Qual é sua conta online mais importante? Provavelmente seu banco, certo? E com razão — a maioria dos cibercrimes e golpes tem motivação financeira.

Hoje, vamos analisar um caso real que vai elevar seu conhecimento sobre segurança digital e mostrar como ataques de vishing combinados com engenharia social podem ser devastadores, mesmo para especialistas.

Pronto para adicionar "especialista em defesa contra engenharia social" ao seu conjunto de habilidades? Bora lá.

O que realmente aconteceu? 🔍

Mitch (nome fictício que o jornalista que publicou a história deu para o homem, que ficou muito envergonhado, por sinal) não é uma vítima comum. Como veterano no setor de tecnologia e com vários anos de experiência na área de cibersegurança de um serviço de computação em nuvem, Mitch achava que conhecia muito bem as ameaças no mundo digital — até que foi vítima de um ataque simples, mas muito bem executado.

Veja como aconteceu:

Sexta-feira: O primeiro contato

Mitch recebeu uma ligação. Um suposto funcionário do banco informou sobre atividades suspeitas na conta dele. O número parecia legítimo, igual ao impresso no cartão de débito.

Ele desconfiou, pois sabia que é possível falsificar números de telefone (também conhecido como spoofing de ligações).

Depois verificou. Enquanto ainda estava na ligação, Mitch fez login na sua conta e viu que algumas semanas atrás várias transações não autorizadas de menos de US$ 100 cada haviam sido realizadas. Mas, havia também dois saques bem recentes de US$ 800 feitos desde caixas eletrônicos no estado da Flórida; detalhe: Mitch morava na Califórnia. De fato, havia atividades suspeitas na conta dele.

A mulher que estava falando com ele não pediu nenhuma informação pessoal do Mitch. Ela disse que o banco ia reverter essas transações fraudulentas e enviar um novo cartão de débito. O golpista não levantou suspeitas.

Sábado: A armadilha se fecha

Outra ligação. De novo, sobre atividades suspeitas na conta bancária do Mitch. Ele achou a conversa um pouco estranha e decidiu verificar.

Ele usou outro telefone para ligar para o departamento de atendimento ao cliente do banco. Ele pediu para o atendente lhe informar se havia outra ligação em andamento com ele nesse momento. O atendente confirmou: sim, alguém do banco estava falando com o “Mitch” numa outra linha. Parecia mesmo que Mitch estava falando com atendentes legítimos do banco… Só que não! Um dos golpistas ligou para o banco antes que o Mitch e fingiu ser ele. Então sim, para o banco, Mitch tinha duas ligações em andamento com diferentes atendentes.

Depois de verificar com o atendente, Mitch desligou e voltou para a primeira ligação, muito confiante 🚨 . O “atendente” disse que o banco ia enviar um código único para verificar a identidade do Mitch. Como o banco já tinha feito isso antes, Mitch deu o código que ele recebeu por SMS para esse “atendente”.

Domingo: A falsa tranquilidade

Então, tudo resolvido? Mitch entrou na sua conta várias vezes e não viu nenhum outro sinal de atividade suspeita. Aparentemente, ele não tinha mais nada do que se preocupar.

Segunda-feira: A terrível descoberta

Ao fazer login, Mitch viu uma transferência de US$ 9.800 para outra conta bancária. Aí que a ficha caiu. As ligações que ele tinha recebido na sexta-feira e no sábado eram de golpistas, não do banco.

O departamento de fraude do banco confirmou as suspeitas. Um tempo depois de notificar ao banco o que aconteceu, o investigador do banco informou que outro homem tinha ligado no sábado fingindo ser o Mitch, fornecido o código único que foi enviado por SMS para o celular do Mitch (e que ele acabou dando para os golpistas) e iniciado a transferência.

A transferência foi enviada para outra conta num banco 100% digital, também no nome do Mitch. Claro, o verdadeiro Mitch não tem conta nesse banco. Os golpistas roubaram a identidade dele para abrir essa nova conta e não levantar suspeitas, já que, do ponto de vista do banco, Mitch parecia estar enviando dinheiro de uma das suas contas para a outra.

Desfecho da história

Felizmente, o banco do Mitch deu um jeito de reverter a transferência não autorizada, devolver o dinheiro dele para a sua conta e emitir um novo cartão para ele. Infelizmente, o Mitch precisou limpar a bagunça que os golpistas fizeram; teve que limpar seu nome com o banco digital. Se recuperar depois de um roubo de identidade nunca é fácil.

O que Mitch já sabia (e você precisa saber também)

Mitch conhecia as táticas dos golpistas. Sabia que o ID das chamadas pode ser falsificado (spoofing), que os criminosos e golpistas tentam manipular e enganar por meio de ligações (vishing) e como é perigoso falar códigos únicos de verificação pelo telefone.

Apesar desse conhecimento, a combinação de vários fatores o levaram a ignorar seus próprios instintos de segurança.

