Engenharia Social: Tudo Que Você Precisa Saber

aviso esse vídeo tem fins exclusivamente didáticos e educativos o conteúdo apresentado aqui tem o objetivo de ensinar sobre engenharia social para conscientização e proteção contra golpes eu não incentivo apoio ou ensino práticas Ilegais utilizar qualquer técnica mencionada de forma indevida Pode configurar crimes previstos em lei sujeitando o infrator a penalidades civis e criminais qualquer uso inadequado do conhecimento apresentado será inteiramente Por sua conta e risco o meu objetivo é passar conhecimento e ensinar você a se proteger na internet contra golpes a responsabilidade é sua Oi antes de mais nada feliz natal feliz ano novo para

você para todo mundo da sua família esse vídeo vai est saindo muito depois dessas festas mas ele tá sendo gravado bem antes o que acontece é que do último vídeo para cá e eu tive alguns problemas na faculdade TCC esse tipo de coisa e isso me itou de ficar gravando vídeo aqui pro YouTube mas agora eu tô de volta tô de volta num cenário um pouquinho diferente num enquadramento um pouquinho diferente mas provavelmente tudo vai se ajeitar Logo logo o que acontece é que esse vídeo demorou para sair como você tá vendo aí ele é

não é um vídeo curto ele é um vídeo longo esse vídeo eu queria que ele fosse um pouco mais bem trabalhado do que os últimos vídeos aqui do canal porque o intuito Desse Canal quando eu criei ele era fazer vídeos que servissem como aulas mesmo grandes aulões Onde eu consigo falar tudo que eu sei ou falar de forma bem aprofundada em um assunto específico e o assunto específico desse vídeo é engenharia social então eu vou tentar trazer vídeos maiores mais bem trabalhados aqui pro Canal se tudo der certo porque era isso que eu queria para

esse canal quando eu criei ele então o vídeo de hoje é sobre engenharia social mas não vai ser um vídeo qualquer e eu planejo nesse vídeo falar de forma aprofundada no assunto e falar tanto dos aspectos psicológicos dos fatores humanos das Ferramentas de influência que são utilizadas na engenharia social mas também falar das principais técnicas que são usadas em engenharia social de forma prática as ferramentas que tem disponíveis para poder fazer isso e falar também um pouquinho sobre os novos tipos de golpes que estão surgindo usando Inteligência Artificial porque agora inteligência artificial é uma coisa

mais acessível do que nunca então claro que isso vai afetar todas as áreas que a gente conhece e o Pain test não fica de fora principalmente na parte de engenharia social a ia tá sendo muito utilizada e tem uma sessão desse vídeo só para falar disso fica até o final Esse vídeo é um vídeo focado em Pain test mas ele vale para todo mundo porque assim como qualquer vídeo meu eu vou falar como você vai se proteger de qualquer tipo de ataque de engenharia social de qualquer tipo de golpe enganação porque aqui eu vou mostrar

tudo que os golpistas costumam utilizar nos seus golpes de engenharia social e nos seus ataques para poder enganar as pessoas e explorar o psicológico humano Então esse aqui é um vídeo longo Esse aqui é um vídeo detalhado e vai te ajudar a não cair em golpe nenhum assiste no seu tempo pega um lanche uma pipoca e bom vídeo ah é antes de qualquer coisa meu nome é Igor você tá no hack Station Então vamos começar pela definição o que que é engenharia social engenharia social é uma técnica de manipulação usada para enganar indivíduos e levá-lo

a divulgar informações confidenciais ou realizar ações que comprometam a segurança de um sistema ou de uma organização o que que isso quer dizer quer dizer que na prática invés de nós Pain testers a gente testar a gente fazer testes no sistema de uma empresa a gente vai testar o fator humano dessa empresa os funcionários eh principalmente né o treinamento de funcionários é só um nome diferente para golpe dentro de um contrato de pent teste a engenharia social pode ou não estar no escopo que que isso quer dizer quer dizer que você vai olhar com a

sua organização que você vai realizar o seu Pain test Se é permitido que você treine as pessoas treine a engenharia social das pessoas dentro daquela organização se essas pessoas se os funcionários são suscetíveis a caírem em golpes ou fornecerem informações e sensíveis da organização mediante algum tipo de técnica que você utilizar ele é um complemento do Pain test você não treina somente você não testa somente a parte do sistema você testa as pessoas também e muitas empresas não gostam de testar isso porque simplesmente o fator humano é o elo mais fraco de um sistema e

o que que são os fatores humanos vamos lá vamos com calma aqui primeiro a gente tem que pensar porque que golpes dão certo você pode pensar que é porque a vítima tava com medo ou porque tem um senso de urgência ou mesmo por inocência da pessoa mas isso é muito simples vamos falar mesmo dos fatores psicológicos aqui mas precisamente da Psicologia por trás da manipulação Pode não parecer mas essa é a parte mais importante de toda engenharia social é convencer a pessoa é fazer criar alguma história e essa história ser crível para a pessoa é

fazer com que você você consiga manipular uma pessoa a ponto dela divulgar alguma informação que não deveria ou fazer alguma ação que você queira e que ela não deveria estar fazendo para aquela organização vamos começar conceitualizando os vieses cognitivos basicamente quando a gente vai tomar qualquer decisão o nosso cérebro busca padrões esses padrões de resposta a gente chama de vieses cognitivos acontece que eles simplificam o nosso processo de tomada de decisão quando a gente vai tomar uma decisão o nosso cérebro para poder economizar energia ele busca alguns padrões de resposta e esse padrões de respostas

são os vieses cognitivos e você estudar engenharia social é você saber manipular essas respostas dos vieses cognitivos o psicólogo Daniel ciman eu espero est pronunciando o nome dele corretamente ele apresentou pra gente cinco vieses cognitivos que nosso cérebro utiliza para poder tomar decisões primeiro deles é o viés da confirmação esse descreve a tendência que o nosso cérebro tem em tomar decisões que confirmem as crenças que já existem nas nossas cabeças ignorando fatores externos ou evidência contrárias basicamente é quando o golpista ele cria uma história que confirma alguma expectativa da vítima então a gente pode ter

uma história que Garanta que a vítima vai ganhar muito dinheiro que ela recebeu bastante dinheiro no banco ganhou algum na loteria em algum sorteio ou algo do tipo essa confirmação aumenta a confiança do nosso cérebro e torna uma vítima mais suscetível a manipulação o próximo é o viés de aversão a perda esse viés ele vai ser muito utilizado porque na verdade ele é um dos mais utilizados porque que pessoas tendem a atribuir mais importância quando elas sentem que elas vão perder alguma coisa não necessariamente perder algo que é delas mas perder uma oportunidade por exemplo

então quando o atacante explora um golpe que fala que a pessoa vai perder dinheiro ou que a pessoa fez uma compra no valor de tantos mil reais que a pessoa não se lembra e ela e esse valor vai ser debitado da conta dela essa aversão à perda tira o raciocínio lógico do nosso cérebro essa versão a perda faz a gente tomar decisões deixando assim o cérebro de pensar de forma ial e analisar realmente o que que tá acontecendo o próximo é o viés da ancoragem o viés da ancoragem é quando o nosso cérebro utiliza apenas

