O Brasil possui diversas particularidades, tanto por suas dimensões continentais quanto pelas características regionais de cada parte do país. Isso também se reflete no universo da segurança digital. Existem períodos do ano em que determinados tipos de ataques se tornam mais frequentes e, com a aproximação do final do ano, essa sazonalidade tende a destacar um tipo específico de ameaça.

Independentemente das sazonalidades, é fundamental lembrar que diversos tipos de ataques são realizados por cibercriminosos ao longo do ano, e nenhum deve ser negligenciado. Entretanto, na reta final do ano, os ataques de engenharia social se destacam como uma das técnicas mais utilizadas. Essas técnicas consistem em interagir com a vítima e persuadi-la a realizar ações que favoreçam os criminosos. Esse tipo de ataque é particularmente perigoso porque pode ocorrer sem o uso de meios tecnológicos, tornando-se, muitas vezes, indetectável por ferramentas de proteção. Em muitos casos, a vítima é levada a fornecer informações de forma voluntária.

A seguir, estão os principais tipos de ataques de engenharia social utilizados atualmente:

  • Phishing: Consiste no envio de mensagens falsas por e-mail, induzindo a vítima a realizar ações prejudiciais, como clicar em links maliciosos ou fornecer dados pessoais.
  • Spear Phishing: É uma versão mais sofisticada do phishing. Neste ataque, os criminosos utilizam informações específicas e direcionadas à vítima, coletadas previamente em redes sociais ou outros meios, para aumentar a eficácia da abordagem.
  • Smishing: Similar ao phishing, mas realizado por SMS. Os criminosos costumam usar estratégias para tornar a mensagem mais convincente, como o uso de números curtos de envio, que aparentam maior legitimidade.
  • Vishing: Ataques realizados por telefone. Os criminosos têm sofisticado essa técnica, utilizando falsas centrais de atendimento para enganar as vítimas.

Seja por meio de engenharia social ou outros tipos de ataques, os cibercriminosos geralmente buscam dois desfechos principais: a coleta de informações ou a propagação de malware.

Quando o objetivo é a coleta de informações, os criminosos induzem a vítima a fornecer dados voluntariamente, muitas vezes por meio de falsas promoções, como descontos em eletrônicos ou passagens aéreas, ou até mesmo por notificações de supostas dívidas. Normalmente, a vítima é redirecionada para uma página que solicita informações como nome, endereço, documentos e dados de cartão de crédito.

No caso da propagação de malware, esses softwares maliciosos podem realizar diversas ações prejudiciais e permanecer nos dispositivos das vítimas por tempo indeterminado.

Segundo nossa telemetria, os malwares mais detectados no Brasil em 2024 foram:

  • Trojan: 44,59%
  • Injector: 27,49%
  • Downloader: 12,20%
  • Exploit: 5,46%
  • Spyware: 3,16%
  • Outros: 7,10%

Cada categoria tem milhares de variantes, mas, de forma geral:

  • Trojan: Software malicioso oculto em arquivos legítimos, usado para infectar dispositivos.
  • Injector: Insere códigos maliciosos em sistemas ou aplicativos legítimos.
  • Downloader: Primeira etapa do ataque, analisa o sistema e faz o download da ameaça principal se não houver barreiras de proteção.
  • Exploit: Explora vulnerabilidades em sistemas e softwares, permitindo interação maliciosa mesmo sem contato direto com as vítimas.
  • Spyware: Espiona a vítima, coletando senhas, monitorando teclados, capturando telas ou ativando webcams.

Independentemente do método, é possível adotar medidas para se proteger:

  • Desconfie de tudo que receber de forma passiva, ou seja, que você não tenha solicitado previamente. Uma parcela significativa das interações maliciosas se inicia desta forma, seja via e-mail, SMS, telefone ou quaisquer outros meios.
  • Sempre busque pelo site oficial das empresas. Caso esteja em dúvida se alguma comunicação possa ser legitima ou não, acesse o site da empresa e pesquise pela informação recebida. Também é possível entrar em contato com a empresa através dos meios oficiais, geralmente encontrados no site.
  • Não preencha seus dados em sites pouco confiáveis. Um formulário aparente inofensivo pode enviar suas informações mais sensíveis diretamente para a mãos dos cibercriminosos. Caso não conheça previamente a reputação de um site, procure informações sobre ele em seu mecanismo de busca favorito ou em sites como o Reclame Aqui. Caso não existam informações é um indício ruim e pode se tratar de um site malicioso.
  • Mantenha softwares e sistemas operacionais atualizados. Algumas das tentativas de ataque pretendidas pelos cibercriminosos interagem diretamente com o Sistema Operacional ou aplicativos que a vítima possa ter para se aproveitarem de eventuais vulnerabilidades. Mantê-los sempre atualizados garante que todas as correções necessárias identificadas pelo fabricante do software sejam aplicadas, isso diminui bastante a chance de sucesso de abordagens maliciosas.
  • Tenha um software de proteção instalado em todos os dispositivos. Um software de proteção trabalhara para impedir que diversos tipos de interações maliciosas aconteçam no dispositivo, mesmo que essas interações não precisem de nenhum tipo de interação com os usuários destes dispositivos. Vale lembrar que o software de proteção também deve estar atualizado e configurado para barrar estas ameaças.

Com essas práticas, você reduz significativamente as chances de se tornar vítima de cibercriminosos e garante mais segurança digital para o final do ano.