Pretexto, ou "pretexting", é o uso de uma história inventada para ganhar a confiança da vítima e enganar ou manipulá-la para com o objetivo facilitar o acesso a informações confidenciais, o download de malware, o envio de dinheiro para criminosos ou prejudicar a si mesmos ou à organização para a qual a vítima trabalha.
O pretexto é uma tática de ataques de engenharia social como spear pishing, whaling e comprometimento de e-mail corporativo (BEC). Veja abaixo. Porém, os cibercriminosos, e criminosos comuns, podem também usar apenas o pretexto para roubar informações de valor ou ativos de indivíduos ou organizações.
No Teste de penetração de engenharia social (link externo à ibm.com), os especialistas em segurança Gavin Watson, Andrew Mason e Richard Ackroyd descrevem que a maioria dos pretextos é composta de dois elementos principais: um personagem e uma situação.
O personagem é o papel que o golpista desempenha na história. Para ter credibilidade com a possível vítima, o golpista normalmente se faz passar por alguém com autoridade sobre a vítima, como um chefe ou executivo, ou alguém em quem a vítima confia, como um colega de trabalho, funcionário de TI ou provedor de serviços. Alguns invasores podem tentar se passar por amigos ou entes queridos de uma vítima específica.
A situação é o enredo da história falsa do golpista, ou seja, o motivo pelo qual o personagem está pedindo que a vítima faça algo para eles. As situações podem ser genéricas, por exemplo, 'você precisa atualizar seus dados da conta', ou podem ser muito específicos, especialmente se os golpistas tiverem como alvo uma vítima específica.
Para tornar as personificações e situações de seus personagens mais verossímeis, os agentes de ameaça geralmente pesquisam seu personagem e seu alvo on-line. Não é algo tão complexo de fazer. De acordo com um relatório da Omdia (link externo à ibm.com), os hackers podem criar uma história convincente, com base em informações de página inicial de redes sociais e outras fontes públicas, após apenas 100 minutos de buscas gerais no Google.
Outras técnicas para tornar os personagens mais convincentes incluem fazer spoofing do e-mail do personagem ou do número de telefone, ou obter acesso direto não autorizado da conta de e-mail do personagem ou do número de telefone, usando-os para enviar mensagens. Em 2019, os golpistas enganaram uma empresa de energia do Reino Unido e obtiveram USD 243.000 usando inteligência artificial (IA) para se fazer passar pela voz do CEO da sede da empresa e fazer telefonemas fraudulentos solicitando pagamentos aos fornecedores da empresa. Isso pode servir de referência para o que veremos futuramente em ataques de pretexto.
Golpes de comprometimento de e-mail corporativo (BEC)
O comprometimento de e-mail corporativo (BEC) é um tipo particularmente malicioso de engenharia social direcionado que depende fortemente de pretextos. No BEC, o personagem é um executivo de empresa real ou um executivo de alto nível com autoridade ou influência sobre a vítima. A situação é a necessidade de ajuda do personagem em uma tarefa urgente, por exemplo, Estou preso no aeroporto e esqueci minha senha, você pode enviar minha senha para o sistema de pagamento , ou você pode transferir USD XXX.XXX,XX, para conta bancária número YYYYYY para pagar a fatura em anexo)?
Ano após ano, o BEC está entre os crimes cibernéticos que geram os maiores prejuízos. De acordo com o relatório da IBM do Custo de uma violação de dados de 2022, as violações de dados resultantes de vítimas de BEC custam em média de USD 4,89 milhões. E segundo dados do Centro de denúncias de crimes na Internet do FBI (PDF, 1,3 MB; link externo à ibm.com) o BEC resultou em perdas totais de quase USD 2,4 bilhões para as vítimas em 2021.
Golpes de atualização de conta
Aqui, o golpista finge ser representante de uma empresa alertando a vítima sobre um problema com sua conta, como informações de faturamento suspeito ou uma compra suspeita. O golpista inclui um link que leva a vítima a um website falso que rouba suas credenciais de autenticação, informações de cartão de crédito, número da conta bancária ou CPF.
Golpe de idosos
Como muitos golpes de engenharia social, este tem como alvo os idosos. O cibercriminoso se apresenta como o neto ou a neta da vítima e finge que está com algum tipo de problema, por exemplo, sofreu um acidente de carro ou foi preso, e solicitam aos seus avós o envio de dinheiro para que possam pagar as despesas do hospital ou pagar a fiança.
Golpes de romance
Em golpes de pretexto de namoro, o agente finge desejar um relacionamento amoroso com a vítima. Depois de conquistar o coração da vítima, o golpista normalmente solicita dinheiro para remover algum obstáculo final para que eles fiquem juntos, por exemplo, uma dívida incapacitante, uma obrigação legal ou até mesmo o custo de uma passagem aérea para visitar a vítima.
Golpes de criptomoeda
Fazendo-se passar por um investidor de sucesso com uma oportunidade infalível de investimento em criptomoeda, o golpista direciona a vítima para uma falsa corretora de criptomoeda, na qual os dados bancários ou o dinheiro da vítima são roubados. De acordo com a Comissão Federal de Comércio dos EUA (FTC) (link externo a ibm.com), consumidores dos EUA perderam mais de USD 1 bilhão em golpes de criptomoedas entre janeiro de 2021 e março de 2022.
Golpes de Receita Federal/Governo
Fazendo-se passar por funcionários da Receita Federal ou representantes oficiais do governo, o golpista afirma que o alvo está com algum tipo de problema, por exemplo, não pagou os impostos ou existe um mandato de prisão para a vítima, e coage a vítima a realizar um pagamento para evitar problemas com financiamento imobiliário, bloqueio de valores ou prisão. O pagamento, é claro, será enviado para a conta do golpista.