uma informação e se baseia unicamente nela para tomar uma decisão por exemplo um golpe que promete você receber muito dinheiro e a única confirmação que você tem disso a única informação que você recebe é que você vai ganhar muito dinheiro e por essa ser a única informação que o seu cérebro tem Para trabalhar ele tende a acreditar mais nessa informação como uma história crível e deixa você bem mais suscetível a qualquer tipo de manipulação o próximo é o viés da disponibilidade o viés da disponibilidade é quando o nosso cérebro se baseia em informações que já

estão disponíveis e prontamente disponíveis na nossa memória para tomar uma decisão ele não Analisa de forma criteriosa as informações mas sim eh apenas acredita nelas e toma elas como verdade um exemplo clássico é aquele sites de golpe golpes de fraude eles tendem a utilizar muitas imagens de conta segura dizendo que o pagamento é seguro de dizendo que não tem perigo na compra que o pagamento vai ser aprovado que tem o selo de proteção de não sei o quê essas imagens elas não garantem nada mas o seu cérebro associa elas a coisas boas e provavelmente e

você esquece de pensar que isso pode ser um golpe ou pode ser uma fraude seu cérebro tem de acreditar mais o próximo é o viés das lacunas de empatia quente e frio esse viés ele basicamente relaciona o nosso lado emocional com o nosso lado racional basicamente quando a gente tá em Estados muito intensos De euforia ou alegria a gente tende a esquecer sentimentos opostos como sentimentos de tristeza ou mesmo desconfiança então para um golpista é muito mais vantajoso ele te colocar em um estado de alegria em um estado de Euforia de de de excitação porque

assim você deixa de pensar no seu outro estado emocional que é o triste o desconfiado de você provavelmente pensar que talvez esteja caindo em algum golpe então o golpista Ele sempre vai tentar te manter num estado emocional muito elevado beleza dessa forma a gente consegue entender mais ou menos como a mente funciona e principalmente Como que é o seu processo de tomada de decisão mas não ajuda a gente a explorar o processo de tomada de decisão Então como que a gente explora os vieses cognitivos aqui eu apresento a vocês Robert caldini De novo Eu espero

estar falando o nome dele corretamente ele é um psicólogo social que estuda persuasão e influência e ao longo dos estudos dele ele ficou seis ferramentas de influência que ele inclusive descreveu no livro dele que é a psicologia da persuasão que são usadas para explorar dos vieses cognitivos vamos falar da primeira delas que é a reciprocidade o ser humano em geral ele não gosta de ficar em dívida a gente tende a retribuir favores com muita frequência então É comum um golpista eh fazer vários favores a uma vítima Ou pelo menos fazer a vítima acreditar que ele

está fazendo favores assim a vítima tende a ficar em débito com esse golpista E aí fica mais suscetível ainda a manipulações ou divulgar algum tipo de informação o próximo é a consistência que descreve a tendência humana de não voltar atrás nas suas decisões manter o que já foi falado basicamente quando a gente começa um assunto com alguém ou uma conversa com alguém a gente tem muitas dificuldades de acabar com o assunto propriamente dito Independente de qual seja então é normal que o golpista ele comece uma relação eh de conversa ou uma relação mais social assim

com a vítima que ele tá querendo aplicar um golpe Porque como a gente é mais consistente é difícil tirar esse afastamento então é comum que o golpista se aproxime bastante da vítima em relações sociais para poder aplicar algum tipo de golpe ou poder fazer a manipulação que ele deseja o próximo é a prova social a prova social é uma tendência do ser humano que a gente tende a imitar muito o comportamento alheio em situações de incerteza imagina que você tá na rua andando na rua e você vê uma multidão de pessoas correndo é natural que

você saia correndo também porque você não sabe do que eles estão correndo é uma situação de incerteza é uma situação de desconhecido então é natural que você aja conforme os outros estão agindo então é normal que o golpista crie um cenário onde ele faça a vítima acreditar que o que ela está fazendo é um comportamento normal e aceitável então é ela tem que acreditar que todo mundo faz daquela forma e que ou mes o golpista falando e falando que aquilo é um processo padrão esse tipo de situação esse tipo de ação é um procedimento padrão

que todo mundo faz a próxima ferramenta de influência é a autoridade a autoridade é a tendência humana de acreditar ou de aceitar muito mais facilmente a opinião de pessoas hierarquicamente maiores é muito normal golpistas apresentarem as suas vítimas figuras de autoridade pessoas especialistas em algum assunto que concordem com o golpista isso faz a pessoa que tá numa situação de incerteza de desconhecido acreditar também no golpista isso quando o golpista não se passa por essa figura de autoridade também o golpista pode se passar por um técnico de informática ou por um policial ou ou por uma

pessoa de grande importância hierárquica pra vítima se a vítima acreditar e confiar no golpista a chance dela ser suscetível a alguma manipulação é bem maior o próximo é a escassez a escassez é parecida com o viés da disponibilidade a percepção de escassez As pessoas faz elas tomarem decisões mais impulsivas é muito comum os golpistas anunciarem eh ofertas de tempo limitado ou grandes perdas que as pessoas irão sofrer se elas não fizerem alguma coisa num prazo muito curto de tempo o próximo é a afinidade a afinidade é a tendência de ficarmos próximos a pessoas que nos

identificamos como semelhantes a nós isso não de forma muito simplista mas sim por identidades partilhadas e necessidade de pertencimento quando pertencemos ou acreditamos que pertencemos a um grupo Ficamos muito mais suscetíveis a tentativas de persuasão bom Como eu disse anteriormente Essa é a parte mais importante da engenharia social é você explorar o fator psicológico e emocional de alguém para fazer a história que você criou ser crível pra pessoa né a pessoa acreditar naquilo que você criou na história que você montou Mas como que essa confiança vira uma ação prática a partir de agora a gente

vai entrar nas principais técnicas de engenharia social vamos analisar a anatomia dos ataques e de cada técnica também e entender passo a passo como replicar aqui ao final do vídeo eu também vou passar uma sessão sobre como você vai se proteger de cada uma dessas técnicas e vamos começar falando da maior técnica de engenharia social de todas o Fishing Primeiro de tudo Fishing é o nome da técnica utilizada por atacantes para roubar informações sensíveis senhas dados bancários ou número de cartão em geral o Fishing ele ocorre por meio de mensagens fraudulentas podem ser SMSs e-mails

mensagens do WhatsApp podem ser páginas falsas e elas têm que passar alguma autoridade então pode ser uma um site legítimo pode ser uma instituição confiável um banco uma loja online Algum serviço Popular alguma coisa que engane a vítima o objetivo é fazer com que a vítima clique em links maliciosos baixe arquivos infectados ou mesmo forneça informações confidenciais né ela tem que acreditar que ela tá interagindo com uma entidade genuína por exemplo você recebe um e-mail na sua caixa de entrada falando que sua conta vai ser bloqueada em 24 horas e você precisa confirmar seus dados

clicando no link abaixo isso aí já é um um um golpe de Fishing se você clicar no link e o tal link é uma página falsa que quando você clica ele te redireciona para um site que vai acabar roubando né Ou vai tentar e roubar seus dados bancários você percebeu que esse senso de urgência já tá presente nos vieses cognitivos e nas ferramentas de influência que eu falei mais cedo pois é o Fishing explora muito isso de acordo com o relatório de vazamento de dados que é lançado todos os anos pela IBM o Fishing é

