Engenharia social: o que é Pretexting?

pretexting social engineering scam

Sumário

Compartilhe este artigo:

O pretexting é uma forma de engenharia social cujo objetivo é criar uma bom pretexto, ou situação inventada, para convencer a vítima a fornecer informações pessoais. A seguir, explicamos o que é pretexting e detalhamos as melhores formas de prevenir este tipo de ataque de engenharia social.

Mailfence - Obtenha seu e-mail seguro e gratuito.

4.1 baseado em 177 avaliações de usuários

Mailfence - Get your free, secure email today.

4.1 based on 177 user reviews

O que é pretexting?

Todo brasileiro adora compartilhar um pouco da sua vida pessoal com familiares e amigos sempre que possível. E com cada vez mais redes sociais e aplicativos de mensagens presentes no dia a dia dos usuários, isso nunca foi tão fácil. O problema acontece quando cibercriminosos se aproveitam de informações livremente compartilhadas na internet para enganar seus alvos com mais facilidade.

Esta prática é conhecida como engenharia social e um dos seus mais perigosos exemplos é o pretexting. Como o nome sugere, trata-se de um tipo de golpe em que um pretexto é utilizado para coagir o usuário a revelar informações pessoais e/ou sigilosas. Basicamente, o hacker inventa uma desculpa ou situação falsa para roubar informações que podem ser utilizadas na realização de crimes graves, como roubo de identidade e estelionato.

Os hackers podem se passar por colegas de trabalho, agentes bancários, familiares, ou qualquer outro indivíduo com autoridade ou o direito de solicitar informações sobre a vítima. Em alguns casos, uma voz autoritária, um tom sério e a capacidade de pensar rápido são o suficiente para criar um cenário pretextual. Em outros, informações pontuais facilmente obtidas nas redes sociais, como nome, localização, profissão e data de nascimento, são utilizadas para convencer o alvo.

Um dos aspectos mais importantes desta técnica de engenharia social é a confiança. Quando ela não é estabelecida com sucesso, essa manobra falha. Isso porque uma das condições essenciais para construir confiança é um forte pretexto. Se o pseudônimo ou identidade assumido pelo hacker for minado por deficiências e falta de credibilidade, é mais provável que o alvo não caia no golpe.

Exemplos de pretexting

Como mencionado acima, os pretexters usam diversos cenários do cotidiano para convencer suas vítimas a compartilhar informações valiosas. Abaixo listamos dois exemplos de engenharia social no contexto do pretexting.

1 – Prestação de serviços

Neste cenário, o cibercriminoso se faz passar por um representante comercial de uma empresa prestadora de serviços, como companhias telefônicas ou agências bancárias. Estes agentes então solicitam informações pessoais com o pretexto de confirmar a identidade do alvo. Para ficar mais fácil de entender, aqui vai um exemplo:

Uma pessoa está se passando por um funcionário do seu provedor de internet. O pretexto da ligação, email, ou mensagem é agendar uma manutenção de rotina na sua rede. Seu primeiro instinto é aceitar, já que você não pode se dar ao luxo de ficar sem internet. Quando você se dá conta, já é tarde demais.

O que você pode fazer nesse cenário é dizer que ninguém lhe informou sobre o serviço. Além disso, você pode solicitar detalhes sobre o plano de internet assinado ou fazer perguntas que apenas um funcionário de verdade saberia responder. Lembre-se de verificar suas fontes e ligar diretamente para seu provedor de internet antes de passar qualquer informação.

2 – Brindes e promoções

Você recebe um e-mail ou mensagem pelo WhatsApp com o assunto “BOAS NOTÍCIAS!”. Ao abrir a mensagem você descobre que recebeu um vale-presente gratuito. Ótimo certo? Quem não gosta de ganhar coisas gratis, especialmente vales-presente? É o cenário perfeito para um ataque de engenharia social bem sucedido.

Este tipo de pretexting geralmente envolve o envio de links para formulários onde o usuário deve preencher seus dados pessoais. Afinal, de que outro jeito o brinde poderá ser enviado? O hacker também pode solicitar essas informações de maneira mais direta, como forma de “verificar a disponibilidade” da vítima, ou simplesmente determinar se realmente vale a pena seguir com o golpe.

Nesse cenário, pergunte a si mesmo:

  • Se você é elegível para um vale-presente, a empresa responsável já não deveria saber os detalhes necessários para a entrega?
  • Por que você é elegível para este brinde? O que você fez para isso?
  • Você se cadastrou em alguma competição ou sorteio? Por que você não foi avisado sobre a promoção?

Se você não tiver respostas para estas perguntas, é provável que tudo não passe de um golpe.

3 – Parentes ou amigos necessitados

Para aplicar este tipo de golpe, os cibercriminosos primeiramente reúnem informações sobre o alvo e seu círculo social. Na maioria dos casos tudo o que eles precisam já está disponível nas redes sociais. O passo seguinte é abordar a vítima por meio de um perfil, email ou telefone falso e utilizar as informações coletadas para fazer com que ela acredite que está falando com um parente ou amigo. Após estabelecer confiança, o cibercriminoso inventa um pretexto para pedir ajuda financeira.

Os pretextos mais utilizados neste tipo de golpe são situações inesperadas. O cibercriminoso pode dizer que sofreu um acidente e precisa de ajuda para pagar contas hospitalares ou seguros. Ele pode dizer ainda que foi assaltado e perdeu todos os seus pertences durante uma visita ao exterior. A ideia por trás dessas desculpas é criar uma sensação de urgência, fazendo com que a vítima se sinta obrigada a ajudar o mais rápido possível.

