top of page
Buscar

Baiting, Pretexting e Impersonation: 3 Armas de Ludibriação

Atualizado: 6 de nov. de 2024


Baiting, Pretexting e Impersonation: 3 Armas de Ludibriação

O que significa "ludibriar"?

Olá, caro leitor. Foi difícil achar o significado deste verbo! Mas, vamos lá! "Ludus" significa brincar/jogar. Sua origem vem do latim "illusio", que equivale a ironia / deboche.


Estas últimas palavras têm como sinônimos os verbos escarnecer, zombar, enganar e burlar. Isto significa coisa má-intencionada - manipulação emocional / psicológica, vero?!


Com o tempo, ganhou as conotações de "esperar por um erro de avaliação" (ilusão de que tudo vai dar certo), e também de "induzir o outro ao engano".


Armas da Engenharia Social

Vejamos - temos um ótimo artigo sobre este tema - mas não vamos nos repetir! Se você ainda não leu, está mais vulnerável aos golpes e fraudes - Leia aqui!


Além disso, se você não conhece os golpes mais comuns, fica mais fácil ser ludibriado. Afinal, acreditamos antes de duvidar, nos deixamos levar pelas emoções e não prestamos atenção...


 

Baiting - O que É?

A palavra "bait" significa "isca" - ou seja, algo que serve para atrair potenciais vítimas. O malfeitor faz algo que capta a atenção da pessoa, que acaba "caindo" na armadilha.


Quando falamos em CyberSegurança, trata-se de uma técnica na qual os atacantes podem utilizar desde links maliciosos em e-mails, até downloads falsos de software ou mesmo dispositivos USB infectados.


No entanto, conforme as designações usadas em Segurança Cibernética, o Baiting é um tipo de Phishing, mas que faz uso de dispositivos/equipamentos (como Pen-Drives e Sniffers) para “armar” o golpe.


Nem tudo que reluz é ouro

Nos golpes de Baiting, geralmente se oferece às vítimas uma recompensa atraente ou brinde gratuito. Afinal, quem não gosta de um "regalito"?!


São ofertas tentadoras e quase que impossíveis de resistir (acessos ilimitados/gratuitos, filmes, downloads, etc). Leia nosso artigo "Mega-Oferta Tentadora - Uma Fraude Pode Estar à Espreita…"


Noutras vezes, o brinde é palpável – como um equipamento com conector USB, um pen-drive novo, um DVD, ou outro item/apetrecho.


Mas o Baiting também pode ser feito de forma aparentemente não-direcionada. Continue lendo!


Exemplos de Golpes Tipo Baiting

1 - Rubber Ducky (Dispositivo USB infectado)

O Rubber Ducky é uma técnica de Baiting que usa dispositivos USB infectados (pen-drives), geralmente “deixados” em áreas de grande circulação (salas de espera, estacionamentos, etc)


Ele executa scripts maliciosos, que podem roubar credenciais, instalar backdoors e danificar dispositivos via malwares.


Leia nosso artigo especial "Dispositivo Achado - O Que Pode dar Errado?"


Uma vez que a vítima interage com a "isca", isto pode resultar em comprometimento da segurança - como infecção por malware ou divulgação de informações confidenciais.


Esses malwares são conhecidos como “payloads”. Além do Rubber Ducky – que se refere a pen-drives contaminados, esses payloads podem vir em DVDs e até arquivos.


O atacante, visando atrair a atenção, pode escrever algo como “folha de pagamento”, lista de contatos ou outra frase que gere curiosidade.


2 - Evil Twin (Gêmeo do Mal)

Uma das maneiras mais fáceis de encontrar vítimas "exploráveis" é criar um falso ponto de acesso wireless (sem fio). Ele servirá como uma "ponte" até a rede verdadeira.


O atacante irá inevitavelmente "fisgar" algumas vítimas, oferecendo o conhecido (mas infelizmente duvidoso) "Wi-Fi gratuito".


Neste golpe, a vítima precisa tomar uma ação - que é simplesmente encontrar o ponto de acesso wireless e se conectar. Basta isso!


Este ataque não visa uma vítima específica, mas a maior quantidade possível de potenciais vítimas, que vão cair no golpe ao iniciarem a conexão ao ponto falso.


Os atacantes usam nomes idênticos ao ponto de acesso verdadeiro, é torna-se difícil distinguir o real da “cilada”.


 

Pretexting – O que É?

A palavra pretexto na nossa língua define exatamente o termo Pretexting:


De acordo com a etimologia, pretexto é “a razão que se alega para ocultar o verdadeiro motivo de uma ação ou omissão; alegação, desculpa".


Ou seja, é uma forma de manipulação (Engenharia Social) que visa construir a sensação de (falsa) confiança nas vítimas.