o vetor de violação de dados mais comum ele representa 16% de todos os vazamentos de dados somente as violações causadas por Fishing custam em média 4,76 milhões de dólares por ano para as empresas na cotação atual isso dá mais ou menos uns R 29 milhões deais por ano só que o Fishing ele é uma técnica muito abrangente ele é muito grande ele se ramifica muito então pra gente entender melhor vamos tratar das ramificações do Fishing vamos começar primeiro com uma mais comum eu dito que seja mais comum que é o Spear Fishing o Spear Fishing

ele é um ataque de Fishing que é direcionado a um indivíduo em específico o alvo geralmente é alguém com acesso privilegiado ou com acesso a informações sensíveis ou alguma informação importante como por exemplo um gerente financeiro ou e gerente de algum banco ou algo do tipo alguém que tenha poder mesmo o atacante nesses casos né o golpista ele reúne o máximo de informações possíveis sobre a vítima para tentar fazer um ataque de Fishing direcionado não é um ataque genérico É algo bem específico para aquela pessoa ou ele tenta se passar como um amigo ou como

um chefe algum colega de trabalho enfim outra ramificação é o pretexting o pretexting ele é o uso de uma história fabricada né ou um pretexto mesmo e o objetivo dele é ganhar a confiança de alguém a diferença é que o pretexting ele usa dois elementos ele usa uma situação e um personagem o personagem é sempre o golpista e a situação é o cenário que o golpista cria o objetivo do personagem é fazer com que a vítima crie confiança nesse personagem Então esse personagem falso ele pode ser um colega de trabalho ele pode ser um funcionário

de ti algum prestador de serviço alguns golpistas tentam até mesmo se passar por algum amigo da vítima ou qualquer coisa desse tipo a situação é alguma história inventada pelo golpista que faz com que que que pede à vítima que ela tome alguma decisão o mais comum mesmo é o golpista acaba clonando o número de telefone de alguém e mandar mensagem pros contatos dessa pessoa e pedindo dinheiro ou pedindo algum favor em específico o próximo é o biten o termo biten ele vem do inglês que significa isca e uma analogia para entender bem esse é só

imaginar o Cavalo de Troia é imaginar que é um presente só que ele na verdade esconde alguma coisa bem mais desastrosa uma coisa que acontece com bastante frequência são golpes que não são limitados à internet então por exemplo quando você tá na rua e recebe um DVD estranho recebe um pen drive diferente ou mesmo encontra na rua mesmo algum Pen Drive ou um p DVE do lado da sua mesa no escritório uma coisa que você não deve fazer é colocar esse dispositivo nas máquinas Porque não são confiáveis muitas vezes eles podem carregar arquivos maliciosos e

é esse o beiten é usar a curiosidade humana para poder explorar ela como uma vulnerabilidade e você acaba expondo o seu computador ou a sua empresa a Cyber criminosos o próximo que eu vou falar aqui é o mail spoofing spoofing esse termo spoofing ele vai aparecer bastante para você enquanto você estuda Pain Test e Cyber segurança Basic ele é usado para descrever uma técnica onde o atacante finge ser alguém que ele não é nesse caso o spoofing de email é uma técnica utilizada por Cyber criminosos para aplicar golpes no seu e-mail acontece quando um golpista

ele cria e-mails falsos de remetente para enganar suas vítimas o spoofing de e-mail ele só acontece porque o envio de e-mails ele é baseado no protocolo smtp e esse protocolo em si ele não possui mecanismos de autorização ele foi desenhado para ser sem restrições as restrições vem dos Sites que utilizam esse protocolo e dos serviços de e-mail mas eu já vou chegar lá ele foi desenhado para que você estipule quem é o destinatário que irá receber um e-mail e quem é o remetente ou seja de onde esse e-mail está sendo enviado dessa forma os Cyber

criminosos eles podem se identificar como pertencentes ao domínio de outra pessoa em outras palavras eles conseguem utilizar o domínio da sua empresa se passando genuinamente com a sua empresa para aplicar golpes e você pode nunca ficar sabendo um tipo comum de Golpe é fazer falso ficação de domínios de banco para poder mandar e-mail para as pessoas falando que elas têm que atualizar dados da conta por exemplo e claramente você vai perder sua conta se você fizer isso tanto que um caso que aconteceu em Taubaté um caso bem recente e um golpista tava se passando por

funcionário público e ele enviava e-mails solicitando valores em dinheiro se passando por funcionário da prefeitura aí você deve se perguntar pera isso não não tem condição isso não é possível eu quando tô usando meu e-mail no Gmail ou no Outlook Eu só consigo enviar e-mail sendo eu mesmo eu não consigo mudar é quem que tá enviando o e-mail o que acontece é que essa restrição essa autorização ela é feita pelo serviço de e-mail que você tá utilizando e não pelo protocolo de e-mail em si que que isso quer dizer quer dizer que se você tiver

um serviço de e-mail que não requer autorização você consegue enviar como se fosse qualquer remetente por exemplo vou botar aqui na tela eu utilizando um site que permite falsificar e-mails esse site eu consigo indicar quem é o remetente de onde o e-mail tá saindo eu posso falsificar um remetente de e-mail e enviar qualquer e-mail para qualquer pessoa eu vou enviar aqui um e-mail para mim e você vai ver que o e-mail vai chegar e vai mostrar o remetente que eu escolhi eu não fico limitado ao meu próprio endereço de e-mail o próximo que eu vou

falar é o DNS spoofing agora que você já sabe o que é spoofing fica mais fácil né mas o que que é DNS bom DNS é uma sigla em inglês que significa domain name System basicamente o DNS são servidores ou sistemas que traduzem os nomes de domínios na internet todos os sites possuem algo que a gente chama de endereço IP vamos imaginar que um site tem um endereço de IP 31 13 90 35 e sempre que você quiser acessar esse site você vai ter que acessar por esse IP Porém para você não ficar decorando número

de IP existe o DNS o DNS ele é tipo uma lista telefônica mesmo ele traduz o número em um nome bem mais fácil de decorar e bem mais fácil de acessar como por exemplo facebook.com Então você digita no seu navegador facebook.com o seu servidor de DNS ele traduz esse nome para o endereço de IP real do site fornece esse número de IP pro seu navegador e o seu navegador te leva até o site Então vamos imaginar que você tá na sua casa quem que é o seu servidor DNS quem que tem os nomes e os

endereços de IP de cada site dentro da sua casa muito provavelmente o seu servidor DNS tá dentro do seu roteador que por sua vez ele é provido pela sua empresa de internet mas e se não for dessa forma bom imaginar que Por acaso você tem um roteador que não é confiável e se esse seu roteador redirecionar o tráfego para uma lista telefônica errada para um servidor de DNS malicioso vamos imaginar que você tem um roteador que envia os pacotes de internet para um servidor que traduz o endereço facebook.com para um site falso para o endereço

de IP falso uma página falsa que imita o site verdadeiro Porém quando você digita sua senha ele rouba ela mas agora você pode pensar Ah isso não vai acontecer o roteador da minha casa ele é seguro e de fato ele é sim mas eu não tô falando do roteador da sua casa e quando você sai da sua casa para ir no shopping ou em uma praça da sua cidade você vê um sinal de wi-fi aberto dizendo wi-fi grátis será que aquele roteador de wi-fi ele é seguro digo mais será que é um roteador legítimo Será

