Em engenharia social, o baiting é como um cavalo de Troia digital. Ela explora a curiosidade ou a ganância da vítima para alcançar seus objetivos.
Mas o que torna essa técnica diferente de outros tipos de ataques? E como você pode proteger a si mesmo e sua equipe contra essa armadilha?
Neste guia, exploraremos essas questões e muito mais!
Mailfence - Obtenha seu e-mail seguro e gratuito.
4.1 baseado em 177 avaliações de usuários
O que é Baiting na engenharia social?
Antes de mergulharmos no baiting, vamos recapitular o que é engenharia social.
Trata-se de um conjunto de técnicas que exploram a natureza humana para induzir comportamentos e erros que levam a uma segurança enfraquecida.
O principal objetivo de um ataque de engenharia social é convencer a vítima a revelar informações confidenciais (como credenciais de login) e/ou fazer o download inadvertido de malware (na forma de um anexo de e-mail, por exemplo).
O baiting é uma forma de engenharia social que usa uma “isca” para atrair as vítimas. Essa isca pode ser uma recompensa, um produto gratuito, ou qualquer coisa de desperte o interesse do alvo.
Ele é diferente de um ataque quid pro quo, em que a vítima pode se sentir obrigada a “retribuir o favor”, mas semelhante aos ataques de phishing em muitos aspectos.
Os ataques de phishing geralmente se baseiam no medo e na urgência para incitar suas vítimas a agir. Os ataques de baiting, por outro lado, usam a promessa de algo desejável, como downloads gratuitos, para convencer as vítimas a compartilharem suas informações pessoais.
Como funciona o baiting?
O objetivo principal do baiting é roubar as credenciais do usuário ou instalar um malware em seus dispositivos.
Uma maneira de fazer isso é por meio do uso de dispositivos USB infectados:
- Funcionários de empresas-alvo podem receber unidades USB infectadas como “brindes” por participarem de pesquisas;
- Unidades USB infectadas também podem ser deixadas em áreas comuns, como saguões de empresas, para que os funcionários simplesmente as peguem no caminho de volta à área de trabalho;
- Estes dispositivos contaminados também podem ser marcados com rótulos como “Confidencial” ou “Informações sobre salários”, tornando-os tentadores demais para alguns funcionários.
No entanto, os ataques de baiting podem ser tão simples quanto um banner de publicidade em um site que promete um iPhone gratuito. Você também já deve ter recebido e-mails prometendo algum tipo de recompensa em Bitcoin. Esses também são ataques de baiting.
Exemplos reais de baiting
Agora que já falamos sobre a teoria, vamos conferir exemplos reais de ataques de baiting.
Unidades USB infectadas
Em 2021, o FBI emitiu um aviso público sobre uma campanha de baiting generalizada direcionada a empresas e órgãos governamentais.
Os criminosos cibernéticos enviaram pelo correio unidades USB infectadas disfarçadas de brindes promocionais para funcionários desavisados. As unidades flash continham um malware que era ativado após a inserção, permitindo que os hackers obtivessem acesso remoto às redes corporativas.
O ataque funcionava assim:
- Etapa 1: Os funcionários recebiam um pacote com uma unidade USB com o rótulo “Conteúdo bônus – Treinamento da empresa” ou “Cartão-presente gratuito da Amazon”.
- Etapa 2: A unidade USB continha um software mal-intencionado disfarçado como um documento ou vídeo legítimo.
- Etapa 3: Quando conectado, o dispositivo automaticamente instalava softwares maliciosos, como trojans de acesso remoto (RATs) e keyloggers, permitindo que os invasores roubassem credenciais de login.
- Etapa 4: Com as credenciais roubadas, os invasores acessavam os sistemas corporativos e exfiltravam dados confidenciais.
As lições aprendidas com esse ataque incluem:
- Nunca insira unidades USB desconhecidas em um dispositivo pessoal ou de trabalho.
- Use um software de proteção de endpoint para detectar e bloquear dispositivos USB não autorizados.
- Instrua seus funcionários sobre o baiting e outras táticas de engenharia social para evitar ataques semelhantes.
Reconhecendo e prevenindo ataques de baiting
Vejamos agora um processo passo a passo que você pode seguir para reconhecer ataques de baiting antes que seja tarde demais.
Etapa 1: Reconheça os sinais comuns de alerta
Esses são alguns dos sinais de alerta mais comuns presentes em ataques de baiting:
🚩 Ofertas gratuita:
- Promoções falsas: “Baixe este software premium de graça!”
- Brindes falsos: “Ganhe um cartão-presente gratuito da Amazon – basta fazer login para reivindicar o seu.”
- Unidades USB ou gadgets gratuitos deixados em locais públicos: “USBs com a marca de uma empresa encontrados em centros de conferência, saguões ou estacionamentos.”
🚩 Fontes desconhecidas ou suspeitas:
- Se você receber uma unidade USB, um código QR ou um anexo de e-mail de um remetente desconhecido, isso é um sinal de alerta.
- Se um anúncio pop-up alegar que você ganhou algo sem participar de um concurso, é provável que trate-se de um ataque de baiting.
🚩 Comunicações que criam um falso senso de urgência:
- “Oferta por tempo limitado! Apenas os primeiros 100 usuários receberão esse serviço gratuito.”
Etapa 2: Evite armadilhas
✅ Nunca use unidades USB desconhecidas
- Se você encontrar uma unidade USB, não a conecte – informe a equipe de TI.
- Se um evento ou empresa distribuir dispositivos gratuitos, verifique-os com um software de segurança de endpoint antes de usá-los.
✅ Ignore downloads “gratuitos” e brindes on-line
- Evite o download de softwares de sites suspeitos. Use apenas fontes oficiais.
- Se um e-mail ou anúncio oferecer um serviço premium gratuito, verifique-o no site oficial da empresa.
✅ Seja cético com relação a códigos QR
- Não escaneie códigos QR de panfletos, pôsteres ou adesivos desconhecidos colocados em locais públicos.
✅ Use um software de segurança para bloquear tentativas de baiting
- Ative as restrições de dispositivos USB nos computadores de trabalho.
- Use filtros de e-mail para bloquear promoções fraudulentas e brindes falsos.
- Instale um bloqueador de anúncios para evitar ataques de malvertising.
✅ Use uma solução de e-mail privada e segura
- Use uma solução de e-mail como o Mailfence, que oferece uma forte filtragem anti-spam. Ao filtrar automaticamente os e-mails antes que eles cheguem à sua caixa de entrada, você evitará a maioria dos ataques de isca.
Baiting na engenharia social: Considerações finais
A melhor defesa contra o baiting e qualquer outro esquema de engenharia social é a conscientização. Cada um de nós deve promover uma forte cultura de segurança, seja no ambiente de trabalho ou em casa.
Além disso, é importante considerar a “segurança da sua empresa” como uma parte essencial de suas responsabilidades individuais. Especificamente em relação ou baiting, cada indivíduo deve conversar abertamente com sua família, amigos e colegas e avisá-los sobre os perigos da engenharia social.
Existem muitas outras dicas que você pode seguir para evitar esquemas de engenharia social. Para saber mais sobre como proteger seu computador, clique aqui. Nosso curso de conscientização sobre segurança e privacidade de e-mail também é uma ótima fonte de informações sobre o tópico e pode ajudar você a se proteger melhor contra a engenharia social.