Quais são as “Manhas” usadas no Pretexting

  • Os criminosos criam histórias convincentes

  • Os enredos são detalhados e eles têm boas narrativas

  • Os malfeitores podem se fazer passar por pessoas de confiança, ou até autoridades

  • Muitas vezes usam identidades falsas

  • Podem usar vários meios para abordar seus alvos: e-mails, ligações, mensagens, ou pessoalmente


Objetivos do Pretexting

O que o atacante deseja são informações, que lhe sejam de valia e facilitem perpetrar outros crimes – geralmente cibernéticos.

As vítimas normalmente caem em golpes ao fornecerem/divulgarem senhas, números de contas ou outras informações sensíveis.


Em muitos casos, o atacante consegue obter informações da vítima sem ao menos perguntar diretamente sobre aquela questão em particular.


Exemplo de Pretexting

Infelizmente está muito comum ouvirmos falar de pessoas que receberam ligações suspeitas. O atacante alega ser alguém conhecido do alvo, até mesmo um familiar.


O criminoso alega que sofreu um acidente, o que precisa que vá buscá-lo por algum motivo. A vítima, devido ao senso de urgência/preocupação, toma atitude (e cai no golpe…)


Aqui a pessoa mal-intencionada usou uma “desculpa” (pretexto) para captar a atenção da vítima.


E, para isso, já tinha o número de contato de pessoas relacionadas. Olha o perigo...


 

Impersonation: Uma Modalidade de Pretexting

Existem muitos golpes de Engenharia Social, e cada um recebe um nome em inglês. Alguns se parecem a outros, mas existem pequenos detalhes que os diferenciam.


Este é o caso do Impersonation. Aqui, como no Pretexting, usa-se uma história falsa objetivando criar um vínculo de confiança. Vamos entender então qual a diferença.


O que Significa Impersonation?

Traduzindo toscamente, seria impersonar. Mas talvez a palavra mais adequada seja representar. A palavra raiz é “persona” (pessoa). Ou seja, impersonar equivale a se fazer passar por outra pessoa.


Qual a Diferença entre Pretexting e Impersonation?

O Impersonation se difererencia do Pretexting porque ocorre exclusivamente face a face (interação direta do atacante com o alvo).


Ele se faz passar por algum funcionário de empresa/fornecedor, alguma autoridade ou prestador de serviços. Mas também pode ser um estranho/desconhecido numa fila ou outro local.


O atacante, neste golpe, é conhecido como “interrogador”. Isto porque ele interage com a vítima, através de bate-papo e conversas que podem até parecer triviais.


Como o Atacante Age e Coleta Informações

De maneira descontraída e informal, ele vai coletando informações sobre as opiniões, valores, objetivos e atividades do alvo. Ele vai direcionando e tomando controle da conversa, de modo paciente.


Se ele fizer muitas perguntas, pode despertar a desconfiança e a interação pode ser “quebrada”. O interrogador, além da ”lábia” e de um bom pretexto, é observador.


Como Você está sendo Analisado

Pessoas mal-intencionadas estão prestando atenção e observando nossos gestos, ações e comportamentos físicos – como as câmeras de segurança. Veja o que eles observam:


  • Sua postura e linguagem corporal

  • Se você fica com o rosto vermelho ao ouvir/falar sobre algo

  • A direção do seu olhar e o movimento das suas mãos

  • As expressões faciais, especialmente da boca

  • Alterações na sua voz, como mudança de tom, velocidade e volume


Exemplo de Impersonation

Outro golpe comum é alguém se fazer passar por um prestador de serviço. O atacante pode até fazer uso de identidade, uniforme e crachá falsos.


Isto acontece dentro de empresas – como um falso funcionário de TI que alega precisar fazer manutenção nos equipamentos, ou outro prestador de outro serviço.


Mas também pode acontecer conosco, em qualquer lugar: numa fila, num evento, numa loja ou até mesmo em casa – um falso entregador (delivery) ou falso funcionário...


 

Recomendações Importantes

Em vários Posts do TheWebGuardian fornecemos dicas valiosas para nos protegermos dessas ameaças, fraudes e golpes. Releia nossos artigos e compartilhe as infos.


Mas talvez o mais importante é nos conscientizarmos que no mundo digital, quanto menos falamos, publicamos e divulgamos, menores as chances de ficar exposto (e ser “descoberto”).


Tudo é Phishing! Estamos num grande aquário – peixinhos, peixões e grandes caçadores. Estamos sendo servidos com a mesma isca. O conhecimento, no entanto, pode evitar que seja fisgado.


NOS VEMOS NOS PRÓXIMOS POSTS!

2023 - Criado e Desenvolvido por TheWebGuardian - Blog Informativo sem fins lucrativos.

bottom of page