que invés de um roteador de verdade não é um computador de um hacker por exemplo existem equipamentos hackers que simulam roteadores se o seu telefone se conecta a um computador de um hacker que está se passando por um roteador esse hacker tem acesso a todos e Eu repito todos os pacotes de rede que passam pelo roteador dele incluindo pacotes de transações bancárias de acessos à internet acessos a banco e qualquer outro site eu tô falando aqui de wi-fi público Mas isso não se limita somente a isso não não existe garantia nenhuma de segurança quando você

vai na sua cafeteria da sua cidade que você gosta muito de frequentar e lá tem sinar de wi-fi com senha e você acessa Seu banco lá por aquele wi-fi daquela cafeteria não tem como você saber se aquele sinal de wi-fi ele é legítimo ou se ele tá ou não sendo rastreado e agora sabe o que é mais interessante mesmo que você esteja conectado num sinal de wi-fi seguro e confiável um atacante ainda pode alterar os servidores DNS de um alvo em específico eu vou demonstrar isso usando o wi-fi da minha casa onde a minha rede

tá toda configurada não tem nada malicioso dentro da minha rede quando a gente falar de uma técnica de ataque chamada site clon então fica aí ela vai ser logo depois dessa Ok porque agora antes de eu falar do site cloner eu tenho que falar do wireless access point eu já comecei a falar dele junto com o DNS que eu falei anteriormente que é comum né você utilizar o wi-fi público sem e ponderar os riscos envolvidos um dos riscos do wi-fi público é o wireless access point ou e o ataque de Evil Twin esse acontece quando

o invasor configura um ponto de wi-fi idêntico a um wi-fi original e legítimo e o intuito do atacante é fazer com que você acabe se confundindo e conecte no wi-fi falso ao invés do wi-fi verdadeiro Tenha em mente que é bem possível o atacante forçar isso a acontecer Ok existem dispositivos à venda na internet que fazem a desautorização de wi-fi que é ele pega um sinal de wi-fi que tá num roteador espalhado em algum lugar e ele faz todo mundo conectado naquela rede se desconectar do roteador E aí o hacker sobe uma rede wi-fi com

um nome idêntico E aí você acaba se conectando nela achando que tá se conectando na rede wi-fi legítima e como eu já disse anteriormente uma vez que você acessou todos os dados vão ser compartilhados com o atacante com o hacker que tá falsificando essa rede wi-fi não suficiente é bem provável que você fazendo isso o hacker consiga sim enviar arquivos maliciosos diretamente pro seu dispositivo seja ele computador ou telefone em casos como esse não é possível identificar uma rede de wi-fi falsa mas fica tranquilo que se não é um bicho de sete cabeças como eu

já falei no final desse vídeo eu vou ensinar vocês a proteger de todas as técnicas de ataque que eu tô falando aqui o próximo tópico são os ataques de k code e esses ataques eles são basicamente fishin só que feitos alterando ou criando códigos QR maliciosos eles podem direcionar a pessoa para um site falso ou baixar um arquivo malicioso no seu dispositivo que tá analisando um caso que ocorreu uns meses atrás inclusive esse caso foi relatado pela Cars pesk foi a alteração de códigos QR que foram enviados em e-mails onde os atacantes tinham acesso a

e-mails de uma empresa e enviavam um código QR solicitando pagamento de alguma conta de alguma coisa assim e aí obviamente ess código QR redirecionavel simples porque fazer código CR hoje é muito fácil qualquer site aí por aí cria um código QR o próximo ataque é o ataque de site cloner esse ataque ocorre quando a vítima já caiu em um golpe de Fishing e o atacante Já possui controle e confiança da vítima é a criação de uma cópia falsa de um site verdadeiro para poder enganar pessoas o objetivo dele é fazer com que as pessoas acreditem

que estão entrando no site Genuíno dessa forma elas fornecem e informações sensíveis como credenciais de login dados bancários número de cartões de crédito e por aí vai anatomia desse ataque é bem simples primeiro o atacante ele clona um site verdadeiro ele pode fazer isso de forma manual programando o site na mão mesmo ou fazer isso de forma automatizada tem programas de computador que fazem isso de forma automática depois ele só precisa passar esse link do site pra vítima e esperar ela acessar a vítima acreditando que esse link que ela acessou é o site verdadeiro ela

vai acabar fornecendo as informações de login ou de dados bancários acreditando que tá interagindo com um site verdadeiro e não tá E essas informações vão ser direcionadas para atacante pra gente demonstrar como fazer esse ataque de DNS spff eu vou fazer um ataque um pouquinho mais complicado vai envolver também outros outras técnicas de ataque Mas se vocês quiserem eu faço um vídeo separado só para essa técnica de ataque porque ensinar aqui ia fugir bastante do foco do vídeo mas vamos supor que você quer descobrir o usuário e senha desse site aqui é da sua vítima

a sua vítima tem um login tem uma senha e você gostaria de descobrir qual que é o login a senha dessa pessoa o site que eu tô utilizando é o banco CN ele é um laboratório próprio para Pain test é distribuído gratuitamente pela Solid que é uma empresa que faz cursos de Pain test então não tem problema nenhum o tipo de ataque que eu vou fazer nesse site aqui não preciso nem dizer que você não deve fazer isso em nenhum outro tipo de site e nem mesmo para teste porque isso realmente pode dar problema para

seu lado mas como aqui É um cenário controlado né é um laboratório controlado vamos fazer nesse site aqui então vamos lá para eu descobrir o login e senha da pessoa eu teria que passar um link falso para essa pessoa com um clone desse site aqui bom clonar esse site aqui não seria nada muito difícil né a gente não tem um login muito complexo mas vamos fazer isso de forma automatizada para isso vamos copiar o link desse site aqui e vamos utilizar o set to kit que é uma ferramenta que já vem no cali Linux para

poder fazer ataqu de engenharia social Então vamos na primeira opção eh ataque de engenharia social você navega digitando aqui no teclado mesmo eh ataques em websites que é a segunda opção aqui vão aparecer algumas opções né Do que que você quer de quais os ataques envolvendo websites eu vou nessa terceira opção que é roubo de senhas roubo de credenciais no caso a gente quer roubar o login e a senha de uma pessoa e aqui é como a gente vai clonar esse site né a gente pode fazer ele na mão pode importar ele aqui ou pode

fazer uma clonagem automática que é o que eu vou fazer colocar aqui segunda opção ele vai pedir para qual IP ele quer que eu mande esse site nesse caso eu vou colocar no meu IP local mesmo que é esse daqui e aqui qual que é o URL do site eu já tinha copiado ela vou deixar ela aqui que é essa URL e ele vai clonar beleza Eh com o site clonado uma das coisas que a gente poderia fazer já é né Enviar o meu IP pra pessoa pessoa se a pessoa acessar o meu IP ela

vai acessar diretamente uma cópia desse site Mas não é isso que eu vou fazer como a gente falou a gente vai fazer um ataque de DNS spff Então vamos abrir aqui o ether Cap que é utilizado para poder fazer esse tipo de ataque ele tá aqui então o que a gente vai fazer o seguinte vamos iniciar ele e vamos listar aqui quais os IPS que tem nessa rede o IP que eu tô querendo atacar é esse 19268 157 que é a minha máquina alvo então a minha máquina alvo é essa e o 192168 151 é

