Os Perigos do Phishing: Vishing, Smishing, Quishing, Pharming e a Engenharia Social

Segurança Deixe um comentário

É muito provável que conheça e perceba o que é o Phishing e como se processa este crime cibernético, o mais utilizado por hackers. No entanto, vou relembrar este perigo já que nunca é demais esclarecer este perigo (e crime cibernético) que tem como objectivo ou propósito enganar alguém. Um engodo destinado a atrair e a levar as pessoas (utilizadores) a clicar num link recebido geralmente no e-mail e que aparentemente é de uma fonte credível e confiável, ou mesmo de um endereço que é muito idêntico ao de um contacto (endereço do seu banco, autoridade tributária, CTT, etc.) ou alguém dos seus conhecimentos. Contudo, nesse e-mail são usadas frases que levam e provocam o utilizador a clicar no link, seja por curiosidade (por exemplo levantar encomendas dos CTT) ou em situações que aparentam ser “normais” ou de ajuda ou que aparentam ser vantajosas para o utilizador, mas também em situações de alarme como o pagamento de multas, ou cortes de energia, etc.. Algo que busca a matriz comportamental de cada um: como a ingenuidade, a confiança, ganhos fáceis, ou o medo. Em síntese o objectivo é enganar e ludibriar alguém para realizar um crime de fraude.

O Malware e o Phishing

designed by gstudioimagen – Imagem de gstudioimagen no Freepik

Quando clica no link é instalado e descarregado um software (sem que se aperceba) que possui um tipo de malware que é instalado no dispositivo da vitima. Saiba que o malware instalado vai permitir ao hacker (pirata informático) deixar vulnerável o, ou os, dispositivos do utilizador criando uma “porta aberta” aos dados dos seus equipamentos. É por isso seguro dizer que a segurança começa por nós e também é seguro dizer que os humanos são o elo mais fraco em processos de segurança, facilmente permissíveis e cheios de falhas. É aqui que entra a engenharia social, que falaremos mais em detalhe abaixo neste artigo.

O que é o Vishing

O Vishing (voice phishing) é um crime que utiliza o telefone como instrumento para enganar alguém, um engodo idêntico ao phishing (andar à “pesca” de uma vítima) e que os utilizadores ao serem apanhados no esquema serão lesados patrimonialmente (normalmente as suas contas bancárias).   

As técnicas usadas no Vishing são cada vez mais sofisticadas e com elevada preparação prévia, pensados e planeados semanas antes de lançar o ataque (ou esquema fraudulento), estas técnicas são denominadas de OSINT (open source intelligence), ou seja e explicado de forma simples: informações recolhidas legalmente sobre um indivíduo (determinado perfil) ou organização e realizadas em pesquisas feitas em fontes públicas gratuitas, usando principalmente aplicações como as redes sociais e os motores de busca. Na prática, significa informações encontradas e disponíveis na internet de forma publica.

Os criminosos ao utilizarem técnicas de engenharia social, conseguem traçar um perfil profundo da vitima, desde saberem quem são e os seus dados pessoais, efectuarem a clonagem do número de telefone (caller id spoofing), imitar vozes reais (deep fake) e assumirem ser representantes de bancos, empresas de telecomunicações ou mesmo de órgãos governamentais e de polícia. Nos tempos actuais acrescentamos técnicas avançadas de inteligência artificial, em que se consegue com alguma facilidade ferramentas para analisar a voz da vítima enquanto fala ao telefone ou simplesmente deixa mensagem no seu voice mail, o que permite identificar as suas emoções, o seu estado psicológico e assim adaptar a mensagem a passar de acordo com os dados recolhidos do perfil da pessoa em determinado momento (fragilidade e vulnerabilidade). Existe muita documentação sobre engenharia social e como se proteger e que vale a pena pesquisar e ler.

O que é o smishing

O smishing (SMS Phishing) é um crime de Phishing mas que utiliza o SMS como veículo digital para atingir as vítimas, em que o “engodo” é enviado nos SMSs. Saiba que quando o recebe um SMS, alegadamente de uma empresa fidedigna (por exemplo: CTT, EDP, Autoridade Tributária, etc.) e no texto, normalmente indicando que deve fazer algo e um link no texto, mas que ao clicar nesse link o encaminha para um site com malware que irá permitir instalar um RaT (um malware que quando instalado irá permitir aos criminosos acederem remotamente a dispositivos como smartphones, computadores e sistemas informáticos e ficarem a saber tudo que o utilizador faça).

