstrar interesse em uma oferta ou para conferir se não estão sendo vítima de outra fraude. O que fazer para se proteger contra ataques de phishing Alguns dos indícios mais fáceis de notar em e-mails de phishing sempre foram erros gramaticais e ortográficos. No entanto, com a popularização do ChatGPT e de outros modelos de linguagem de larga escala (Large Language Models, LLM), os golpistas agora conseguem criar e-mails muito convincentes e com a gramática perfeita, dificultando a identificação de um ataque de phishing. Então, o melhor a se fazer é ter cuidado com qualquer e-mail cujo remetente é desconhecido. Também vale a pena seguir estas práticas recomendadas:- Confira todos os dados do remetente em qualquer e-mail que peça para você clicar em um link ou ligar para uma central de atendimento. Por exemplo, ao receber um e-mail de uma empresa que você conhece, confira o endereço real do remetente, pois o e-mail pode ter sido enviado de outro domínio, como no exemplo a seguir:
- Não clique em nenhum link em e-mails de remetentes desconhecidos.
- Na dúvida, confirme se o e-mail que a empresa supostamente enviou é legítimo entrando em contato com eles a partir dos dados disponíveis no site.
- Conte com a ajuda de um gerenciador de senhas. Se seu gerenciador de senhas estiver configurado para preencher automaticamente as credenciais de contas conhecidas e não fizer esse preenchimento automático em um site que você está acessando, esse site pode ser de phishing.
- Deixe que ligações de números desconhecidos caiam na caixa postal.
- Entre em contato com a empresa ou órgão onde a pessoa que ligou diz trabalhar para confirmar que o assunto é real. Ligue para um número que esteja disponível no site principal da empresa ou do órgão, e não para um número informado pelo suposto golpista.
- Não responda nem clique em links de mensagens que você não estava esperando.
- Antes de fazer qualquer coisa, confira a informação diretamente com o remetente.
- Exclua e, se possível, denuncie eventuais mensagens de smishing à sua operadora de celular e/ou a empresa de onde a mensagem diz ser.
Aplicativos mal-intencionados
Alguns agentes mal-intencionados desenvolvem aplicativos que parecem ser de marcas renomadas e de confiança, em uma tentativa de roubar dados e/ou infectar o celular ou computador de um usuário com um malware. Esses aplicativos são criados para terem uma interface idêntica à do aplicativo verdadeiro, dificultando a detecção do golpe. Contudo, veja o que você pode fazer para não ser vítima desses clones:- Só use as lojas oficiais de aplicativos, como a Apple App Store ou o Google Play.
- Confira quem é o desenvolvedor do aplicativo. Por exemplo, o LastPass cita a LogMeIn, Inc. como sua desenvolvedora na Apple App Store e a GoTo Technologies no Google Play. Qualquer outro desenvolvedor ou distribuidor pode ser um indício de que o aplicativo provavelmente tem más intenções.
- Confira se a descrição do aplicativo tem erros gramaticais ou ortográficos.