o meu roteador então pra gente fazer esse ataque você tem que colocar o roteador como eh grupo um e o IP da vítima como grupo dois grupo ou alvo né aqui tá Alva mas depois disso a gente vem aqui e faz um arp poisoning que é para poder infectar essa pessoa a gente vai interceptar esses dois pacotes aqui os pacotes coas que estão trafegando entre um IP e o outro e aqui em plugins a gente vai adicionar o nosso DNS spoof e pronto com ele habilitado aqui a gente vai configurar ele num arquivo que chama

bar etc ettercap e.dns aqui a gente vai colocar o link falso que a gente estava falando aqui eu já deixei ele pré-configurado basicamente você vai colocar a URL que do site que você vai enganar a pessoa no caso essa URL site falso com ele não existe aqui a gente vai mapear esse registro a esse registro a ele é usado pra gente poder mapear o nome de domínio no caso site fals.com e a gente vai mapear ele pro endereço ipv4 que é o IP da máquina do cali Linux Ok E no caso registro PTR ele é

o contrário ele mapeia o endereço da nossa máquina do cali Linux para o nome de domínio uma vez que esse arquivo também tá configurado pronto a gente tá interceptando os pacotes entre essas duas máqu então se eu vier aqui na máquina da vítima vamos supor que essa daqui é a máquina da vítima Ok vamos logar aqui no site falso então que é com e olha só a gente entrou nesse site fals.com que é uma url que não existe porém o nosso DNS direcionou a gente pro IP local da máquina do cali Linux onde o site

tá clonado então se a pessoa viesse aqui e se loge como se fosse o usuário dela mesmo né vamos supor que esse seja o meu usuário ess aqui seja a minha senha vou colocar senha 1 2 3 quando a pessoa clicasse em fazer login Olha só não ia acontecer nada a URL ia mudar para URL original porém vamos ver que aconteceu lá na máquina do cali Linux aqui ele roubou o usuário e a senha da pessoa e pronto assim a gente passou por todas as principais técnicas utilizadas por hackers por aí dentro da engenharia social

você pode agora tá se pensando não é impossível alguém cair nisso são técnicas muito simples não tem como alguém explorar isso de verdade então eu vou te mostrar agora dois casos reais de engenharia social que foram muito simples de serem aplicados mas que causaram grandes estragos a primeira notícia aconteceu com a juíza do programa Shark Tank esse ataque aconteceu em 2020 um Cyber criminoso acabou se passando por um assistente dela e enviou um e-mail pro contador solicitando o pagamento de um imóvel no valor de 00.000 de uma uma conta relacionada aos investimentos de imóveis o

que acontece é que esse atacante utilizou um e-mail muito semelhante ao e-mail legítimo usado pelo assistente dela e o golpe só foi descoberto depois que esse contador recebeu um e-mail legítimo agora do assistente dela E aí ele percebeu que ele tinha tomado um golpe Então qual que é a análise desse golpe bom para começar esse foi um golpe de Fishing Claro Mais especificamente de Spear Fishing que porque foi direcionada a uma pessoa específica uma pessoa com grande poder aquisitivo o atacante seguiu fazendo um spff de e-mail né um golpe de e-mail spoofing porque ele utilizou

um endereço de e-mail que não é dele utilizou falsificou o endereço de e-mail utilizando muito Provavelmente algum serviço de envio de e-mail sem restrições o atacante explorou o viés da confirmação o que fez a vítima Acreditar nele o que terminou no envio do dinheiro pro golpista Então foi uma sequência de fatores que foram dando certo que o atacante teve que seguir para poder executar esse golpe novamente eu não ens esse tipo de prática eu só tô fazendo a análise do ataque aqui outro caso real que aconteceu de ataque de engenharia social que teve um um

resultado desastroso foi na Toyota em 2019 ela relatou em 2019 a notícia de que eles tinham tomado um golpe também de meio spoofing só que dessa vez com prejuízo de 4 bilhões de ienes ou em dólares né Isso dá mais ou menos 25 milhões de dólares acontece que o hacker dessa vez ele se passou por membro de uma das filiais da distribuidora porém da Europa e mandou e-mails pros membros do departamento financeiro e de contabilidade lá do Japão e solicitou que fossem feitos pagamentos e depósitos do fundo e é em uma das contas que claramente

tava sobre controle do hacker até aí tudo bem Você já viu que Isso é perfeitamente possível a parte que seria complicada nesse Golpe é você tentar convencer um trabalhador razoavelmente inteligente a transferir 25 milhões de dólares para uma conta sem consultar n ninguém em outras empresas essa quantia ela requer tanta preparação para ser transferida No mínimo você ia ter tantos tipos de papelada ou alarmes e isso faria com que o funcionário tivesse que Muito provavelmente fazer várias assinaturas e aprovações antes de efetuar um pagamento desse mas na Toyota a empresa era grande o suficiente para

que 25 milhões de dólares parecesse uma quantia não tão grande assim uma quantia de 25 milhões de dólares e sendo transferidos para uma filial da Toyota na Europa e não levantou suspeita de nenhum funcionário e a translação foi efetuada a Toyota não divulgou muitas mais informações sobre o caso até porque eu imagino que eles não podem e não queiram fazer isso mas é possível a gente inferir algumas coisas o ataque envolvia e-mails de pessoas se passando por executivos da Europa de uma filial europeia então esses endereços de e-mail eles têm que ser conhecidos então Muito

provavelmente a pessoa falsificou esses endereços de e-mail Com pouquíssimos erros ortográficos a ponto de não ser perceptível a menos que a pessoa olhasse eh de forma mais atenta foram utilizadas algumas ferramentas de influência nesse ataque dentre as principais né a ferramenta da autoridade porque o atacante nessa hora ele se passou por alguém confiável o que fez as pessoas questionarem bem menos é o motivo daquele e-mail foi inteligente a quantia de dinheiro que o atacante pediu porque é uma era uma quantia de dinheiro alta mas não alta suficiente para levantar suspeitas dentro da empresa e nem

baixa o suficiente para desconfiarem da veracidade do e-mail deve ter havido Muito provavelmente uma urgência dentro dessa mensagem de e-mail o que fez com que os funcionários não questionassem tanto principalmente por causa do viés da ancoragem e o que fez eles acreditarem unicamente em uma única informação que era o e-mail então eles não consultaram mais ninguém sobre a veracidade daquele e-mail é de se esperar que a gente também veja nesses tipos de ataque a ferramenta de influência da afinidade Muito provavelmente esses e-mails eles imitavam comunicações legítimas entre filiais da Toyota e isso gera confiança na

equipe né e fez eles questionarem menos também bom acho que assim deu para ter uma ideia do quão perigosos são os ataques de engenharia social Principalmente quando você tem conhecimento extremo do seu alvo mas olha só o que que é legal esses ataques eles já eram eficazes antes do surgimento e da popularização das inteligências artificiais isso quando tecnologias como clonagem de voz geração de vídeos por EA e Deep fakes ainda não eram comuns Então como que fica o futuro da engenharia social com o avanço das inteligências artificiais e quais são as novas Vertentes de ataques

que a gente pode esperar diante dessas ferramentas que cada vez estão ficando mais avançadas comuns e acessíveis bom aqui nesse vídeo eu vou falar de algumas modalidades novas de ataques de engenharia social envolvendo Voice cloning Jeep fakes E ai Agents Antes de tudo eu sempre gosto de contextualizar aquilo que eu vou falar então aqui a gente vai usar muito o termo ia generativa mas o que que é ia generativa a ia generativa é um tipo de Inteligência Artificial Projetada para criar conteúdo original como por exemplo textos imagens vídeos e por aí vai ela funciona aprendendo

