Como reconhecer e evitar ataques cibernéticos comuns

Assim como dirigir, o acesso à internet, de um jeito ou de outro, faz parte da vida da maioria das pessoas – e é inegável que ambas as atividades tenham riscos intrínsecos. Segundo a Agência de Cibersegurança e Segurança de Infraestrutura dos Estados Unidos, uma em cada três residências com um computador está infectada por um software mal-intencionado. E mais: 65% dos americanos que estão na internet recebem pelo menos uma tentativa de golpe online. Mas assim como dá para aprender direção defensiva, aprender a identificar e evitar ataques cibernéticos pode ajudar a proteger você e seus dados contra ataques cibernéticos. Embora muitas ameaças cibernéticas possam ser mitigadas de forma automática por serviços de antivírus, firewalls ou outras medidas de proteção, as ameaças mais perigosas normalmente se aproveitam do elemento humano para burlar essas defesas automatizadas. Algumas têm interação direta com a vítima (em geral, se enquadram na categoria de engenharia social), enquanto outras lançam uma armadilha na esperança de que um usuário desatento morda a isca (por exemplo, aplicativos falsos disponíveis lojas de aplicativos não reguladas). Abordaremos esses dois tipos de ameaças e o que você pode fazer para evitá-las. Também falaremos sobre a reutilização de senhas, o perigo que essa prática cria e como evitar esse erro.

Engenharia social

Engenharia social é um termo utilizado para descrever uma gama de atividades mal-intencionadas com um método básico em comum: abordar a vítima diretamente (por e-mail, SMS, ligação telefônica ou outro método) para fazê-la revelar dados sensíveis ou interagir com um site feito para infectar o computador com um malware. Embora o elemento humano seja a base desse tipo de ataque, os métodos e os sinais de alerta variam. Então, vejamos quais são os principais tipos de engenharia social. Phishing Esse é a forma mais comum de ataque cibernético, com o envio de cerca de 3,4 bilhões de e-mails de phishing por dia. São e-mails formatados para parecer que foram enviados por um remetente legítimo, com diferentes assuntos ou abordagens, conhecidos como “chamarizes”, para tentar fazer o destinatário interagir com o e-mail. Esses chamarizes podem usar eventos recentes, como feriados ou desastres naturais, para chamar a atenção, podem parecer que são de uma empresa que está alertando que a sua conta foi comprometida ou podem conter um boleto falso referente a uma compra cara, recente e sem muito tempo para o destinatário conferir se a cobrança é devida. O objetivo desses e-mails é criar uma pressão psicológica para que o destinatário responda, seja para demonstrar interesse em uma oferta ou para conferir se não estão sendo vítima de outra fraude. O que fazer para se proteger contra ataques de phishing Alguns dos indícios mais fáceis de notar em e-mails de phishing sempre foram erros gramaticais e ortográficos. No entanto, com a popularização do ChatGPT e de outros modelos de linguagem de larga escala (Large Language Models, LLM), os golpistas agora conseguem criar e-mails muito convincentes e com a gramática perfeita, dificultando a identificação de um ataque de phishing. Então, o melhor a se fazer é ter cuidado com qualquer e-mail cujo remetente é desconhecido. Também vale a pena seguir estas práticas recomendadas:

• Confira todos os dados do remetente em qualquer e-mail que peça para você clicar em um link ou ligar para uma central de atendimento. Por exemplo, ao receber um e-mail de uma empresa que você conhece, confira o endereço real do remetente, pois o e-mail pode ter sido enviado de outro domínio, como no exemplo a seguir:
• Não clique em nenhum link em e-mails de remetentes desconhecidos.
• Na dúvida, confirme se o e-mail que a empresa supostamente enviou é legítimo entrando em contato com eles a partir dos dados disponíveis no site.
• Conte com a ajuda de um gerenciador de senhas. Se seu gerenciador de senhas estiver configurado para preencher automaticamente as credenciais de contas conhecidas e não fizer esse preenchimento automático em um site que você está acessando, esse site pode ser de phishing.