O que é o Quishing

O Quishing (QR Code Phishing) é um método em que os criminosos exploram e solicitam com a utilização de códigos QR que os vão levar a aceder a sites maliciosos ou a fazer o download de malware e que irá instalar um RaT. A grande dificuldade é que o Quishing está num código QR e que é difícil de perceber, ou mesmo impossível, descodificar se este QR Code é genuíno ou falso, já que não é decifrável à vista humana e tem que ser realizado um scan (geralmente com o smartphone) que o direciona automaticamente para um site malicioso.

O que é o Pharming

O Pharming é uma combinação dos termos “phishing” e “farming” (cultivo em inglês) e é mais uma técnica de golpe online similar ao phishing. Contudo, nesta técnica de ataque cibernético, é o tráfego de um site que é manipulado e as informações existentes nesse site que são roubados. Esta técnica irá provocar que a pessoa-alvo do ataque seja redirecionado para um site falso. 

Resumindo: O Pharming é uma técnica de ataque que manipula o DNS (Sistema de Nomes de Domínio) que redireciona o pedido legítimo de um utilizador para um website fraudulento sem o seu conhecimento. Ou seja, esta técnica enganadora baseia-se no comprometimento do servidor de DNS ou do ficheiro host local do utilizador, fazendo com que as consultas ao DNS sejam resolvidas para um endereço de IP do hacker em vez do endereço legítimo. Uma manipulação que compromete os diferentes sistemas e browsers, que podem responder de forma diferente ao pedido do utilizador.

Quais os objectivos dos criminosos com as fraudes ?

As fraudes são um crime muito antigo e um esquema para enganar e burlar alguém. (por exemplo são conhecidas as fraudes bancárias em que a mais famosa em Portugal foi a de Alves dos Reis em 1955, a fraude científica mais recentemente em 2003 a da CEO da Theranos Elizabeth Holmes, a fraude económica em que a insolvência, a emissão de cheque sem provisão, contrafação de moeda, etc., são exemplos, mas também a fraude eleitoral, a fraude fiscal, etc.) e com esse crime de fraude serem retiradas vantagens. Normalmente a fraude, ou burla, leva à perda algo, no caso mais usual e dos utilizadores de equipamentos digitais, os bens monetários (contas bancárias) e a privacidade.

De acordo com o CNCS (Centro Nacional de Cibersegurança) as maiores ciberameaças e ataques em Portugal em 2021/2022 foram de Phishing, Vishing, Smishing e o Ransomware, imediatamente a seguir foi a fraude online (MBway, whatsapp, etc.). No fundo, crimes que fazem uso de técnicas de engenharia social.

O que é Engenharia Social ?

Como já falado anteriormente neste artigo, a Engenharia Social dito de uma forma sintética, refere-se a um conjunto de técnicas destinadas a convencer alguém a fazer algo ou a revelar informações específicas sem terem noção do que estão a fazer. A manipulação psicológica é algo que leva as vitimas dessa manipulação a terem reações corporais espontâneas e que não conseguem controlar. Situações provocadas deliberadamente que possam criar medo ou pânico, mas também pode existir uma manipulação que provoque sensação de ganho rápido e fácil, que entronca com a ganância e o desejo ou vontade possuir bens. No fundo depende de cada um de nós e como reagimos a determinados “gatilhos emocionais”, mas que fazem parte da nossa resposta comportamental intrínseca e que é estudada em psicologia e em outros estudos do perfil comportamental.

As vitimas de manipulação psicológica, são aquilo que denomino de pessoa-alvo em que as reações corporais que causam uma profunda ansiedade de forma repentina, o pânico ou um elevado nível de stress, ou pelo contrário a manipulação psicológica pode também criar uma ilusão de felicidade e ganho, o que no fundo irá também despoletar a acção de um conjunto hormônios neurotransmissores como a dopamina, a serotonina e a ocitocina. Na prática, a urgência é por certo o “gatilho” e que leva pessoas a fazerem algo sem ponderarem e pensarem com calma no que vão fazer. Basicamente a Engenharia Social é uma forma de conhecer as reações das pessoas a atingir, manipulando o seu comportamento e levando-as agir sem que se apercebam.

As redes sociais e os perigos

designed by studiogstock – Imagem de studiogstock no Freepik

Nos dias de hoje, existem talvez umas centenas de plataformas de redes sociais e uns largos milhões de pessoas em todo o mundo que as utilizam diariamente. No fundo, os dados pessoais e sociais que lá são colocados de forma livre são uma “mina” de informação para os “engenheiros sociais” e é uma das melhores maneiras para extrair e recolher informações pessoais de cada um tornando-as eventuais vítimas e para isso basta utilizar mecanismos de pesquisa e motores de busca e fica-se a saber muito de cada um de nós.