novos padrões de dados existentes e a partir disso ela gera conteúdos que seguem os mesmos padrões aá ela é capaz de produzir criações que imitam trabalhos humanos de forma criativa E automatizada então vamos começar com a primeira técnica de ataque chamada Voice cloning o que que é Voice cloning Voice cloning é a técnica utilizando Inteligência Artificial generativa que busca replicar o Tom timbre estilo e entonação de voz de uma pessoa vamos entender como que isso é possível primeiro para fazer esse ataque você tem que coletar dados Então vamos imaginar que você vai coletar dados do

seu alvo vamos supor que você gostaria de clonar a minha voz tudo que você precisa basicamente é baixar esse vídeo nesse vídeo tem conteúdo suficiente na minha voz para você fazer uma clonagem só para você ter ideia alguns softwares que fazem a clonagem de voz eles conseguem clonar a voz de uma pessoa só com poucos segundos dela falando desde que nesses poucos segundos ela inclua entonações de voz diferentes e sinceramente não vai achando que é muito difícil encontrar esses programas aí pela internet muitos deles não só são disponíveis como também são open source é algo

bem fácil de encontrar bem fácil de fazer e o que não falta na internet é projeto de de voice cloning enfim esses softwares eles pegam esses dados de voz primeiro a primeira coisa que eles fazem é normalizar a voz da pessoa eles segmentam e extraem as características únicas de cada voz sendo essas o Tom a intensidade E a frequência depois é só utilizar redes neurais Profundas que são chamadas de dnn eu vou falar disso mais paraa frente eh que codificam a voz da pessoa elas convertem o áudio em um espectrograma que que é isso é

representação visual da frequência e amplitude do Som ao longo do tempo E com isso a inteligência artificial é treinada com os espectrogramas da voz do alvo que você quer clonar depois que você tem a voz clonada a gente vai só utilizar um gerador de texto para fala chamado de TTS assim ele consegue gerar qualquer frase que você digitar usando a voz clonada dessa pessoa a partir daí é só você ficar lapidando o modelo de Inteligência Artificial até que fique crível e consiga convencer As pessoas só para demonstrar o estrago que essa técnica causou eu vou

citar aqui dois casos O primeiro é o golpe de 25 anos do Mercado Livre acredito que esse seja o mais famoso os atacantes usaram um modelo de Inteligência Artificial que clonou a voz do Marcos monon para poder divulgar o aniversário do Mercado Livre e falar que o site estava vendendo telefones a preço simbólico Então você tinha telefone lá que tava sendo vendido a R 100 coisa desse tipo o dia do Consumidor do Mercado Livre tem ofertas com até 80% off receba R 600 de desconto para garantir um moto g14 por um um valor jamais visto

isso sim é uma parceria de sucesso e tudo que você precisa fazer é responder nossa pesquisa de satisfação e resgatar seu cupom de desconto clique agora em saiba mais e aproveite são os últimos dias obviamente isso não era verdade só que muitas pessoas caíram nesse golpe simplesmente porque era muito crível o Marcos Simon já havia feito propagandas no mercado livre antes não essa antes né ele fez propagandas do Mercado Livre então eles tinham as imagens do do Marcos mon e só precisaram clonar a voz dele que sinceramente a voz dele é o que mais tem

na internet então Clonaram a voz dele onde ele dizia né supostamente claro que o Mercado Livre tava oferecendo esse tipo de Promoção e o link que os atacantes disponibilizavam nessas propagandas eram links falsos que levava para sites falsos onde você comprava e obviamente não ia chegar nada o dinheiro era todo direcionado pros atacantes para piorar eles ainda divulgaram essas propagandas de forma paga no YouTube então isso ficou aparecendo para muit muita gente o que ajudou ainda mais na credibilidade do golpe porque você deve pensar pô se o YouTube tá anunciando Muito provavelmente não é golpe

mas sim o YouTube parece que ele não tem filtro para anúncio ou o filtro deles é muito ruim e não conseguiu ver que aquilo era uma situação de golpe e isso ajudou e colaborou com muitas pessoas para caírem nesse golpe e o link que esses golpistas disponibilizavam na propaganda era um link com uma clonagem do site do Mercado Livre perfeita o site era idêntico ao mercado livre A única diferença mesmo era lá em cima na URL mas muita gente não percebe nisso e infelizmente muita gente caiu outro caso que também aconteceu com Voice cloning foi

o caso da polop que ele segue exatamente a mesma Anatomia de ataque Dá até para você pensar que é a mesma pessoa que aplicou os dois golpes porque realmente bem parecido os dois tipos de ataque a única diferença é o roteiro no lugar de ser o Marcos mon falando de uma promoção eles Clonaram a voz e o vídeo do cels russ mano onde ele dizia claro né com voz clonada que a Polishop tinha sido processada e ela venderia os itens dela a preço simbólico e a mesma coisa era uma propaganda do YouTube seguindo a mesma

narrativa onde você clicava e era direcionado para um site idêntico porém falso e aí você comprava nada chegava e o dinheiro ia pros atacantes novamente Eles pagaram o YouTube para poder divulgar o site falso do golpe e quem tava desatento ou agiu na inocência acabou perdendo dinheiro o próximo que a gente vai falar são os tax utilizando Deep fakes o que que é Deep fakes Jeep fakes é uma tecnologia na verdade é que utiliza Inteligência Artificial generativa que cria conteúdo falsificado porém realista então geralmente e os conteúdos criados são fotos ou vídeos dessa forma eles

manipulam rostos para parecer em outra pessoa a técnica também utiliza redes neurais Profundas para poder gerar elementos visuais de um conteúdo original Como assim vamos imaginar que o roteiro Segue o mesmo que o voice cloning você pega conteúdos sobre o rosto de uma pessoa né imagens vídeos de uma determinada pessoa com a única diferença é que no vo Ciclone enquanto você precisa de pouco material para poder clonar a voz de alguém no Deep fake você precisa de um conteúdo bem mais e maçante sobre o rosto de alguém você precisa de várias fotos de vários ângulos

dessa pessoa com vários tipos de iluminação diferente com várias expressões faciais diferentes também tudo isso porque a rede neural que vai analisar o rosto da pessoa né e eh logo posteriormente fazer a clonagem ela precisa do o máximo de dados possíveis para que o resultado final seja algo crível e consiga enganar alguém então depois que a coleta de dados é feita a gente vai pro pré-processamento serve pra rede neural poder extrair as características de cada pessoa alinhar o rosto né e Identificar qual que é a estrutura ó o tipo de pele expressões faciais que a

pessoa mais faz assim o modelo generativo ele é capaz de gerar fotos e vídeos utilizando esse rosto que foi clonado e depois no máximo você faz alguns efeitos ali para poder suavisar e corrigir algum um as falhas corrigir iluminação e você tentar deixar o vídeo crível pra pessoa que tá assistindo Tá mas como que isso é um golpe você tá aqui um exemplo só de um golpe que aconteceu utilizando é inteligência artificial com Deep fake foi Deep fake Voice cloning vou explicar fizeram um Deep fake do rosto do William Bonner juntamente com Voice cloning do

