O que é pretexting?

“Confiança” é o “golpe” aplicado pelo “golpista”. A história do pretexto é como a confiança da vítima é conquistada em ataques direcionados de engenharia social, como spear phishing, whale phishing and comprometimento de e-mail comercial (BEC). Mas os cibercriminosos (e meros criminosos terrestres) também podem usar apenas pretexting para roubar informações ou ativos valiosos de indivíduos ou organizações.

Um agente de ameaças geralmente cria uma situação falsa para a vítima e se apresenta como uma pessoa confiável que pode resolvê-la. No livro Social Engineering Penetration Testing, os autores observam que a maioria dos pretextos é composta por dois elementos primários: um personagem e uma situação.¹

O personagem é o papel que o golpista desempenha na história. Para criar credibilidade junto à vítima em potencial, o golpista costuma se passar por alguém com autoridade sobre a vítima, como um chefe ou executivo ou alguém em quem a vítima tende a confiar. Esse personagem (falso) pode ser um colega de trabalho, funcionário de TI ou prestador de serviços. Alguns invasores podem até tentar se passar por um amigo ou ente querido da vítima pretendida.

A situação é o enredo da história falsa do golpista — o motivo pelo qual o personagem (golpista) está pedindo que a vítima tome alguma atitude. As situações podem ser genéricas, como: "Você precisa atualizar as informações da sua conta". Ou a história pode ser específica, especialmente se o golpista estiver mirando em uma vítima em particular: "Preciso da sua ajuda, vovó".

Para tornar suas personificações e situações de caráter críveis, os agentes de ameaças geralmente pesquisam seu personagem e alvo online. E essa pesquisa não é difícil. De acordo com algumas estimativas, os hackers podem criar uma história convincente, com base em informações de feeds de redes sociais e outros recursos públicos (como Google ou LinkedIn) após apenas 100 minutos de pesquisa online.

O spoofing (falsificação de endereços de e-mail e números de telefone para fazer parecer que uma mensagem vem de outra fonte) pode tornar os cenários de pretexting mais confiáveis. Ou os agentes de ameaças podem ir ainda mais longe e sequestrar a conta de e-mail ou o número de telefone de uma pessoa real para enviar a mensagem de pretexting. Há até histórias de criminosos que usam inteligência artificial para clonar as vozes das pessoas.

O pretexting é um componente essencial de muitos tipos de táticas de engenharia social, inclusive:

• Phishing
• Baiting (isca)
• Tailgating

O pretexting é comum em ataques de phishing direcionados, como o spear phishing, que tem como alvo um indivíduo específico, e o whaling, que visa um executivo ou funcionário com acesso privilegiado a informações confidenciais ou sistemas.

Mas o pretexting também desempenha um papel em golpes não direcionados de phishing por e-mail “spray-and-pray”, phishing de voz (vishing) ou phishing de texto SMS (smishing).

Por exemplo, um golpista pode enviar uma mensagem de texto, “[Nome do banco global aqui]: Sua conta está no vermelho” para milhões de pessoas, esperando que uma porcentagem dos destinatários sejam clientes do banco e que alguma porcentagem desses clientes possa responder à mensagem. Mesmo uma pequena porcentagem de vítimas pode representar uma grande quantia para os golpistas.

Nesses tipos de ataques, um criminoso engana uma vítima para que ela baixe malware, seduzindo-a com uma isca atraente, mas comprometida. A isca pode ser física, como um pen drive carregado com código malicioso e deixado visivelmente em um local público. Ou a isca pode ser digital, como publicidade de downloads gratuitos de filmes que acabam sendo malware.

Os golpistas costumam usar pretexting para tornar a isca mais atraente. Por exemplo, um golpista pode colocar etiquetas em um pen drive comprometido para sugerir que ele pertence a uma empresa específica e contém arquivos importantes.

O pretexting também pode ser usado para golpes presenciais, como tailgating. Também chamado de "piggybacking", o tailgating ocorre quando uma pessoa não autorizada segue uma pessoa autorizada até um local físico que necessita de liberação, como um prédio de escritórios seguro. Os golpistas usam a técnica de pretexting para tornar mais bem-sucedidas suas tentativas de tailgating, como, por exemplo, se passando por um entregador e pedindo a um funcionário desprevenido que abra uma porta trancada para eles.