• A primeira ligação (na sexta-feira) preparou o cenário para o golpe do dia seguinte
  Os golpistas fizeram o Mitch acreditar que o banco estava ciente de possível fraude na conta bancária dele, quando na verdade não estava. Além disso, não pediram nenhuma informação nem ação da parte do Mitch.

• Quando ele ligou para o banco no sábado, o atendente fez uma pergunta estranha

  Enquanto o Mitch tentava verificar se ele estava falando mesmo com o banco, o atendente (legítimo) lhe perguntou se ele estava visitando a sua família na Flórida. Mitch respondeu que ele não tinha família lá.
  
  Tudo fez mais sentido quando o investigador do departamento de fraude do banco contou para ele na segunda-feira seguinte que os golpistas tinham adicionado um falso “aviso de viagem” na conta para que o banco não suspeitasse de transações feitas na Flórida com um cartão de um cliente que morava na Califórnia.

• Um dos falsos atendentes deu informação errada para o Mitch
  Ela pediu para o Mitch dizer seu endereço atual. Em vez de simplesmente dizer, ele pediu para ela ler o endereço que eles tinham no sistema, e ela leu o endereço da casa em que ele tinha se criado. Mitch acha que ela estava usando informação disponível em registros públicos, que não estava totalmente atualizada e que eles tinham feito alguma pesquisa para tornar o ataque mais eficaz.

Mitch se arrependeu de não ter prestado atenção a esses sinais.

O puro poder da engenharia social

O mais impactante dessa história? Os golpistas nem precisaram:

• Hackear as contas do Mitch

• Instalar malware (software malicioso) em seus dispositivos

• Roubar suas senhas

• Burlar os sistemas de segurança do banco

Tudo foi realizado através de engenharia social. A confiança excessiva de Mitch em seu conhecimento de segurança na verdade trabalhou contra ele, criando um ponto cego que os golpistas exploraram magistralmente.

"Beleza, mas o que isso tem a ver comigo?"

Acho que ninguém vai se perguntar isso quanto à história desta semana.

Se um profissional de segurança pode ser (e, de fato, já foi) vítima desse tipo de ataque, que chance os usuários comuns têm? Este incidente demonstra que medidas técnicas de segurança, embora importantes, podem ser burladas por engenheiros sociais habilidosos que miram no elo mais fraco de qualquer sistema de segurança: a psicologia humana.

E para essas vulnerabilidades no cérebro humano não há nenhum patch de segurança automático.

A dura verdade: algumas coisas estão além do seu controle

• Bancos não podem impedir golpistas de falsificar seus números de telefone.

• Vazamentos de dados podem expor seu histórico de transações.

• Alguns dos seus dados pessoais estão em registros públicos.

• Golpistas evoluem constantemente (é o trabalho deles!).

Princípios de segurança sólida 🔐 

• Nunca compartilhe senhas de uso único: Senhas ou códigos de uso único enviadas para seu telefone por SMS NUNCA devem ser compartilhadas com ninguém, incluindo pessoas que alegam ser do seu banco. Use um aplicativo autenticador sempre que possível (veja como aqui).

• Desacelere: Engenheiros sociais contam com a urgência para anular seu pensamento crítico; tirar um tempo para pensar é sua defesa mais forte.

• Bancos legítimos jamais pedirão códigos de uso único enviados para seu telefone.

Desafio: “Agora vou achar que tudo é golpe?”

Sejamos honestos, seguir as melhores práticas de segurança pode ser demorado quando você está ocupado, irritante quando você está tentando lidar com um problema legítimo, ou constrangedor quando alguém parece tão convincente e prestativo.

Aquele momento de desligar na cara de alguém que pode realmente estar tentando ajudar pode ser desconfortável. Mas esse desconforto é um preço pequeno a pagar comparado ao impacto financeiro e emocional de ser vítima de um golpe.

Seu Salvador: Você mesmo

Isso mesmo. Suas habilidades de pensamento crítico são sua ferramenta de segurança mais valiosa.

• Desconfie dos sinais de alerta (urgência, pedidos de códigos, informações pessoais)

• Desligue imediatamente e sem explicação.

• Ligue para o número oficial no seu cartão, aplicativo, ou site do banco

• Confirme a legitimidade antes de compartilhar qualquer informação

Implementar esse processo de quatro etapas cria uma barreira de segurança que nenhum engenheiro social pode penetrar, independentemente de quão convincente ele pareça.

A diferença entre ser vítima ou não? Estar sempre um passo à frente, desconfiando primeiro e confiando depois.

Lembre-se: No mundo da cibersegurança, paranoia saudável não é apenas aceitável, é essencial.

O que achou da edição desta semana? Precisa de ajuda para implementar alguns dos passos do plano de ação? Não sabe por onde começar? Quer um plano mais personalizado? Responda este email ou deixe um comentário. Prometo ler e responder 😁 

Se este conteúdo foi útil, pode compartilhar com alguém que você se importa 😉