da voz dele também e espalharam um vídeo falso onde ele supostamente falava né claro que ele não falou de verdade onde ele falava que estava disponibilizando um link para as pessoas poderem acessar que o link era para ver se você tinha acesso a ganhar um dinheiro por indenização coisa desse tipo só que claramente o link era falso o a ideia do link era pegar dados pessoais das pessoas era uma prática de golpe que usaram a imagem dele o voice C cloning foi feito para ele falar esse tipo de coisa e o Deep fake foi feito

pra boca dele sincronizar com o que ele tava falando aí não ficava destoante não parecia um vídeo falso porque a boca dele sincronizavel na inocência quem não teve a maldade de poder perceber que era um vídeo gerado pela Inteligência Artificial acabou caindo no golpe a última técnica que a inteligência artificial trouxe para a engenharia social são os ai Agents o que que é isso são sistemas independentes e autônomos que utilizam Inteligência Artificial avançada para realizar tarefas específicas de forma independente vamos lá a ideia é você utilizar a linguagem neural da ia como uma forma de

automação para ela poder interagir com humanos e sistemas assim ela vai tomar decisões aprender com o ambiente à volta dela e executar algumas ações tá Mas como que isso pode ser usado como uma forma de ataque eles podem ser explorados principalmente para poder enganar pessoas assim como tudo na engenharia social então você pode automatizar ataques e personalizar abordagens com as vítimas por exemplo você fazer simulações de conversas realistas em troca de e-mail troca de mensagens eh enganar vítimas em interações online no geral tipo algumas conversas de pessoas que tentam se passar por suporte técnico Pois

é uma inteligência artificial poderia conversar com milhares de pessoas ao mesmo tempo e tentar aplicar golpe nelas não só isso eles também Podem enviar e-mails maliciosos tipo meio spoofing mesmo porém eh em massa e personalizado para cada tipo de alvo adaptando o conteúdo dependendo do Alvo do ataque não só isso eles também podem ser usado em redes sociais um agente de ia ele pode gerenciar um perfil falso em uma rede social e ficar interagindo com outros usuários com o objetivo de ficar gerando confiança com o usuário eh ao longo do tempo e assim posteriormente eh

aplicando um golpe de engenharia social na pessoa não só isso algo que acontece hoje em dia já e os ai Agents eles ajudam na clonagem de voz muitas vezes a gente recebe uma ligação ela conversa fala algumas palavras só soltas para você ficar oi oi quem tá me ligando não sei o que Pois é isso daí pode ser usado como técnica de engenharia social para clonar sua voz porque é um robô ali por trás que fica soltando algumas palavras soltas captura a voz do seu telefone e faz a clonagem dela para poder aplicar golpe por

aí usando a sua voz como eu já disse para fazer voz você precisa de poucos minutos da voz de alguém às vezes até segundos beleza dessa forma a gente acabou explorando as principais técnicas viu as formas de golpes mais recentes utilizando a inteligência artificial Mas lembra que cada abordagem dentro da engenharia social ela é planejada pensada para explorar as vulnerabilidades humanas e principalmente psicológicas saber como esses ataques funcionam e como os golpistas pensam é metade do caminho mas você precisa também saber como se proteger desses ataques Afinal todo o conhecimento que a gente adquire sobre

esses tipos de golpes na internet só será útil se a gente souber como utilizar para nos proteger e paraa nossa segurança ao acessar a internet então vamos pra parte mais crucial desse vídeo que é a prevenção Como que você se protege de um golpe de engenharia social Eu só queria falar uma coisa publicamente aqui é que o processo de prevenção da engenharia social ele começa com você entendendo que a engenharia social em sua maior parte quase toda Ela depende exclusivamente do fator humano para funcionar o objetivo dela é manipular comportamentos decisões e pensamentos das pessoas

esse na verdade é o grande motivo do Sucesso que esses golpes têm ela se aproveita de características humanas universais como confiança medo urgência curiosidade desatenta os sistemas e as tecnologias eles podem sim ser projetados para serem mais seguros mas o elo mais fraco de qualquer sistema geralmente é o ser humano mas por que que eu tô falando isso bom falando isso talvez você pense que é natural que esse seja o foco principal de uma empresa para poder manter os seus ativos bem protegidos mas não muitas empresas cometem O equívoco o erro de investir majoritariamente na

infraestrutura tecnológica dela do tipo firewalls sistemas de ids que é detecção de intruso criptografia mas muitas elas negligenciam esse fator humano mais precisamente negligencia o treinamento dos funcionários contra esses golpes a tecnologia ela é sim eficiente temos a gente tem hoje sistemas muito Seguros que hackers e eh penam para poder invadir mas eles não compensam a falha do fator humano você viu aqui na parte que eu falei dos casos reais o prejuízo que um ataque de engenharia social pode causar mas chega a ser impressionante o quanto as empresas subestimam a falta de preparo dos próprios

pros funcionários em muitos casos basta ter um único funcionário desatento ou mal treinado para poder comprometer a segurança de um de uma organização inteira porque mesmo os sistemas mais avançados Eles não conseguem impedir que algum funcionário divulgue informações confidenciais ou alguma credencial que ele não devia ou clique em algum link que ele não devia um colaborador bem treinado supera qualquer falha técnica enfim agora que eu coloquei isso para fora vamos de PR as prevenções e vamos começar com Fishing Fishing é o principal ataque de engenharia social não a toa ele é o mais difícil de

se defender também mas vamos por partes aqui Vale lembrar que todos os métodos de prevenção desse vídeo aqui eu tô tirando do guia da cpesc eu não tô tirando nada da minha cabeça aqui para você mitigar um golpe de Fishing você tem que eliminar os seus pontos mais fortes primeiro de tudo a gente tem que eliminar as incertezas Então você tem que conferir a fonte da informação que você tá recebendo acalma o momento abaixa o senso de urgência e pensa de onde que veio essa mensagem e não confia camente na comunicação que você recebeu imagina

por exemplo que um pen drive aparece na sua mesa de repente no seu escritório a última coisa que você vai fazer é pegar essee pen drive e plugar na sua máquina para ver o que acontece ou imagina que você recebe uma ligação dizendo que você fez uma compra que você não se lembra de ter feito no valor de tantos r000 e agora você tem que confirmar o valor dessa compra de antemão eu já te alerto esse tipo de coisa não acontece banco nenhum vai te ligar para confirmar esse tipo de coisa tá bom ou então

você recebe um e-mail solicitando um pagamento que você não foi informado ou um pagamento que você não tá ciente dentro da sua empresa não é com urgência confirma sua fonte primeiro confirma a veracidade da comunicação que você recebeu todos esses cenários que eu citei eles são suspeitos e devem ser tratados como tal mas vamos lá e como é que eu verifico isso verificar as fontes não é difícil se for um e-mail é bem mais fácil ainda você só precisa verificar o cabeçalho do e-mail Quem que te mandou esse e-mail verifique se o remetente do seu

e-mail possui um nome válido verifica se não há nenhum erro de ortografia no nome do e-mail isso vale para sites também mas depois eu vou chegar Nisso porque erros de ortografia não são comuns os bancos têm equipes inteiras dedicadas a produzir comunicações com clientes tem setores específico de comunicação um e-mail Com erros de ortografia ou erros gritantes Muito provavelmente é falso outra coisa veja para onde os links direciona verifica para onde que esse link tá te mandando não clica nele mas é fácil de detectar se você colocar o Mouse em cima do link e clicar