OSINT (Open Source Intelligence)

O Open Source Intelligence (OSINT) é a recolha de informações e a sua análise, normalmente realizada através de informações de fontes públicas e que permitem produzir um perfil (pessoal ou empresarial). As fontes públicas podem incluir medias sociais, redes sociais, sites, registos públicos, imagens, vídeos e outras fontes de dados que se encontram acessíveis ao público. O OSINT é frequentemente usado por empresas, governos, forças da autoridade e indivíduos para obter informações sobre determinada pessoa, concorrentes, clientes, ameaças à segurança e muito mais (como na já referida engenharia social).

Perigos do OSINT

Embora o OSINT possa ser uma ferramenta valiosa, usada muitas vezes no marketing, existem alguns perigos associados â sua utilização, incluindo:

  • Privacidade: O OSINT pode ser usado para recolher informações pessoais sobre indivíduos sem o seu consentimento.
  • Desinformação: O OSINT pode ser usado para espalhar desinformação e propaganda.
  • Vigilância: O OSINT pode ser usado para monitorar indivíduos e grupos sem o seu conhecimento ou consentimento.
  • Abuso: O OSINT pode ser usado para assediar, intimidar ou ameaçar indivíduos e grupos.

Vou dar alguns exemplos de OSINT (Open Source Intelligence), caso ainda não tenha pensado nisso quando se expõe de forma deliberada:

Imagem criada por IA com tecnologia DALL E 3

FACEBOOK 

Esta rede social tem em todo o mundo mais de 2 mil milhões de utilizadores, é normal os utilizadores colocarem dados pessoais como:

  • A Data de Nascimento, a data de casamento ou de início de uma relação
  • A música favorita
  • Os filmes favoritos
  • Clubes aos quais pertence
  • Os seus amigos
  • A sua família (filhos, cônjuge, etc.)
  • Férias que você tirou (fotos e situações a evidenciar)
  • As comidas favoritas
  • Os lugares onde mora ou já morou
  • E muitas outras informações pessoais e privadas (como o número de telemóvel)

LinkedIn

Esta rede social tem mais de 110 milhões de utilizadores, é normal os utilizadores colocarem dados pessoais como:

  • Função actual e o local de trabalho
  • Informações de contacto
  • O histórico de empregos anteriores e experiência profissional
  • Habilitações literárias 
  • Localização onde vive
  • Locais de ensino que frequentou
  • Experiência profissional e competências técnicas
  • Recomendações (colocando as pessoas que o recomendam)
  • Interesses pessoais

Twitter (actual X)

Esta rede social tem mais de 320 milhões de utilizadores, as pessoas que as utilizam informam normalmente (e de forma sintética):

  • O que está a fazer no momento
  • quais os hábitos de comida
  • a sua localização
  • o seu estado emocional
  • com quem se identifica a nível político
  • As suas preferências e as suas rejeições

Se pesquisarmos mais redes sociais, certamente existe mais informação pessoal de quem somos, o que fazemos, o que pensamos, o que gostamos ou rejeitamos, fotos pessoais, etc. Basta aceder a redes como o Instagram, o Tik Tok, etc.. Com esta informação é fácil criar um perfil bastante abrangente sobre a pessoa-alvo. Vale a pena pensar nisso quando coloca e partilha dados pessoais eventualmente ingenuamente.

Técnicas mais usadas de Engenharia Social

Algumas das técnicas mais utilizadas são: 

  • O pretexto: Criar uma falsa justificação ou uma conversa aparentemente amigável de modo a ganhar confiança e a fazer baixar as defesas da vítima (por exemplo, dizer que trabalha para determinada firma ou departamento dessa empresa e que foi dado o seu contacto, ou que existe um amigo comum, indicando mesmo alguns pormenores, ou alertando-o para uma situação qualquer que lhe pareça ser credível);
  • Lançar o isco: por norma com uma conversa envolvente de modo a atrair a vítima para que ela realize uma tarefa específica, proporcionando dessa forma o acesso fácil a algo que a vítima deseja (por exemplo, alegadamente foi encontrado algo que pertence à vítima, ou foi usado um cartão da pessoa);
  • A urgência:  É alegada quase sempre uma urgência para fazer algo e que transmita o pânico e o medo (por exemplo: está em processo uma transferência bancária suspeita utilizando o seu cartão de crédito) e para que essa situação não aconteça tem que ser realizado algo no mais curto espaço de tempo. Processo psicológico que leav a pessoa-alvo é forçada a agir, sem ponderar e refletir sobre o que vai fazer.
  • O quid pro quo que em latim significa “algo em troca de algo”: normalmente envolve a oferta de um pedido de informação ou bem, em troca de uma compensação (por exemplo, se adquirir algo é oferecido determinada coisa, ou ainda mais problemático recebe um telefonema que se identifica como um técnico do seu operador de telecomunicações e lhe diz que foi detectado um problema no equipamento e que tem que fazer algo para que os seus equipamentos – televisão, telefone, etc – de modo a que estes evitem um problema e que vai ser enviado um SMS para o seu telemóvel para “correr” determinado software que alegadamente resolve o problema).