O pretexto é um componente principal de muitos golpes de engenharia social, incluindo:
Phishing: conforme observado anteriormente, o pretexto é particularmente comum em ataques de phishing direcionados, incluindo spear phishing, que é um ataque de phishing, que tem como alvo um indivíduo específico, e whaling, que é um spear phishing direcionado a um executivo ou a um funcionário com acesso privilegiado a informações confidenciais ou a sistemas.
Porém, o pretexto também desempenha um papel em golpes de phishing de e-mail não direcionado, 'spray-and-pray', phishing de voz (vishing) ou phishing de texto SMS (smishing). Por exemplo, um golpista pode enviar uma mensagem de texto '[NOME DO BANCO INTERNACIONAL AQUI]: Sua conta está com saldo negativo' para milhões de pessoas, esperando que parte dos destinatários seja cliente do banco e que parte desses clientes responderá à mensagem.
Tailgating: às vezes chamado de "piggybacking", o tailgating ocorre quando uma pessoa não autorizada segue uma pessoa autorizada até um local que requer liberação, como um prédio de escritório com segurança. Os golpistas usam o pretexto para realizar suas tentativas de tailgating não autorizado mais bem-sucedidas, por exemplo, se passando por um entregador e pedindo a um funcionário desavisado que abra uma porta bloqueada para eles.
Baiting: nesses tipos de ataques, um criminoso engana as vítimas para que façam download de malware atraindo-as com uma isca atrativa, porém, comprometida. A isca pode ser física (por exemplo, pendrives carregados com código malicioso e deixados de forma visível em locais públicos) ou digital (por exemplo, downloads sem custo de publicidade de filmes que são convertidos em malware). Os golpistas costumam usar pretextos para tornar a isca mais atrativa. Por exemplo, um golpista pode colocar um rótulo em um USB comprometido para sugerir que ele pertence a uma determinada empresa e contém arquivos importantes.
Várias leis específicas da indústria destinam-se explicitamente ao pretexto. A Lei Gramm-Leach-Bliley de 1999 criminaliza o pretexto relacionado a instituições financeiras, tornando ilegal obter dados bancários de um cliente sob falsos pretextos; além disso, exige que as instituições financeiras treinem os funcionários em detecção e prevenção de cenários de pretextos. A Lei de Registros Telefônicos e Proteção à Privacidade de 2006 dos EUA explicitamente proíbe o uso de pretexto para acessar dados do cliente mantidas por um provedor de telecomunicações.
Em dezembro de 2021, a FTC propôs uma nova regra (link externo à ibm.com) que proíbe formalmente a personificação de qualquer agência governamental ou de negócios. A regra confere poderes à FTC para banir táticas de pretexto comuns, como usar o logotipo de uma empresa sem permissão, criar um website falso que imita uma empresa legítima e spoofing de e-mails corporativos.
Como em qualquer outra forma de engenharia social, combater o pretexto pode ser difícil porque tira vantagem da psicologia humana em vez de vulnerabilidades técnicas que podem ser remediadas. Mas existem medidas eficazes que podem ser adotadas pelas organizações.
- Relatório de autenticação de mensagens baseada em domínio (DMARC): o DMARC é um protocolo de autenticação de e-mail que pode evitar o spoofing. O DMARC verifica se um e-mail foi realmente enviado do domínio de onde afirma ter vindo. Se for descoberto que um e-mail foi passou por spoofing, ele pode ser automaticamente direcionado para uma pasta de spam ou excluído.
- Outras tecnologias de segurança cibernética : além do DMARC, as organizações podem implementar filtros e-mail baseados em IA que detectam frases e assuntos usados em ataques conhecidos de pretexto. Um gateway seguro da web pode impedir que os usuários cliquem em links suspeitos de websites suspeitos enviados por e-mail. Se um invasor obter acesso à rede por meio de pretexto, as tecnologias de segurança cibernética, como plataformas de detecção e resposta de terminal (EDR), detecção e resposta de rede (NDR) e detecção e resposta estendidas (XDR) podem interceptar atividades maliciosas.
- Treinamento de conscientização de segurança: como o pretexto manipula as pessoas para que prejudiquem sua própria segurança, o treinamento de funcionários para detectar e responder adequadamente a golpes de pretexto podem ajudar a proteger as organizações. Os especialistas recomendam a fazer simulações com base em exemplos reais de pretextos para ajudar os funcionários a diferenciar pretextos de solicitações legítimas de colegas. O treinamento também pode incluir protocolos claros para gerenciamento de informações valiosas, autorização de pagamentos e verificação de solicitações com as respectivas fontes antes de efetuar a autorização.
Teste suas equipes através de exercícios engenharia social de phishing, vishing e engenharia social física com os serviços engenharia social de engenharia X-Force Red.
Proteja a sua empresa com uma abordagem inteligente e integrada de gerenciamento unificado de ameaças para detectar ameaças avançadas, responder rapidamente e com precisão e recuperar-se de períodos de indisponibilidade.
Adote a IA, a análise de dados e o deep learning para implementar medidas de proteção proativas, machine learning para detecção mais precisa e automação e análise para respostas mais rápidas.
Golpes de phishing enganam as vítimas para que divulguem dados sensíveis, façam download de malware e exponham a si mesmos ou suas organizações a cibercrime.
Os ataques de engenharia social se aproveitam da natureza humana, em vez de aspectos técnicos como hackers fazem, para manipular as pessoas a comprometer sua segurança pessoal ou a segurança de uma rede corporativa.
Saiba o que é segurança móvel, por que é importante e como funciona.