O que é um ataque Quid Pro Quo? Como se pode proteger?
Do nada, recebe uma mensagem sinistra. O remetente desconhecido afirma que lhe deve dinheiro ou que um ente querido está em apuros. Se não pagar ou não fornecer os seus dados pessoais, o remetente ameaça-o com consequências.
De facto, os acontecimentos recentes têm sido preocupantes, especialmente no que diz respeito aos casos de ataques “quid pro quo” que parecem estar a aumentar de frequência. No entanto, pode ser útil esclarecer exatamente o que constitui um ataque deste tipo e como as pessoas se podem proteger contra ele.
Quid Pro Quo Attack Explained
No domínio das trocas, a expressão latina “quid pro quo” significa o conceito de valor recíproco, em que alguém recebe algo em compensação por fornecer outro item ou serviço. Quando aplicado a actos maliciosos, como ciberataques e esquemas fraudulentos, este princípio manifesta-se através de várias metodologias distintas:
A extorsão é um ato malicioso em que um indivíduo obtém acesso não autorizado ou reivindica falsamente a posse de dados pessoais sensíveis, como fotografias, mensagens de texto ou históricos de navegação na Internet. O perpetrador ameaça então tornar esta informação pública se as suas exigências de pagamento não forem satisfeitas.
A engenharia social envolve a criação de um falso sentido de urgência, muitas vezes sob o pretexto de uma emergência ou de um assunto financeiro urgente, com a intenção de manipular o indivíduo visado para que tome medidas imediatas, como a transferência de fundos ou a divulgação de informações sensíveis.
A corrupção através de incentivos financeiros e presentes extravagantes é uma tática utilizada por um agressor que oferece ao alvo aliciantes pecuniários, presentes luxuosos, perspectivas únicas ou várias vantagens em troca de informações confidenciais, imagens ilícitas, encontros, etc.
Na sua essência, o modus operandi dos cibercriminosos envolve tipicamente a extorsão das suas vítimas através da coerção, resultando frequentemente em fraude financeira, roubo de informações de identificação pessoal ou manipulação sem escrúpulos.
How Quid Pro Quo Attacks Targets Victims
Embora tais incidentes ocorram frequentemente num contexto eletrónico, os indivíduos que perpetram o assédio quid pro quo podem utilizar uma variedade de métodos para levar a cabo as suas acções.
Chamadas telefónicas
Crédito da imagem: stockking/ freepik
Lamentavelmente, as agressões quid pro quo por telefone continuam a ocorrer com uma frequência lamentável. Nestes casos, o agressor faz-se passar por uma pessoa de estatuto elevado e coage o indivíduo insuspeito a participar em acções indecorosas e ilegítimas. Alguns casos ilustrativos incluem:
A comunicação telefónica fraudulenta que pretende ser originária do Internal Revenue Service (IRS) é uma fraude prevalecente em que um indivíduo que se faz passar por um representante autorizado do IRS afirma que o destinatário tem dívidas fiscais pendentes e exige o pagamento imediato através de transferência bancária ou cartões de oferta. Estas tácticas extorsivas são inconsistentes com os protocolos estabelecidos pelo IRS legítimo, que normalmente comunica através de correio ou correspondência oficial, em vez de utilizar linguagem coerciva por telefone.
Os indivíduos podem tentar enganar, fazendo-se passar por representantes de empresas de serviços públicos ou outros prestadores de serviços, alegando que o pagamento imediato de uma fatura em atraso ou o fornecimento de informações sensíveis é necessário para evitar a interrupção dos serviços. Nestes casos, é aconselhável terminar a comunicação e contactar diretamente a organização legítima.
Um esquema fraudulento que envolve uma falsa representação de uma crise familiar, em que o criminoso se faz passar por um familiar ou conhecido que se deparou com um acontecimento infeliz, como um acidente ou um dilema legal, e solicita assistência financeira imediata através de transferência eletrónica sem verificar a autenticidade da situação com outros membros da família ou autoridades médicas.
O tema consistente é que o indivíduo responsável por iniciar a comunicação instila uma perceção de imediatismo e ansiedade, com a intenção de obrigar a uma ação impulsiva sem primeiro examinar minuciosamente os pormenores.