Os golpes de impostores, como o pretexting, são o tipo mais comum de fraude, de acordo com a Federal Trade Commission, com perdas relatadas de US$ 2,7 bilhões para esses golpes no ano passado.² Alguns dos tipos mais comuns de golpes de pretexting incluem:

• Golpes de atualização de conta
• Golpes de comprometimento de e-mail comercial
• Golpes de criptomoedas
  
• Golpes em avós
• Golpes de faturas
• Golpes do IR e do governo
• Golpes de ofertas de emprego
  
• Golpes românticos e golpes sociais
• Golpes de scareware

Nesse ataque cibernético, o golpista finge ser representante de uma empresa que está alertando a vítima sobre um problema em sua conta, como informações de cobrança perdidas ou uma compra suspeita. O golpista inclui um link que leva a vítima a um site falso, roubando suas credenciais de autenticação, informações do cartão de crédito, número da conta bancária ou número da previdência social.

O comprometimento de e-mail comercial (BEC) é um tipo de ataque de engenharia social direcionada que depende fortemente do pretexting. 25% de todos os ataques BEC agora começam com pretexting.

No BEC, o personagem é um executivo da empresa da vida real ou um associado de negócios de alto nível com autoridade ou influência sobre o alvo. Como o golpista finge ser alguém em uma posição de poder, muitos alvos simplesmente cumprirão.

A situação é a necessidade de ajuda do personagem em uma tarefa (quase sempre) urgente. Por exemplo, “Estou preso em um aeroporto e esqueci minha senha do sistema de pagamento. Você pode, por favor, me lembrar?" ou “Você pode transferir US$ XXX, XXX para a conta bancária #YYYYY para pagar a fatura anexa? Rapidamente, antes que cancelem nosso serviço.”

Ao se passar por um chefe por meio de mensagens de texto, e-mails, telefonemas e até mesmo vídeos gerados por IA, os golpistas muitas vezes podem enganar os funcionários para que exponham informações confidenciais ou até mesmo cometam crimes.

Em um caso famoso, uma webconferência pré-gravada (e gerada por IA) terminou com instruções da falsa liderança sênior, que convenceu um funcionário a transferir HKD 200 milhões para os invasores.⁴

Ano após ano, o BEC se classifica entre as técnicas de engenharia social mais caras em termos de cibercrimes. De acordo com o relatório do custo das violações de dados da IBM, as violações de dados causadas por BEC custam às organizações vítimas uma média de US$ 4,88 milhões.

De acordo com dados do Internet Crime Complaint Center do FBI, o BEC resultou em perdas totais de quase US$ 2,9 bilhões para as vítimas em 2023.³

Fazendo-se passar por um investidor bem-sucedido com uma oportunidade infalível de criptomoedas, o golpista direciona a vítima para uma bolsa de criptomoedas falsa, onde as informações financeiras ou o dinheiro da vítima são roubados.

Em uma variante de longo prazo desse golpe, chamada de "abate de suínos", o fraudador cultiva um relacionamento com a vítima e ganha a confiança dela por meio das redes sociais. Em seguida, o golpista apresenta uma "oportunidade de negócios" para a vítima, que é direcionada a um site de criptomoedas para fazer depósitos. O site pode até relatar falsamente ganhos no valor do investimento, mas a moeda nunca pode ser sacada.⁵

Assim como muitos golpes de engenharia social, este frequentemente ataca adultos mais velhos. O cibercriminoso se passa pelo neto da vítima e finge que está com algum tipo de problema, como ter sofrido um acidente de carro ou ter sido preso, pedindo aos seus avós que enviem dinheiro para pagar contas médicas ou a fiança.

A vítima pretendida recebe uma fatura de um serviço ou produto que ela não solicitou ou usou. O golpista geralmente quer que a vítima clique em um link em um e-mail para solicitar mais informações ou reclamar da cobrança. Então, a vítima é solicitada a fornecer informação de identificação pessoal (PII) para verificar sua conta. Essas informações privadas são o que o golpista buscava desde o início.

Fazendo-se passar por servidores da Secretaria da Receita Federal (SRF), agentes de segurança pública ou outros representantes do governo, o golpista afirma que o alvo está com algum tipo de problema. Esse problema pode ser deixar de pagar impostos ou um mandado de prisão. Geralmente, o golpista orienta o alvo pretendido a fazer um pagamento para evitar a prisão, uma garantia hipotecária ou arresto de salários. É claro que o pagamento vai para a conta do golpista.

