Analisamos o comportamento das detecções de ataques de engenharia social durante 2020 e observamos um crescimento significativo em relação a 2019. Embora ao longo do ano tenhamos testemunhado um aumento nas campanhas de engenharia social que utilizaram assuntos relacionados com a pandemia de Covid-19 para enganar os usuários, os dados mais impressionantes foram observados ao analisar os sistemas de telemetria da ESET e ao comparar os dois períodos.

Quando falamos em engenharia social, nos referimos a tentativas de ataque em que cibercriminosos usam o nome de uma marca ou organização para fazer com que o usuário acredite que se trata de um e-mail ou mensagem real. O objetivo dessa estratégia é induzir a vítima a realizar ações como baixar um malware no computador, informar seus dados de login, enviar outros tipos de informações pessoais ou aceitar a exibição de anúncios em seu dispositivo.

Imagem 1. Comparação das detecções de ataques de engenharia social entre 2019 e 2020.

Embora tenha ocorrido um crescimento significativo da curva em agosto de 2019, o nível quase constante de detecções desse tipo de ameaça e o crescimento quase sustentado na maior parte do ano é uma das peculiaridades de 2020. De fato, embora haja uma tendência de queda em dezembro (como no ano anterior), os níveis são superiores aos de todo o primeiro semestre de 2020.

Se tomarmos como referência o número total de detecções ano a ano, podemos observar um crescimento de pouco um mais de 200% em 2020, sendo agosto o mês com o maior número de detecções.

Em março de 2020 falamos sobre o crescimento significativo das campanhas de engenharia social que tentaram aproveitar o medo causado pela pandemia como isca para afetar aos usuários de diversas formas. No Laboratório da ESET na América Latina analisamos várias campanhas que foram distribuídas via e-mail ou WhatsApp em que os usuários eram levados a acreditar que governos e empresas estavam liberando algum auxílio financeiro ou que certas marcas estavam presenteando internautas com seus produtos. O objetivo das campanhas variou bastante. Enquanto algumas pareciam mais "inofensivos" por apenas tentarem exibir publicidade sem cumprir com o que foi prometido na mensagem, outras procuravam roubar informações pessoais ou até mesmo atacar dispositivos com algum código malicioso.

Detecções de ataques de engenharia social

Ao analisar o comportamento das detecções de ataques de engenharia social na América Latina, o Peru foi o país que registrou o maior percentual, com um pouco mais de 31%, seguido do Brasil com mais de 18% e do México com quase 17%.

Imagem 2. Detecções de ataques de engenharia social por país na América Latina durante 2020.

Como podemos ver, os ataques de engenharia social continuam sendo uma ameaça bastante comum, afetando tanto o público em geral quanto os usuários corporativos. Os cibercriminosos continuam usando essa técnica para roubar informações pessoais e financeiras e como estratégia para realizar ataques mais sofisticados direcionados a órgãos governamentais ou empresas. Provavelmente, o uso dessa técnica esteja relacionado com o constante aperfeiçoamento dos atacantes e com a falta de treinamento e conscientização dos usuários, que em muitos casos ainda não sabem bem o que é phishing, o que os torna ainda mais vulneráveis ​​a cair em armadilhas criados por atacantes.

Veja mais: Campanhas de phishing continuam apresentando crescimento no Brasil

Para evitar ser vítima desses ataques, além de contar com uma solução de segurança confiável e bem configurada, a conscientização é algo fundamental, tanto individualmente quanto à nível corporativo. Para isso, os usuários podem participar de testes que verificam o nível de conhecimento sobre o assunto, enquanto as empresas podem trabalhar na capacitação de seus funcionários para evitar que caiam nesse tipo de golpe.

Outras dicas de segurança para evitar ataques de engenharia social

  • Evite abrir links ou documentos que estejam em e-mails ou mensagens de origem desconhecida, por mais tentadora que seja a promoção ou mensagem.
  • Implemente a autenticação de dois fatores em todos os serviços e aplicativos que contem com esse recurso. Desta forma, o nível de segurança das diferentes identidades digitais pode ser garantido, evitando o acesso indevido em caso de um vazamento de dados.
  • Tente verificar a autenticidade ou origem de uma mensagem por outros meios e evite cair na tentação de responder ou acessar imediatamente a mensagem, sem antes verificar sua legitimidade.
  • Em geral, as instituições financeiras não solicitam informações pessoais, como códigos de segurança, senhas, detalhes de cartão de crédito ou débito, por e-mail ou SMS.
  • O usuário também deve ser responsável pela administração de todas as suas informações e evitar fornecer dados pessoais, especialmente quando a comunicação não tenha sido iniciada pelo próprio usuário.