Sobre o estudo de engenharia social existem muitos artigos, vídeos no Youtube e livros que podem ser consultados, eu recomendo um livro – SOCIAL ENGINEERING: THE SCIENCE OF HUMAN HACKING. Ou o site do Conselho Europeu sobre a engenharia social

Como se proteger:

  • Desconfie de números que desconhece: Se não reconhecer o número, não atenda. Se for importante, a pessoa deixará uma mensagem, existe uma forte possibilidade de ser um qualquer call center a tentar angariar clientes a mudar um serviço qualquer (por exemplo: operadores telefónicos, fornecedor de energia, etc.) e ser um uma telefonema considerado SPAM.
  • Verifique o número: Antes de devolver uma chamada, tente verificar se o número pertence a uma empresa, ou o contacto pode de facto ser útil e ainda não possui o contacto. Utilize motores de busca para confirmar o número.
  • Nunca forneça dados pessoais: Jamais forneça senhas, dados bancários ou de cartões bancários, especialmente cartões de crédito por telefone, mesmo que o interlocutor lhe pareça confiável e lhe forneça antecipadamente algumas informações pessoais para confirmar que é mesmo você (nome, morada, Número de Identificação Fiscal, etc.), fazendo com que presuma que o contacto é de confiar.
  • Cuidado com links: Não clique em links recebidos por SMS ou mensagens instantâneas, mesmo que pareçam legítimos. Aceda a sites diretamente digitando o endereço na barra do navegador (URL).
  • Instale aplicativos de segurança: Utilize aplicativos que bloqueiam chamadas de números suspeitos e notificam sobre tentativas de spoofing ou de SPAM.
  • Mantenha o sistema operativo e aplicações actualizados: Actualizações de segurança podem conter medidas contra o spoofing.
  • Denuncie: Se receber uma chamada suspeita que lhe peça dados pessoais ou outras informações de forma inadvertida, denuncie às autoridades competentes e principalmente ao seu gestor bancário ou ligue para a linha disponibilizada pelo seu banco.

Comportamentos que Aumentam a Vulnerabilidade:

  • Falta de atenção: Descuido quando está a navegar na internet, abrir anexos ou clicando em links, sem verificar a origem e a autenticidade.
  • Confiança excessiva: Facilidade em acreditar nos outros e em estranhos que aparentam credibilidade ou que lhe indiquem informações mas sem a devida comprovação.
  • Medo ou pressa: Agir por impulso, sem analisar a situação com a devida cautela, os gatilhos psicológicos são essencialmente o medo, a urgência ou a pressão.
  • Falta de conhecimento: Desconhecimento ou “iliteracia” digital e sobre as técnicas usadas de engenharia social e os riscos da internet.
  • Negligência de medidas de segurança: Ao não utilizar senhas fortes, não manter o software atualizado e não instalar antivírus confiáveis.

Em Conclusão:

Seja Cauteloso: Se receber uma chamada que lhe pareça suspeita, desligue o telefone imediatamente, se for importante vão deixar mensagem no seu voice mail.

Não Ceda à Pressão: Não se deixe pressionar e nunca forneça informações ou tome decisões precipitadas, pare respire (inspire e expire profundamente várias vezes, com calma, durante um minuto antes de agir). Sessenta segundos podem fazer a diferença e não altera qualquer situação.

Denuncie: Denuncie tentativas de Vishing às autoridades competentes e à instituição supostamente envolvida (normalmente entidade bancária).

Se gostou deste artigo e o achou interessante dê o seu “Gosto” e partilhe-o com os seus amigos. Este site/blog serve para isso mesmo: elucidar, ensinar e relembrar algum assunto a quem gosta de Informática, já existem mais de cinquenta artigos que podem ser do seu interesse, vá até ao “Menu” e faça as suas escolhas.

Em caso de alguma dúvida ou questão, envie um e-mail para formacaoajuda@gmail.com para qualquer esclarecimento.

Subscreva o nosso blog e receba automaticamente os novos artigos,

Obrigado.

Deixe uma Resposta

Este site utiliza o Akismet para reduzir spam. Fica a saber como são processados os dados dos comentários.