Atacantes usam os desejos das pessoas para criar armadilhas, obter informações e aplicar golpes

O uso profissional das redes sociais já é uma prática comum, com escolas oferecendo cursos para ser digital influencer. A ideia é que o crescimento de uma conta seja orgânico, pela exclusividade do conteúdo, ou seguindo os padrões de patrocínio e impulsionamento do serviço escolhido para se trabalhar. Mas muitas pessoas tentam burlar o comportamento ideal para atingir resultados, o que faz as redes criarem procedimentos para verificar um perfil.

Uma conta verificada no Instagram, por exemplo, indica que a pessoa ou a empresa é real e responsável; o que atrai investimento e público. Mas não são todos os que alcançam esse patamar e aqui entra a atividade dos atacantes. Levando em consideração a ansiedade do usuário que busca essa verificação (lojas online, influenciadores, etc.), mensagem falsas – com links, anexos ou apenas uma pergunta – são encaminhadas para vários e-mails que podem ter vazado de algum serviço ou que estão expostos de maneira intencional pela internet, como em comentários nas redes sociais. E se o usuário não prestar atenção, ele pode cair no golpe!

Acima temos um exemplo de ataque real. O usuário recebeu uma notificação dentro da identidade visual padrão da marca, com um texto de fácil entendimento e sem muitos erros de grafia. O problema é a solicitação: sem enviar links, pede que o usuário encaminhe suas credenciais de acesso.

Esse golpe é conhecido como Phishing Reply e com as informações o atacante consegue acessar não só essa conta, mas todos os serviços que utilizam os mesmos login e senha. Esse atacante foi ainda mais ousado, solicitando a desativação da verificação em duas etapas. Com esse recurso ativado, o atacante em posse das credenciais não conseguiria acessar a conta.

Também conhecida como “phishing nigeriano”, é uma estratégia muito comum e que consegue várias respostas, porque abusa da confiança que o usuário tem no remetente ou no conteúdo da mensagem para conseguir informações sigilosas. Então, para não ser mais uma vítima de ataques como esse, tenha em mente as dicas a seguir:

Sempre falamos da importância da conscientização em segurança da informação no ambiente corporativo, mas tornar cada colaborador um firewall humano é importante também para além da empresa. O conhecimento das estratégias de ataque por cada pessoa é mais um obstáculo para que novos golpes se perpetuem. Assim evitamos que ameaças transitem entre os ambientes domésticos e corporativos.

A KnowBe4 possui uma série de ferramentas que ajudam sua empresa a gerenciar os riscos da engenharia social. O Phishing Reply Test é uma ferramenta gratuita para testar se seus colaboradores estão cientes quanto a existência dessa modalidade de ataque. Peça uma demonstração e conheça a porcentagem phish-prone de sua empresa.