Vishing Vishing é cruzamento das palavras “voice” e “phishing”, ou seja, uma modalidade de phishing por voz. Nesse caso, o golpista liga para a vítima dizendo ser de uma empresa renomada, da polícia ou de um órgão fiscal para tentar fazer a pessoa revelar dados sensíveis, como números de cartões de crédito, CPF, senhas ou dados financeiros. O que fazer para se proteger contra ataques de vishing

• Deixe que ligações de números desconhecidos caiam na caixa postal.
• Entre em contato com a empresa ou órgão onde a pessoa que ligou diz trabalhar para confirmar que o assunto é real. Ligue para um número que esteja disponível no site principal da empresa ou do órgão, e não para um número informado pelo suposto golpista.

Smishing Smishing é semelhante ao vishing e ao phishing, mas os golpistas utilizam mensagens de texto (SMS) para abordar as vítimas. Algumas mensagens podem conter links para sites falsos, enquanto outras podem afirmar que são de um órgão público, dos correios ou de uma empresa legítima. Essas mensagens podem afirmar que sua conta foi hackeada e pedir para você fazer login (em um site de phishing) para roubar suas credenciais. Em outra tática comum, o golpista envia uma mensagem para a vítima afirmando ser um gestor sênior do trabalho dela e pede que ela compre um vale-presente em seu nome. Essas mensagens costumam afirmar que o gestor não pode fazer a compra porque está em uma reunião, mas que ele precisa desse favor de forma imediata. Essa última tática apela para o senso de urgência, na esperança de que a vítima agirá sem nem pensar que essa situação pode ser um golpe. O que fazer para evitar ataques de smishing

• Não responda nem clique em links de mensagens que você não estava esperando.
• Antes de fazer qualquer coisa, confira a informação diretamente com o remetente.
• Exclua e, se possível, denuncie eventuais mensagens de smishing à sua operadora de celular e/ou a empresa de onde a mensagem diz ser.

Aplicativos mal-intencionados

Alguns agentes mal-intencionados desenvolvem aplicativos que parecem ser de marcas renomadas e de confiança, em uma tentativa de roubar dados e/ou infectar o celular ou computador de um usuário com um malware. Esses aplicativos são criados para terem uma interface idêntica à do aplicativo verdadeiro, dificultando a detecção do golpe. Contudo, veja o que você pode fazer para não ser vítima desses clones:

• Só use as lojas oficiais de aplicativos, como a Apple App Store ou o Google Play.
• Confira quem é o desenvolvedor do aplicativo. Por exemplo, o LastPass cita a LogMeIn, Inc. como sua desenvolvedora na Apple App Store e a GoTo Technologies no Google Play. Qualquer outro desenvolvedor ou distribuidor pode ser um indício de que o aplicativo provavelmente tem más intenções.
• Confira se a descrição do aplicativo tem erros gramaticais ou ortográficos.

Reutilização de senha

Segundo o relatório Psicologia das Senhas de 2022 do LastPass, cerca de 62% das pessoas reutilizam alguma variação de uma única senha, e mesmo entre quem já fez treinamento sobre os perigos da reutilização das senhas, apenas 31% dessas pessoas deixaram de reutilizar senhas e 25% começaram a usar um gerenciador de senhas. O perigo fica ainda maior quando essas senhas ficam expostas, pois agentes mal-intencionados utilizarão essas credenciais roubadas em seus ataques. Segundo o Verizon Data Breach Investigations Report de 2023, 86% dos ataques de aplicativos Web básicos que resultaram em violações envolveram o uso de credenciais roubadas. O melhor que você pode fazer é criar senhas exclusivas e complexas para cada conta, e um gerenciador de senhas pode cuidar disso. Com a proximidade da autenticação sem senhas, também é interessante escolher um gerenciador de senhas que facilite a adoção dessa nova tecnologia. Embora as ameaças cibernéticas sejam onipresentes, conhecer os tipos de ataques mais comuns e adotar essas medidas simples para evitá-los pode ajudar você a se proteger, além de proteger a sua família e a sua empresa contra violações de dados ou outros ataques cibernéticos.