A melhor forma de combater este tipo de golpe é minar o pretexto do cibercriminoso. Se você receber qualquer contato semelhante aos exemplos acima, tente fazer o maior número de perguntas possível sobre a situação, solicitando detalhes que só você saberia sobre a pessoa com quem está (ou pensa estar) falando.

Outra opção é mudar o canal de comunicação antes de passar qualquer informação pessoal ou auxílio financeiro. Por exemplo, se você foi contatado via email, tente contatar este amigo ou parente via telefone; se a mensagem chegar por WhatsApp, use outras redes sociais para continuar a conversa. O golpista provavelmente não terá acesso a todos estes canais e dessa forma você poderá verificar se esta pessoa é realmente quem diz ser.

Exemplos de engenharia social parecidos com o pretexting

Os ataques de engenharia social não se limitam apenas ao pretexting e aos exemplos acima. Os cibercriminosos têm sempre uma nova carta na manga. A melhor solução é armar-se com informações e estar ciente de que tais golpes são sempre uma possibilidade.

Aqui estão outros exemplos de engenharia social parecidos com o pretexting para ficar de olho:

Phishing

O phishing é outro exemplo de engenharia social que visa roubar dados pessoais, como senhas e informações bancárias. Assim como o pretexting, ele se baseia em uma falsa sensação de confiança. No entanto, os hackers que usam este recurso também tendem a enganar suas vítimas criando um falso senso de urgência.

Smishing

O smishing é muito semelhante ao phishing, mas acontece por meio de SMS ao invés de e-mails e links. Daí o nome SMS-ishing. Este tipo de ataque tende a ser mais eficaz, pois hoje em dia o número de telefone é visto como uma informação um pouco mais íntima do que o email. Ou seja, a falsa sensação de confiança já começa pelo canal de comunicação utilizado.

Vishing

O vishing é outra forma de phishing, mas desta vez o golpe acontece por voz (daí o nome, novamente). Como de costume, o engenheiro social se passa por outra pessoa. A diferença é desta vez seu trabalho inclui manipular o alvo verbalmente, sem o auxílio de links e e-mails. Com o tom de voz certo, perguntas pontuais e um pouco de paciência o método pode ser realmente eficaz contra indivíduos desavisados, especialmente pessoas mais velhas que não usam e-mails e SMS.

Whaling

O whaling recebeu este nome por visar vítimas de alto escalão, com acesso a informações extremamente valiosas. Essas vítimas são conhecidas como whales, ou baleias, e podem ser CEOs, gerentes ou quaisquer “peixes grandes” do mundo corporativo.

Como evitar ataques de pretexting?

A ideia por trás do pretexting, assim como em outros exemplos de engenharia social, é explorar as fraquezas humanas para roubar informações pessoais. Isso geralmente acontece por meio de manipulação psicológica, onde emoções são potencializadas para incentivar ações impensadas.

Como você pode perceber, o pretexting é bastante difícil de combater de um ponto de vista técnico. Na maioria dos casos não existem keyloggers ou malwares para culpar pelo vazamento de informações. Além disso, os softwares de antivírus pouco podem fazer se o usuário resolver compartilhar detalhes pessoais voluntariamente.

Por este motivo, a melhor forma de prevenir ataques de engenharia social é a conscientização. Para ajudá-lo a se educar contra todos os tipos de engenharia social, sugerimos que você siga nosso curso de segurança de e-mail e conscientização sobre privacidade. Também aconselhamos fortemente que você se mantenha informado sobre novas formas de engenharia social, especialmente porque elas são uma das ameaças mais comuns à privacidade online e à segurança digital.

Outra boa medida de proteção contra engenheiros sociais é abrir buracos no pretexto. Ao receber qualquer e-mail suspeito solicitando informações pessoais, entre em contato diretamente com a empresa responsável através de seus canais oficiais, ao invés do remetente. O mesmo se aplica a e-mails enviados por amigos e familiares solicitando ajuda. Ligue para eles para confirmar a origem da mensagem. Se o engenheiro social está usando pretexting, seu ponto fraco é o fato de que sua fonte não existe. É tudo fabricado.

Conclusão

Como os engenheiros sociais exploram as fraquezas humanas, tomar medidas de conscientização e seguir boas práticas de segurança online é um ótimo começo. No entanto, isso não garante que sua caixa de entrada não possa ser comprometida. Se a sua conta foi invadida, não entre em pânico e siga estas etapas para recuperar o controle de um email hackeado.

Outra forma de evitar ataques de engenharia social é utilizar uma conta de email segura. No Mailfence, priorizamos a segurança do usuário em todos os momentos. Por este motivo, além de oferecer uma plataforma privada, segura e criptografada, estamos sempre fazendo o máximo para conscientizar nossos usuários sobre a importância da segurança e privacidade de e-mails em geral.

Você tem mais perguntas? Entre em contatado com o nosso suporte e tire suas dúvidas.

Recupere sua privacidade de e-mail.

Crie seu e-mail gratuito e seguro hoje.

Picture of M Salman Nadeem

M Salman Nadeem

Salman trabalha como analista de segurança da informação na Mailfence. Suas áreas de interesse incluem criptografia, arquitetura e design de segurança, controle de acesso e segurança de operações. Você pode segui-lo no LinkedIn @mohammadsalmannadeem.

Recomendado para você