Analisamos o comportamento das detecções de ataques de engenharia social durante 2020 e observamos um crescimento significativo em relação a 2019. Embora ao longo do ano tenhamos testemunhado um aumento nas campanhas de engenharia social que utilizaram assuntos relacionados com a pandemia de Covid-19 para enganar os usuários, os dados mais impressionantes foram observados ao analisar os sistemas de telemetria da ESET e ao comparar os dois períodos.
Quando falamos em engenharia social, nos referimos a tentativas de ataque em que cibercriminosos usam o nome de uma marca ou organização para fazer com que o usuário acredite que se trata de um e-mail ou mensagem real. O objetivo dessa estratégia é induzir a vítima a realizar ações como baixar um malware no computador, informar seus dados de login, enviar outros tipos de informações pessoais ou aceitar a exibição de anúncios em seu dispositivo.
Embora tenha ocorrido um crescimento significativo da curva em agosto de 2019, o nível quase constante de detecções desse tipo de ameaça e o crescimento quase sustentado na maior parte do ano é uma das peculiaridades de 2020. De fato, embora haja uma tendência de queda em dezembro (como no ano anterior), os níveis são superiores aos de todo o primeiro semestre de 2020.
Se tomarmos como referência o número total de detecções ano a ano, podemos observar um crescimento de pouco um mais de 200% em 2020, sendo agosto o mês com o maior número de detecções.
Em março de 2020 falamos sobre o crescimento significativo das campanhas de engenharia social que tentaram aproveitar o medo causado pela pandemia como isca para afetar aos usuários de diversas formas. No Laboratório da ESET na América Latina analisamos várias campanhas que foram distribuídas via e-mail ou WhatsApp em que os usuários eram levados a acreditar que governos e empresas estavam liberando algum auxílio financeiro ou que certas marcas estavam presenteando internautas com seus produtos. O objetivo das campanhas variou bastante. Enquanto algumas pareciam mais "inofensivos" por apenas tentarem exibir publicidade sem cumprir com o que foi prometido na mensagem, outras procuravam roubar informações pessoais ou até mesmo atacar dispositivos com algum código malicioso.
Detecções de ataques de engenharia social
Ao analisar o comportamento das detecções de ataques de engenharia social na América Latina, o Peru foi o país que registrou o maior percentual, com um pouco mais de 31%, seguido do Brasil com mais de 18% e do México com quase 17%.
Como podemos ver, os ataques de engenharia social continuam sendo uma ameaça bastante comum, afetando tanto o público em geral quanto os usuários corporativos. Os cibercriminosos continuam usando essa técnica para roubar informações pessoais e financeiras e como estratégia para realizar ataques mais sofisticados direcionados a órgãos governamentais ou empresas. Provavelmente, o uso dessa técnica esteja relacionado com o constante aperfeiçoamento dos atacantes e com a falta de treinamento e conscientização dos usuários, que em muitos casos ainda não sabem bem o que é phishing, o que os torna ainda mais vulneráveis a cair em armadilhas criados por atacantes.
Veja mais: Campanhas de phishing continuam apresentando crescimento no Brasil
Para evitar ser vítima desses ataques, além de contar com uma solução de segurança confiável e bem configurada, a conscientização é algo fundamental, tanto individualmente quanto à nível corporativo. Para isso, os usuários podem participar de testes que verificam o nível de conhecimento sobre o assunto, enquanto as empresas podem trabalhar na capacitação de seus funcionários para evitar que caiam nesse tipo de golpe.
Outras dicas de segurança para evitar ataques de engenharia social
- Evite abrir links ou documentos que estejam em e-mails ou mensagens de origem desconhecida, por mais tentadora que seja a promoção ou mensagem.
- Implemente a autenticação de dois fatores em todos os serviços e aplicativos que contem com esse recurso. Desta forma, o nível de segurança das diferentes identidades digitais pode ser garantido, evitando o acesso indevido em caso de um vazamento de dados.
- Tente verificar a autenticidade ou origem de uma mensagem por outros meios e evite cair na tentação de responder ou acessar imediatamente a mensagem, sem antes verificar sua legitimidade.
- Em geral, as instituições financeiras não solicitam informações pessoais, como códigos de segurança, senhas, detalhes de cartão de crédito ou débito, por e-mail ou SMS.
- O usuário também deve ser responsável pela administração de todas as suas informações e evitar fornecer dados pessoais, especialmente quando a comunicação não tenha sido iniciada pelo próprio usuário.