Um candidato a emprego pode estar disposto a divulgar informações normalmente confidenciais a um empregador em potencial. Mas se a descrição do trabalho for falsa e postada por um golpista, o candidato pode se tornar vítima de roubo de identidade.

O golpista finge buscar um relacionamento romântico com a vítima. Depois de conquistar o coração da vítima, o golpista normalmente pede dinheiro que remova algum obstáculo final para que eles fiquem juntos. Esse obstáculo pode ser uma dívida incapacitante, uma obrigação legal ou até mesmo o custo de uma passagem aérea para visitar a vítima.

Scareware é um golpe de engenharia social que usa o medo para enganar as pessoas para que elas baixem um malware, perdendo dinheiro ou entregando dados pessoais.

O pretexto assustador pode ser um alerta de vírus falso, uma oferta falsa de suporte técnico ou um golpe de segurança pública. Uma janela pop-up pode avisar a vítima que "material ilegal" foi encontrado em seu dispositivo digital, ou um "teste de diagnóstico" online pode dizer à vítima que seu dispositivo está comprometido e que ela precisa baixar um software antivírus (falso) para corrigi-lo.

Como em qualquer outra forma de engenharia social, as tentativas de pretexting podem ser difíceis de serem interrompidas porque exploram a psicologia humana em vez de vulnerabilidades técnicas que podem ser corrigidas. Mas existem várias etapas que as organizações podem seguir.

• DMARC
• Treinamento de conscientização de segurança
• Outras tecnologias de cibersegurança

O DMARC é um protocolo de autenticação de e-mail que pode ajudar a evitar a falsificação. Ao analisar o texto e os metadados das mensagens em busca de indicadores comuns de comprometimento, o DMARC verifica se um e-mail foi enviado do domínio de onde afirma vir. Se um e-mail for falsificado, ele poderá ser automaticamente desviado para uma pasta de spam ou excluído.

Como o pretexting manipula as pessoas para comprometer sua própria segurança, treinar funcionários para detectar e responder adequadamente a golpes de pretexting pode ajudar a proteger uma organização. Os especialistas recomendam a execução de simulações com base em exemplos de pretexting da vida real para ajudar os funcionários a diferenciar entre pretexting e solicitações legítimas de colegas.

O treinamento também pode incluir protocolos claros para medidas de autenticação rigorosas, como autenticação multifator (MFA), manuseio de informações valiosas, autorização de pagamentos e verificação de solicitações com suas supostas fontes antes de cumprir.

A verificação pode ser tão simples quanto enviar um texto ao suposto remetente: "Você enviou isso para mim?" Ou uma mensagem para o service desk: "Isso parece que é um hacker?" Os procedimentos para transações financeiras podem incluir requisitos para validar solicitações recebidas pessoalmente ou com contato pessoal direto.

Os filtros de e-mail podem detectar frases e linhas de assunto usadas em ataques de pretexting conhecidos. Um "escudo de IA", que combina assistentes de IA e feeds de inteligência de ameaças para analisar grandes volumes de dados não estruturados em busca de anomalias, também pode ajudar a identificar possíveis pretextos. 

Um gateway seguro da web pode impedir que os usuários sigam links de e-mail de phishing para sites suspeitos. 

Se um invasor obtiver acesso à rede por meio de pretexting, as tecnologias de cibersegurança, como as plataformas de detecção e resposta de endpoint (EDR), detecção e resposta de rede (NDR) e detecção e resposta estendidas (XDR), podem interceptar atividades maliciosas.

Várias leis específicas do setor visam explicitamente o pretexting. A Lei Gramm-Leach-Bliley de 1999 criminaliza o pretexting em relação às instituições financeiras, tornando crime obter informações financeiras de um cliente sob falsos pretextos. A lei também exige que as instituições financeiras treinem os funcionários na detecção e prevenção de pretexting.

A Lei de Proteção de Registros Telefônicos e Privacidade de 2006 proíbe explicitamente o uso de pretexting para acessar informações de clientes mantidas por um provedor de telecomunicações.

A Federal Trade Commission (FTC) adotou recentemente uma regra que proíbe formalmente a falsificação de identidade de qualquer agência ou empresa governamental.⁵ A regra dá à FTC o poder de impor a proibição de táticas comuns de pretexting, como o uso do logotipo de uma empresa sem permissão, a criação de um site falso que imita um site legítimo e a falsificação (spoofing) de e-mails comerciais.