Universidade Federal do Paraná

Menu

Ciência e Tecnologia

Pandemia da Covid-19 ocasiona aumento de ciberataques, alertam especialistas

Superintendência de Comunicação Social     25 de março de 2020 - 12h48

Entre as consequências e desdobramentos da pandemia da Covid-19, está o aumento de ataques cibernéticos causados pela engenharia social e pelo phishing. Por trás desses ataques estão pessoas mal intencionadas que tentam tirar proveito da curiosidade, da desinformação e do medo da população para conseguir acesso a informações confidenciais por meio de habilidades de persuasão. Termos como “Covid-19”, “coronavírus”, “quarentena” e outros associados ao contexto acabam sendo utilizados para persuasão destes criminosos virtuais que promovem os ataques de engenharia social.

Com a evolução do número de casos da doença no Brasil, o aumento de medidas governamentais e as ações de empresas de grande porte, os golpistas iniciaram campanhas maliciosas aproveitando desses fatos comuns a toda população. Um dos casos  é o de uma falsa promoção envolvendo a empresa de streaming Netflix. O golpe foi disseminado pelo aplicativo de mensagens WhatsApp. O texto da mensagem falsa diz:

“A Netflix decidiu liberar o acesso a sua plataforma de filmes e séries pelo período de isolamento das pessoas, mas é por pouco tempo o cadastramento! Corre no site  https://netflix-usa.net/?periodo-de-isolamento-gratis.”

De acordo com especialistas, nesse golpe são utilizados dois gatilhos mentais: a palavra “quarentena” e a frase “mas é por pouco tempo o cadastramento”, que o alvo associa com escassez. “Geralmente a vítima tende a preencher de maneira ágil as informações solicitadas pelo atacante. Na página deste golpe, existia um contador decrescente que simulava contas sendo distribuídas. Isso influenciava a vítima a preencher com maior agilidade os dados solicitados”, afirma Wagner Monteverde, especialista em Segurança da Informação e CEO da Startup de Segurança Cibernética EarlySec. Verifica-se, ainda, que a URL utilizada para hospedar a página maliciosa tenta imitar a original, levando os usuários menos atentos a confiarem no endereço.

Outro caso também disseminado no aplicativo WhatsApp aborda um benefício lançado recentemente pelo Governo Federal para auxiliar autônomos neste momento de pandemia. O texto da mensagem falsa é:

“Governo Federal iniciou o cadastramento do Auxílio Cidadão que dá uma ajuda mensal no valor de R$ 200 para trabalhadores autônomos e pessoas de baixa renda para ajudar a combater CORONAVÍRUS.  Confira se você tem direito ao benefício: http://auxilio-corona.info.”

O golpista utilizou a notícia sobre um benefício real oferecido pelo governo e amplamente divulgado na mídia. A mensagem mexe com a curiosidade da vítima: “Confira se você tem direito ao benefício”. “Apesar de o texto não ser tão apelativo, a URL e a própria página denunciam o golpe. A URL não tem relação com os canais oficiais do Governo Federal ou seus programas sociais. Além disso, a página do golpe possui aparência rústica, trazendo desconfiança ao visitante. Porém, pessoas menos informadas e com menos familiaridade com computação podem cair nesta armadilha”, revela a líder do Centro de Ciência de Segurança Computacional (CCSC) da Universidade Federal do Paraná (UFPR), professora Michele Nogueira.

Outra notícia verdadeira distorcida para aplicar um golpe foi a distribuição gratuita de álcool em gel pela empresa AMBEV. A ação da empresa tem como objetivo atingir laboratórios e hospitais. Os atacantes, por sua vez, distorceram a notícia incluindo pessoas físicas como beneficiários com a finalidade de capturar dados.  O texto da mensagem falsa é:

“A AMBEV no combate ao COVID-19 está distribuindo gratuitamente álcool em gel em todas as cidades do país. Eles disponibilizaram um site para verificar os pontos de distribuição, mas são poucas unidades por pessoa. https://ambev-br.net/?retire-seu-alcool-em-gel-gratis.”

Nesta mensagem além do apelo ao gatilho mental de escassez: “mas são poucas unidades por pessoa”; também é explorada a  situação atual de falta do produto nos comércios brasileiros. A URL divulgada na mensagem não tem relação com a empresa em questão.

Os gatilhos mentais são peças-chave em ataques de engenharia social, que também utilizam assuntos amplamente difundidos e propostas extremamente vantajosas. “Os gatilhos mentais são uma técnica de persuasão que se relaciona com as emoções e com as percepções sociais presentes em todos os seres humanos. Os principais gatilhos mentais são os de segurança, de razão, de prova social, de autoridade, de reciprocidade, de afinidade e de escassez”, explica Monteverde.

Os especialistas alertam que o ataque de engenharia social e os phishings não são novidade. No cotidiano é possível observar e-mails recorrentes que solicitam alteração cadastral ou a mudança de senha bancária. Parte desses phishings é detectada pelos nossos softwares de antivírus, porém o alerta dos profissionais é que esses ataques foram potencializados com a pandemia. “Diante da nossa busca constante por informação e atualização sobre a situação, estamos mais vulneráveis a clicar em um link malicioso. É necessário ficarmos atentos a fim de não comprometermos ou infectarmos nossas redes e computadores neste momento em que atividades como comunicação com familiares, compras pela internet e entretenimento dependem desses recursos”, aconselha Michele.

Como forma de ajudar na prevenção do roubo de informações e infecções por vírus de computador, os especialistas recomendam:

1) Pense duas vezes antes de abrir e clicar em links enviados por e-mail;

2) Não forneça dados sensíveis antes de confirmar a identidade de quem solicitou;

3) Quando o assunto ou proposta que chegar até você parecer muito bom ,pense duas vezes antes de clicar;

4) Não utilize redes públicas para trabalho remoto (#fiqueemcasa);

5) Quando disponibilizado pela empresa, conecte-se utilizando uma VPN;

6) Desconfie sempre;

7) Qualquer dúvida sobre Segurança da Informação, entre em contato com especialistas que possam ajudar.

Como forma de ajudar a população, o Centro de Ciência de Segurança Computacional (CCSC) da UFPR e a empresa EarlySec disponibilizaram uma página para registro de casos suspeitos de engenharia social. Caso você receba uma mensagem suspeita, envie para análise por meio da página. Os registros de casos suspeitos serão avaliados por pesquisadores e profissionais de segurança computacional e, sendo confirmados, serão divulgados para conhecimento da sociedade. Esses registros também servirão para análises nas pesquisas dos profissionais.

Com informações de Wagner Monteverde: especialista em Segurança da Informação com certificação ISO 27001 e CEO da Startup de Segurança Cibernética EarlySec. Michele Nogueira: professora e líder do CCSC da UFPR.

Saiba tudo sobre as ações da UFPR relacionadas ao Coronavírus