Até dia 28 de novembro é expectável um pico no consumo devido à Black Friday e Cyber Monday, dois dos maiores momentos de compras online em 2022. Porém, é também uma oportunidade de ouro para um aumento na tentativa de ciberataques.
O alerta é dado pela S21sec e não deve deixar ninguém indiferente. Perante um clima de inflação a assolar a economia mundial, nunca os bens essenciais estiveram tão caros, nem o custo de vida tão alto. Como tal, o aumento da criminalidade online é apenas mais um reflexo deste panorama adverso em que a pobreza espreita já em cada nova fatura que nos chega a casa.
Black Friday e Cyber Monday são "alvos" apetecíveis para as fraudes online
Este ano, desde o início da guerra entre a Rússia e a Ucrânia, os preços dos combustíveis atingiram níveis recorde e o conflito energético alastrou-se a todo o mundo.
Neste contexto, aproveitando também estes dias de ofertas, os hackers tiram proveito da crise e da incerteza geral em torno dos preços dos combustíveis. Tudo para atrair potenciais vítimas, espalhando ofertas falsas e descontos.
Este tipo de fraude é feito por campanhas de phishing. Esta é uma técnica de ataque baseada em engenharia social que visa enganar o utilizador na partilha de todo o tipo de informações pessoais. Informações tais como palavras-passe, dados sensíveis, números de conta, etc.
Phishing é uma ameaça recorrente em épocas de compras online
O tipo mais comum de phishing durante a campanha de Black Friday e Cyber Monday é o tradicional phishing por e-mail. Ou seja, os cibercriminosos compõem um e-mail que enviam para endereços diferentes fingindo ser empresas reais que oferecem descontos nestes dias.
Este tipo de fraude também pode chegar através da WhatsApp, aumentando os riscos e o alcance do ataque. Isto uma vez que a mensagem ou ficheiro manipulado pode ser encaminhado para diferentes contactos muito rápida e facilmente.
Nesse sentido, a S21sec já registou numerosas campanhas de phishing distribuídas por WhatsApp sob o nome de poderosas marcas multinacionais. Ou seja, um logro com o potencial de rapidamente se alastrar através das redes sociais e apps de mensagens.
Esquemas espalham-se por email e até por WhatsApp
Em simultâneo, outra das técnicas utilizadas nesta altura do ano é o smishing. Ou seja, o envio de mensagens SMS informando a vítima que, por exemplo, a sua encomenda não pôde ser entregue normalmente devido ao não pagamento ou que a encomenda foi retida na alfândega.
A mensagem de texto inclui normalmente um URL (link) fraudulento, aparentemente legítimo, pedindo à vítima que forneça os seus dados bancários para efetuar o pagamento.
Para além disso, o malware é outra metodologia utilizada pelos hackers através de e-mails com anexos maliciosos destinados a infetar as vítimas. Fazem-no para roubar informação ou para tornar os computadores parte de uma botnet.
Cuidado com algumas mensagens SMS
Isto é, uma rede de computadores infetados que pode ser controlada remotamente e forçada a enviar spam, espalhar malware ou realizar um ataque DDoS. Tudo isto, como facilmente se compreende, sem a autorização do proprietário do dispositivo.
Também o e-skimming deve ser destacado, ao se tratar de uma técnica utilizada pelos ciber criminosos para obter informações bancárias e pessoais em lojas online legítimas e depois vendê-las no mercado negro.
O acesso a estas lojas online é obtido por campanhas de phishing. Fazem-no também através da exploração de vulnerabilidades não corrigidas no sistema de gestão de conteúdos sem deixar nenhum vestígio do crime cometido.
O e-skimming afeta geralmente as lojas online que têm o gateway para pagamento dentro do próprio domínio da loja, porque toda a informação é gerida pela própria loja.
No entanto, também pode afetar lojas online que utilizam gateway de terceiros, porque mesmo que os detalhes do cartão não sejam geridos pela loja, a informação do cliente pode ser roubada.
As recomendações da S21sec para estes dias são as seguintes:
- Desconfiar dos e-mails em que são publicadas grandes ofertas, pois os hackers aproveitam estas campanhas de desconto para realizar ataques, recorrendo à engenharia social.
- Ignorar as mensagens de email de remetentes desconhecidos e/ou não verificados, bem como os seus anexos, e denunciar à equipa de segurança as mensagens de email suspeitas. Evitar o download de anexos, software e outros ficheiros de fontes não fidedignas.
- Nos processos de autenticação, recomenda-se verificar sempre se o link é legítimo.
- Não fornecer credenciais pessoais, a menos que tenha a certeza de que o destinatário é digno de confiança.
- Não preencher formulários ou enviar quaisquer dados pessoais em sítios não confiáveis.
- Manter o sistema operativo e aplicações atualizados. É importante manter os antivírus e outros programas de deteção e/ou prevenção atualizados, à medida que novas amostras de malware são adicionadas às suas bases de dados diariamente.
Editores 4gnews recomendam:
