Início

topics

Pretexting

 O que é pretexting?
Explore a solução de pretexting da IBM Inscreva-se para receber o boletim informativo Think
Ilustração com colagem de pictogramas de nuvens, telefone móvel, impressão digital, marca de verificação

Atualizado em: 6 de setembro 2024  
Colaboradores: Jim Holdsworth, Matthew Kosinski
O que é pretexting?

Pretexting é o uso de uma história fabricada, ou pretexto, para ganhar a confiança de uma vítima e enganá-la ou manipulá-la para compartilhar informações confidenciais, baixar malware, enviar dinheiro para criminosos ou prejudicar a si mesma ou à organização para a qual trabalha.

“Confiança” é o “golpe” aplicado pelo “golpista”. A história do pretexto é como a confiança da vítima é conquistada em ataques direcionados de engenharia social, como spear phishing, whale phishing and comprometimento de e-mail comercial (BEC). Mas os cibercriminosos (e meros criminosos terrestres) também podem usar apenas pretexting para roubar informações ou ativos valiosos de indivíduos ou organizações.
Agende um briefing de descoberta com a equipe do X-Force

Discuta os desafios de segurança específicos de sua organização e como podemos ajudar.
Como funciona o pretexting: personagens e situações

Um agente de ameaças geralmente cria uma situação falsa para a vítima e se apresenta como uma pessoa confiável que pode resolvê-la. No livro Social Engineering Penetration Testing, os autores observam que a maioria dos pretextos é composta por dois elementos primários: um personagem e uma situação.1

O personagem é o papel que o golpista desempenha na história. Para criar credibilidade junto à vítima em potencial, o golpista costuma se passar por alguém com autoridade sobre a vítima, como um chefe ou executivo ou alguém em quem a vítima tende a confiar. Esse personagem (falso) pode ser um colega de trabalho, funcionário de TI ou prestador de serviços. Alguns invasores podem até tentar se passar por um amigo ou ente querido da vítima pretendida.

A situação é o enredo da história falsa do golpista — o motivo pelo qual o personagem (golpista) está pedindo que a vítima tome alguma atitude. As situações podem ser genéricas, como: "Você precisa atualizar as informações da sua conta". Ou a história pode ser específica, especialmente se o golpista estiver mirando em uma vítima em particular: "Preciso da sua ajuda, vovó".

Para tornar suas personificações e situações de caráter críveis, os agentes de ameaças geralmente pesquisam seu personagem e alvo online. E essa pesquisa não é difícil. De acordo com algumas estimativas, os hackers podem criar uma história convincente, com base em informações de feeds de redes sociais e outros recursos públicos (como Google ou LinkedIn) após apenas 100 minutos de pesquisa online.

O spoofing (falsificação de endereços de e-mail e números de telefone para fazer parecer que uma mensagem vem de outra fonte) pode tornar os cenários de pretexting mais confiáveis. Ou os agentes de ameaças podem ir ainda mais longe e sequestrar a conta de e-mail ou o número de telefone de uma pessoa real para enviar a mensagem de pretexting. Há até histórias de criminosos que usam inteligência artificial para clonar as vozes das pessoas.
Técnicas de pretexting e engenharia social

O pretexting é um componente essencial de muitos tipos de táticas de engenharia social, inclusive:

  • Phishing
  • Baiting (isca)
  • Tailgating
Phishing

O pretexting é comum em ataques de phishing direcionados, como o spear phishing, que tem como alvo um indivíduo específico, e o whaling, que visa um executivo ou funcionário com acesso privilegiado a informações confidenciais ou sistemas.  

Mas o pretexting também desempenha um papel em golpes não direcionados de phishing por e-mail “spray-and-pray”, phishing de voz (vishing) ou phishing de texto SMS (smishing).

Por exemplo, um golpista pode enviar uma mensagem de texto, “[Nome do banco global aqui]: Sua conta está no vermelho” para milhões de pessoas, esperando que uma porcentagem dos destinatários sejam clientes do banco e que alguma porcentagem desses clientes possa responder à mensagem. Mesmo uma pequena porcentagem de vítimas pode representar uma grande quantia para os golpistas.
Baiting (isca)

Nesses tipos de ataques, um criminoso engana uma vítima para que ela baixe malware, seduzindo-a com uma isca atraente, mas comprometida. A isca pode ser física, como um pen drive carregado com código malicioso e deixado visivelmente em um local público. Ou a isca pode ser digital, como publicidade de downloads gratuitos de filmes que acabam sendo malware. 

Os golpistas costumam usar pretexting para tornar a isca mais atraente. Por exemplo, um golpista pode colocar etiquetas em um pen drive comprometido para sugerir que ele pertence a uma empresa específica e contém arquivos importantes. 
Tailgating

O pretexting também pode ser usado para golpes presenciais, como tailgating. Também chamado de "piggybacking", o tailgating ocorre quando uma pessoa não autorizada segue uma pessoa autorizada até um local físico que necessita de liberação, como um prédio de escritórios seguro. Os golpistas usam a técnica de pretexting para tornar mais bem-sucedidas suas tentativas de tailgating, como, por exemplo, se passando por um entregador e pedindo a um funcionário desprevenido que abra uma porta trancada para eles. 
Exemplos de pretexting

Os golpes de impostores, como o pretexting, são o tipo mais comum de fraude, de acordo com a Federal Trade Commission, com perdas relatadas de US$ 2,7 bilhões para esses golpes no ano passado.2 Alguns dos tipos mais comuns de golpes de pretexting incluem:

  • Golpes de atualização de conta
  • Golpes de comprometimento de e-mail comercial
  • Golpes de criptomoedas
  • Golpes em avós
  • Golpes de faturas
  • Golpes do IR e do governo
  • Golpes de ofertas de emprego
  • Golpes românticos e golpes sociais
  • Golpes de scareware
Golpes de atualização de conta

Nesse ataque cibernético, o golpista finge ser representante de uma empresa que está alertando a vítima sobre um problema em sua conta, como informações de cobrança perdidas ou uma compra suspeita. O golpista inclui um link que leva a vítima a um site falso, roubando suas credenciais de autenticação, informações do cartão de crédito, número da conta bancária ou número da previdência social.
Golpes de comprometimento de e-mail comercial

O comprometimento de e-mail comercial (BEC) é um tipo de ataque de engenharia social direcionada que depende fortemente do pretexting. 25% of all BEC attacks (link externo a ibm.com) now begin with pretexting. 

No BEC, o personagem é um executivo da empresa da vida real ou um associado de negócios de alto nível com autoridade ou influência sobre o alvo. Como o golpista finge ser alguém em uma posição de poder, muitos alvos simplesmente cumprirão.

A situação é a necessidade de ajuda do personagem em uma tarefa (quase sempre) urgente. Por exemplo, “Estou preso em um aeroporto e esqueci minha senha do sistema de pagamento. Você pode, por favor, me lembrar?" ou “Você pode transferir US$ XXX, XXX para a conta bancária #YYYYY para pagar a fatura anexa? Rapidamente, antes que cancelem nosso serviço.”

Ao se passar por um chefe por meio de mensagens de texto, e-mails, telefonemas e até mesmo vídeos gerados por IA, os golpistas muitas vezes podem enganar os funcionários para que exponham informações confidenciais ou até mesmo cometam crimes.

Em um caso famoso, uma webconferência pré-gravada (e gerada por IA) terminou com instruções da falsa liderança sênior, que convenceu um funcionário a transferir HKD 200 milhões para os invasores.4

Ano após ano, o BEC se classifica entre as técnicas de engenharia social mais caras em termos de cibercrimes. De acordo com o relatório do custo das violações de dados da IBM, as violações de dados causadas por BEC custam às organizações vítimas uma média de US$ 4,88 milhões. 

De acordo com dados do Internet Crime Complaint Center do FBI, o BEC resultou em perdas totais de quase US$ 2,9 bilhões para as vítimas em 2023.3

 
Golpes de criptomoedas

Fazendo-se passar por um investidor bem-sucedido com uma oportunidade infalível de criptomoedas, o golpista direciona a vítima para uma bolsa de criptomoedas falsa, onde as informações financeiras ou o dinheiro da vítima são roubados. 

Em uma variante de longo prazo desse golpe, chamada de "abate de suínos", o fraudador cultiva um relacionamento com a vítima e ganha a confiança dela por meio das redes sociais. Em seguida, o golpista apresenta uma "oportunidade de negócios" para a vítima, que é direcionada a um site de criptomoedas para fazer depósitos. O site pode até relatar falsamente ganhos no valor do investimento, mas a moeda nunca pode ser sacada.5 
Golpes em avós

Assim como muitos golpes de engenharia social, este frequentemente ataca adultos mais velhos. O cibercriminoso se passa pelo neto da vítima e finge que está com algum tipo de problema, como ter sofrido um acidente de carro ou ter sido preso, pedindo aos seus avós que enviem dinheiro para pagar contas médicas ou a fiança. 
Golpes de faturas

A vítima pretendida recebe uma fatura de um serviço ou produto que ela não solicitou ou usou. O golpista geralmente quer que a vítima clique em um link em um e-mail para solicitar mais informações ou reclamar da cobrança. Então, a vítima é solicitada a fornecer informação de identificação pessoal (PII) para verificar sua conta. Essas informações privadas são o que o golpista buscava desde o início.
Golpes do IR e do governo

Fazendo-se passar por servidores da Secretaria da Receita Federal (SRF), agentes de segurança pública ou outros representantes do governo, o golpista afirma que o alvo está com algum tipo de problema. Esse problema pode ser deixar de pagar impostos ou um mandado de prisão. Geralmente, o golpista orienta o alvo pretendido a fazer um pagamento para evitar a prisão, uma garantia hipotecária ou arresto de salários. É claro que o pagamento vai para a conta do golpista. 
Golpes de ofertas de emprego

Um candidato a emprego pode estar disposto a divulgar informações normalmente confidenciais a um empregador em potencial. Mas se a descrição do trabalho for falsa e postada por um golpista, o candidato pode se tornar vítima de roubo de identidade.
Golpes românticos e golpes sociais

O golpista finge buscar um relacionamento romântico com a vítima. Depois de conquistar o coração da vítima, o golpista normalmente pede dinheiro que remova algum obstáculo final para que eles fiquem juntos. Esse obstáculo pode ser uma dívida incapacitante, uma obrigação legal ou até mesmo o custo de uma passagem aérea para visitar a vítima.
Golpes de scareware

Scareware é um golpe de engenharia social que usa o medo para enganar as pessoas para que elas baixem um malware, perdendo dinheiro ou entregando dados pessoais. 

O pretexto assustador pode ser um alerta de vírus falso, uma oferta falsa de suporte técnico ou um golpe de segurança pública. Uma janela pop-up pode avisar a vítima que "material ilegal" foi encontrado em seu dispositivo digital, ou um "teste de diagnóstico" online pode dizer à vítima que seu dispositivo está comprometido e que ela precisa baixar um software antivírus (falso) para corrigi-lo. 
Etapas de cibersegurança para ajudar a prevenir o pretexting

Como em qualquer outra forma de engenharia social, as tentativas de pretexting podem ser difíceis de serem interrompidas porque exploram a psicologia humana em vez de vulnerabilidades técnicas que podem ser corrigidas. Mas existem várias etapas que as organizações podem seguir.

  • DMARC
  • Treinamento de conscientização de segurança
  • Outras tecnologias de cibersegurança
Geração de relatórios e conformidade de autenticação de mensagens baseadas em domínio (domain-based message authentication reporting and conformance - DMARC)

O DMARC é um protocolo de autenticação de e-mail que pode ajudar a evitar a falsificação. Ao analisar o texto e os metadados das mensagens em busca de indicadores comuns de comprometimento, o DMARC verifica se um e-mail foi enviado do domínio de onde afirma vir. Se um e-mail for falsificado, ele poderá ser automaticamente desviado para uma pasta de spam ou excluído.
Treinamento de conscientização de segurança

Como o pretexting manipula as pessoas para comprometer sua própria segurança, treinar funcionários para detectar e responder adequadamente a golpes de pretexting pode ajudar a proteger uma organização. Os especialistas recomendam a execução de simulações com base em exemplos de pretexting da vida real para ajudar os funcionários a diferenciar entre pretexting e solicitações legítimas de colegas.  

O treinamento também pode incluir protocolos claros para medidas de autenticação rigorosas, como autenticação multifator (MFA), manuseio de informações valiosas, autorização de pagamentos e verificação de solicitações com suas supostas fontes antes de cumprir. 

A verificação pode ser tão simples quanto enviar um texto ao suposto remetente: "Você enviou isso para mim?" Ou uma mensagem para o service desk: "Isso parece que é um hacker?" Os procedimentos para transações financeiras podem incluir requisitos para validar solicitações recebidas pessoalmente ou com contato pessoal direto.
Leis contra pretexting

Várias leis específicas do setor visam explicitamente o pretexting. A Lei Gramm-Leach-Bliley de 1999 criminaliza o pretexting em relação às instituições financeiras, tornando crime obter informações financeiras de um cliente sob falsos pretextos. A lei também exige que as instituições financeiras treinem os funcionários na detecção e prevenção de pretexting. 

A Lei de Proteção de Registros Telefônicos e Privacidade de 2006 proíbe explicitamente o uso de pretexting para acessar informações de clientes mantidas por um provedor de telecomunicações.

A Federal Trade Commission (FTC) adotou recentemente uma regra que proíbe formalmente a falsificação de identidade de qualquer agência ou empresa governamental.5 A regra dá à FTC o poder de impor a proibição de táticas comuns de pretexting, como o uso do logotipo de uma empresa sem permissão, a criação de um site falso que imita um site legítimo e a falsificação (spoofing) de e-mails comerciais.
Soluções relacionadas
IBM X-Force

Ofensiva de hackers. Defesa baseada em pesquisas. Proteção baseada na Intel.

 

 Explore o IBM X-Force
Serviços de gerenciamento de ameaças

Preveja, previna e responda às ameaças modernas aumentando a resiliência dos negócios.

 

 Saiba mais sobre os serviços de gerenciamento de ameaças
Soluções de proteção contra ransomware

Gerencie proativamente seus riscos de cibersegurança quase em tempo real e minimize o impacto de ataques de ransomware com software de proteção antiransomware.

 Explore as soluções de ransomware
Recursos Relatório de custo de violação de dados

Prepare-se para as violações entendendo como elas ocorrem e aprendendo sobre os fatores que aumentam ou reduzem seus custos.

 X-Force Threat Intelligence Index

Capacite você e sua empresa aprendendo com os desafios e sucessos experimentados pelas equipes de segurança do mundo todo.

 O que é engenharia social?

Os ataques de engenharia social contam com a natureza humana em vez de com um hacking técnico, para manipular as pessoas para comprometer sua segurança pessoal ou a segurança de uma rede corporativa.
Dê o próximo passo

A equipe global da IBM X-Force Red oferece uma gama completa de serviços de segurança ofensivos, incluindo testes de penetração, gerenciamento de vulnerabilidades e simulação adversária, para ajudar a identificar, priorizar e remediar falhas de segurança que cobrem todo o seu ecossistema digital e físico.

 Veja os serviços X-Force Red
Notas de rodapé

Todos os links são externos a ibm.com.

1  Social Engineering Penetration Testing (link externo a ibm.com), Syngress, 2014.  

2 Think you know what the top scam of 2023 was? Take a guess (link externo a ibm.com), Federal Trade Commission, 9 de fevereiro de 2024.   

3 Internet Crime Report 2023 (link externo a ibm.com), Federal Bureau of Investigation, 2024. 

4 Hong Kong sees three deepfake video scams since last year, says security chief (link externo a ibm.com), The Standard, 26 de junho de 2024.

5 FTC Announces Impersonation Rule Goes into Effect Today (link externo a ibm.com), Federal Trade Commission, 1 de abril de 2024.