com o botão direito você vai ver para onde ele vai te direcionar e você não vai precisar clicar nele se você ainda assim tiver com dúvida sobre a veracidade no e-mail acessa o site oficial Praticamente tudo hoje tem um site oficial e um telefone oficial de comunicação Não confia nos telefones que você recebe por e-mail nem nos domínios que você recebe por e-mail acessa o site oficial no número oficial liga e confirma sua situação outra coisa verifica se a comunicação que você recebeu tem informações suficientes para você por exemplo a pessoa que te ligou querendo

confirmar um pagamento no banco ela tem seu nome completo Porque se é um banco ele tem todos os seus dados né e é normal que eles confirmem esses dados antes de pedir qualquer outro tipo de coisa eles sempre fazem perguntas de segurança se for uma ligação legítima senão é bem provável que seja falsa o próximo ponto é o senso de urgência a engenharia social depende dela para funcionar muitas vezes quem tá aplicando golpe depende que você não pense muito no que tá cendo por isso só um momento de pensar pode dissuadir qualquer tipo de ataque

e mostrar a falsidade deles outra coisa Sempre peça identificação verifica sempre o nome e o número de quem tá te ligando pergunta pra pessoa com quem você trabalha qual que é o seu nome de onde você tá falando comigo deve ser uma resposta muito básica se a ligação for legítima se for um pedido legítimo E outra coisa se você não tá seguro ou não Conhece ou ainda tá indeciso fala que vai ligar Em outro momento responde que você precisa ver verificar com outra pessoa e que você vai retornar ao contato e fica tranquilo é muito

provável que a pessoa nem te ligue de novo ou que nem vai te incomodar e outra coisa sua conta jamais vai ser bloqueada com uma notificação por e-mail ou por telefone se tá chegando muito e-mail falso para você pode ser que o seu filtro de spam não tá funcionando como devia além de você poder adicionar determinados domínios de e-mail Como spam ter um bom filtro de spam também ajuda até porque eles não só identificam o remetente mas eles também identificam se tão se você vai receber algum link malicioso ou algum arquivo malicioso e impede Que

isso chegue até você alguns filtros de spam possuem listas negras de domínios que eles já tem conhecimento que são falsos então é bem provável que esses e-mails falsos nem cheguem para você outra coisa Seja cauteloso Ao Sentir urgência Durante uma conversa ou durante uma ligação Essa é a forma que a engenharia social Opera para terminar aqui sobre Fishing protege os seus dispositivos não baixa nada de uma fonte que você não conhece não baixa aplicativos de site que você desconhece não usa a mesma senha para contas diferentes tenas senhas difíceis e senhas diferentes umas das outras

e não se preocupa de esquecer a senha só você anotar Eu tenho um caderno de senhas onde toda vez que eu crio uma conta nova em algum lugar eu vou lá anota a minha nova senha dessa conta deixa no meu caderno anotado e sempre que eu precisar eu pego abro vejo a minha senha e pronto se você quiser você também pode usar um gerenciador de senhas ele vai manter suas senhas seguras e salvas para quando você quiser usar no seu telefone Eu particularmente o zoom que é muito bom que é o bitwarden ele funciona muito

bem e olha que isso aqui nem é propaganda para suas contas mais importantes para eu não dizer em todas usa autenticação dois fatores que que é isso além de você ter a sua senha padrão você vai ter uma nova autenticação uma nova etapa para poder verificar seu acesso sendo esse ou o e-mail ou um aplicativo de autenticador do Google com um código que muda a cada um minuto você só tem que fornecer o código e pronto você tá logado isso vai reduzir muito a sua chances de perder uma conta mesmo que alguém tenha o seu

usuário e sua senha a pessoa ainda vai precisar ou do seu e-mail para poder fazer isso ou de uma forma que ainda mais segura do código do seu autenticador que fica só no seu telefone então é bem mais difícil de alguém tentar te hackear e ainda se você forneceu alguma senha e acha que foi enganado muda ela imediatamente eu acho que eu não preciso nem dizer isso aqui para uma que você nunca tenha usado Claro no mais é isso se você seguir todas essas dicas que que eu falei você tá praticamente imune a qualquer tipo

de ataque de Fishing agora a gente vai falar de DNS spoofing tem como se proteger de DNS spoofing tem uma boa dica para você se proteger é usar um bom DNS Sec que que é isso é um pacote de extensões que adiciona Segurança ao protocolo DNS ele garante que as respostas de DNS elas são legítimas e que elas não foram alteradas no meio do caminho essa próxima dica é para ter um pouco de cuidado ouve ela com atenção tá bom quando você tiver acessando um site verif fica na parte superior do site tem o prefixo

https o http ele não é seguro o https é uma conexão criptografada ela garante que as duas partes da conexão estão criptografadas e não existe ninguém no meio dessa conexão escutando significa que a conexão é segura em termos de DNS ou seja isso não indica que o site é confiável mas só que a sua conexão é segura Como assim se você tiver acessando um site de golpe como por exemplo os dois golpes que eu citei de site cloner lá em cima que foi o da Polishop e o do Mercado Livre 25 anos os dois tinham

https por quê Porque o domínio deles era um domínio falso porém a conexão que você que o seu dispositivo fazia nesse site era uma conexão segura Como assim quer dizer que ninguém estava no meio da sua conexão mas o site ele era falso e era um site de golpe Então esse https esse cadeadinho que fica no topo dos Sites ele não indica que o site é seguro por favor se tem isso não significa que o site é seguro o site ainda pode ser um golpe a única coisa que indica é que a conexão do site

é segura o próximo é como se defender de wireless access point e isso é simples como que eu vou saber se um sinal de wi-fi ele é seguro ou não se ele é malicioso ou não não tem como saber então qual que é a prevenção não se conecte em wi-fi públic públicos tão pouco aqueles que você desconhece a procedência veja o único requisito para você cair num golpe de Evil Twin ou j wireless access point é estar conectado então não há outro método de prevenção por isso que eu recomendo sempre tentar ao máximo utilizar Internet

imóvel quando você tá fora de casa tá mas isso não for possível Ok vamos supor que não é possível nesses casos tentar um máximo evitar qualquer tipo de login em contas privadas suas acesse somente as que já estão logadas Evita usar aplicativo de banco né E esse tipo de coisa em local importante e se te pedirem senhas e logins que você não tá acostumado não digite já comentei isso anteriormente mas eu vou falar de novo sempre use a autorização dois fatores isso vai salvar sua conta de qualquer hacker por último vamos falar dos ataques de

QR Code como que se defende disso na verdade é bem simples não escanei códigos KR que você não sabe a fonte a maioria deles dos códigos KR seja eles maliciosos ou não eles te direcionam para um site através de um link e basta um link malicioso para baixar um aplicativo malicioso no seu telefone baixa um link malicioso que vai tentar fazer um roubo de cook um roubo de sessão dentro do seu computador dentro do seu telefone mas se você for scanear verifica com muito cuidado para onde esse q code vai te levar dependendo do link

Ele Pode sim ser perigoso Enfim acho que a gente chegou no final do vídeo Meus parabéns você chegou até aqui eu acho que eu falei tudo sobre engenharia social aqui eu espero que você saia daqui com uma visão mais clara sobre como esses ataques funcionam E como você se protege deles e por favor compartilha esse vídeo com quem você acha que vai se beneficiar com essas informações Afinal a segurança ela é uma responsabilidade de todos nós não mais Obrigado por assistir e até a semana que vem