Você identificou esses ataques comuns de phishing em redes sociais?
O phishing de mídia social é uma forma de ataque cibernético usando sites de redes sociais em vez de e-mails. Embora o canal seja diferente, o objetivo é o mesmo – induzi-lo a fornecer suas informações pessoais ou fazer o download de um arquivo malicioso.
A mídia social é a favorita entre os cibercriminosos porque não há falta de vítimas. E devido ao ambiente confiável, há uma mina de ouro de dados privados que eles podem usar para lançar um ataque de spear-phishing de acompanhamento.
Veja como eles estão fazendo isso em algumas das plataformas mais populares.
O Facebook é a terceira marca mais comumente personificada para ataques de phishing. Com mais de 2,6 bilhões de usuários em todo o mundo, é fácil entender por quê. A plataforma oferece uma infinidade de perfis e mensagens repletas de informações pessoais para os phishers explorarem.
Os ataques ao Facebook costumam ser direcionados aos consumidores e não tanto às grandes organizações. Os phishers usam a engenharia social para atrair vítimas inocentes para que exponham seus dados.
Eles fingirão ser do Facebook e enviarão e-mails aos usuários sobre um alerta de segurança, por exemplo. A partir daí, os usuários são instruídos a fazer login em seus perfis do Facebook e alterar sua senha. Eles são então enviados para uma página de login falsa do Facebook, onde suas credenciais são coletadas.
Como o phishing atinge seus amigos
Se eles conseguirem acesso à sua conta, eles podem lançar uma rede mais ampla vitimizando seus contatos. Eles também podem usar as informações que seus amigos compartilham com você em uma campanha de spear-phishing mais direcionada.
Os phishers usarão sua conta para enviar mensagens ou postar um status com um link malicioso. E como seus contatos confiam em você, há uma chance maior de eles clicarem nele.
O que é Angler Phishing?
Este é um tipo de phishing que usa mídia social, mas tem um MO mais sofisticado. Eles têm como alvo os usuários que postam (principalmente discursos) sobre um serviço ou sua conta. Os invasores fingem ser do provedor de serviços e enviam ao usuário um link para entrar em contato com um representante de atendimento ao cliente.
Mas você adivinhou: o link leva a um site falso para colher informações.
O que costumava ser uma galeria de selfies agora é um negócio multimilionário usado pelas maiores marcas e influenciadores do mundo.
Como os phishers no Facebook, aqueles que exploram o Instagram enviam e-mails aos usuários alertando-os sobre um alerta de segurança. Por exemplo, pode ser uma mensagem sobre uma tentativa de login de um dispositivo desconhecido. O e-mail tem um link que direciona os usuários a um site falso, onde as informações de login são coletadas.
Assim que obtiverem acesso, eles terão uma mina de ouro de informações pessoais para explorar de diferentes maneiras. Um ataque sinistro, por exemplo, envolve chantagear você ou seus amigos, ameaçando vazar fotos que você compartilhou em particular ou através do Instagram Direct Messenger (IGdm) se você não ceder às exigências deles.
O que é um golpe de violação de direitos autorais?
Se os phishers colocarem as mãos em contas comerciais, especialmente as verificadas, eles poderão lançar campanhas de phishing mais insidiosas por meio do IGdm.
Uma conta verificada para a filial de uma grande empresa no Chile, por exemplo, foi relatada por usuários em junho de 2020 por enviar mensagens de phishing.
A mensagem alertou os usuários sobre uma violação de direitos autorais em uma postagem. O restante da mensagem dizia: “Se você acha que a violação de direitos autorais é errada, você deve fornecer um feedback. Caso contrário, sua conta será encerrada em 24 horas. ” O link para o feedback era, obviamente, uma página falsa do Instagram que coletava informações de login.
O que é um Blue Badge Scam?
Nada parece tão legítimo quanto ter aquele cheque azul cobiçado. Os phishers também exploram isso.
Um esquema de phishing do Instagram envolve o envio de um e-mail aos usuários oferecendo um selo certificado. Depois que os usuários clicam no botão "Verificar conta", eles são direcionados a uma página de phishing, onde suas informações pessoais serão coletadas. Na maioria das vezes, influenciadores e usuários “famosos do Insta” são alvos desse tipo de ataque.
Confira nosso guia sobre como ser verificado no Instagram para contornar esses golpistas.
A principal plataforma para a comunidade empresarial mundial, usada por mais de 700 milhões de profissionais, também é um alvo favorito dos phishers.
As pessoas confiam no LinkedIn mais do que em qualquer outro site de rede social, de acordo com um relatório digital de confiança . Os usuários também estão mais propensos a postar detalhes sobre seus trabalhos, tornando-os um alvo principal para ataques de spear phishing e caça às baleias.
Como os recrutadores falsos enganam os usuários do LinkedIn
Uma das campanhas de phishing de mídia social mais cruéis é um ataque que visa candidatos a emprego no LinkedIn. Os cibercriminosos se passam por recrutadores e chegam aos usuários sobre uma postagem de emprego falsa por meio do LinkedIn Messaging.
Os phishers o atraem dizendo que seu histórico é perfeito para a função que estão tentando preencher. Eles vão tornar isso ainda mais irresistível com um pacote de compensação maior.
Você verá um link que o phisher diz que contém todos os detalhes sobre o trabalho. Como alternativa, eles podem enviar um anexo em Microsoft Word ou Adobe PDF para download.
Parece emocionante, especialmente para quem está procurando emprego. Mas os links levam você a uma página de destino falsificada e o arquivo do Word tem macros para iniciar o malware. Este último pode roubar seus dados ou abrir um backdoor para o seu sistema.
Você recebeu solicitações de contato falsas?
Existem duas solicitações de contato falsas mais comuns. O primeiro vê os usuários recebendo um e-mail alertando-os sobre uma solicitação de contato. Isso vem com um link que leva a uma página de login falsa do LinkedIn.
O segundo é mais complicado: envolve a criação de contas falsas e o envio de solicitações de conexão de dentro do LinkedIn. Assim que você aceitar o convite, os phishers terão acesso a mais informações em seu perfil e estarão um passo mais perto de todas as suas conexões.
Eles podem enviar uma mensagem de phishing ou usar suas informações para lançar ataques mais direcionados aos seus contatos. Sendo o seu contacto graus 1º também lhes dá mais credibilidade, fazendo o seu perfil parece mais legítimo.
Como se proteger contra phishing nas redes sociais
Tenham cuidado com as informações que postam nas redes sociais. Apelidos, professores, cores favoritas, escolas, DOB, cidade natal, animais de estimação são todas perguntas em um teste de senha esquecida. Eu sei que as mensagens da rede são legais e tudo menos o phishing é uma coisa. Os golpistas adoram as redes sociais para isso. Ser seguro.
– MELISSA MEDINA (@melissamedinavo) 10 de novembro de 2020
Para se proteger contra esses tipos de ataques, não clique em links em e-mails e DMs. Verifique novamente a fonte. Mesmo que pareça que a mensagem é de alguém em quem você confia, há uma chance de que a conta dele tenha sido comprometida.
Ligue para a pessoa primeiro para ter certeza de que é real, principalmente se a mensagem contiver anexos que você está sendo solicitado a baixar.
Sempre verifique a URL dos sites que você visita. Os hackers produzem URLs falsificados alterando uma ou mais letras do URL de sites conhecidos. Eles também podem usar letras simbólicas para se parecerem com as letras originais. Passe o mouse sobre os links para examinar todo o URL, que deve aparecer na parte inferior do seu navegador.
Lembre-se de que a correspondência oficial de redes sociais e outras organizações nunca virá de ninguém usando endereços de e-mail com nomes de domínio @gmail ou @yahoo.
Outros sinais indicadores a serem observados são erros tipográficos e gramaticais ou mensagens que o apressam a agir. Este último foi projetado para causar medo ou pânico, de modo que você não terá tempo para pensar.
A mídia social também arrisca seus entes queridos
Se você se expõe a ataques de phishing em redes sociais, arrisca seus amigos e entes queridos, pois os hackers podem usar sua conta como um portal para chegar até eles.
Felizmente, um pouco de cautela e bom senso ajudam muito a se proteger.