Aplicações de correio eletrónico e de mensagens
Crédito da imagem: freepik/ freepik
Um dos métodos prevalecentes utilizados nos ataques quid pro quo envolve a utilização do correio eletrónico, permitindo ao criminoso transmitir as suas exigências a um vasto número de indivíduos com relativa facilidade.
Um exemplo predominante envolve uma correspondência que reivindica a posse de informações comprometedoras ou confidenciais sobre o destinatário, acompanhada de ameaças de divulgar publicamente esses dados, a menos que sejam satisfeitas exigências específicas. Contrariamente às intenções do extorsionário, estas comunicações são frequentemente casos de chantagem, merecendo ser rejeitadas e não aceites. Na maioria dos casos, o remetente está apenas a tentar intimidar o seu alvo através de ameaças vazias, e uma ação prudente seria descartar tais mensagens e abster-se de interagir com o agressor.
Phishing refere-se ao ato de tentar obter informações sensíveis, como palavras-passe e números de cartões de crédito, através de meios enganosos. Estas tentativas surgem frequentemente sob a forma de e-mails que supostamente alertam os utilizadores para um problema com a sua conta que requer atenção imediata. No entanto, estas mensagens fazem normalmente parte de um esquema concebido para levar os indivíduos a fornecerem as suas informações pessoais num site fraudulento. Para evitar ser vítima deste tipo de cibercrime, é aconselhável não clicar em quaisquer ligações fornecidas em mensagens de correio eletrónico suspeitas e, em vez disso, aceder diretamente ao sítio Web legítimo.
Os indivíduos podem utilizar apelos emocionais para solicitar assistência financeira sob a forma de cartões de oferta ou transferências monetárias, invocando frequentemente uma crise súbita ou uma circunstância infeliz como justificação. No entanto, essas promessas de reembolso são muitas vezes vazias, tornando qualquer contribuição inicial praticamente inútil.
Do mesmo modo, as aplicações de mensagens oferecem aos adversários um meio eficaz de correspondência generalizada, permitindo-lhes transmitir ameaças e directivas monetárias diretamente para o dispositivo móvel. A natureza pessoal da comunicação por texto pode aumentar a perceção da intrusão e da urgência de tais ataques.
É fundamental não transmitir recursos financeiros ou informações confidenciais a pessoas desconhecidas através de mensagens electrónicas ou comunicações breves, uma vez que estes meios podem ser susceptíveis de exploração e de actividades fraudulentas.
Redes sociais e sites de encontros
As plataformas sociais e de encontros oferecem uma abundância de informações que podem ser utilizadas para comprometer indivíduos, uma vez que proporcionam amplas oportunidades para os atacantes quid pro quo vigiarem os perfis e as actividades de uma pessoa em busca de qualquer conteúdo potencialmente prejudicial ou embaraçoso.
É aconselhável abster-se de responder a mensagens não solicitadas e sugestivas que contenham ofertas de ganhos pessoais ou solicitações de informações comprometedoras, tais como fotografias ou marcação de encontros. Tais propostas podem ser indicativas de motivos nefastos e seria prudente não encorajar mais comunicações com indivíduos com intenções malévolas.
Pode deparar-se com perfis que oferecem presentes, contribuições, promoções ou ligações com indivíduos proeminentes, mas apenas na condição de cumprir determinados pré-requisitos. Tenha cuidado, pois estas propostas extraordinárias podem ser estratagemas enganadores destinados a explorar a sua fiabilidade.
Embora possa parecer aliciante interagir com contas falsas que se fazem passar por marcas conhecidas, celebridades ou outras entidades, solicitando gostos, partilhas e repostagens em troca de brindes, como produtos ou serviços, é geralmente aconselhável evitar estas práticas enganosas, independentemente dos potenciais benefícios.
Mesmo as pessoas consideradas amigas ou conhecidas podem tentar coagir alguém a fazer concessões inadequadas antes de oferecerem o seu apoio através de meios como seguidores, gostos e comentários. Nos casos em que a assistência oferecida é acompanhada de condições prejudiciais, torna-se imperativo avaliar criticamente estas associações e determinar se vale a pena mantê-las.
Como se proteger de ataques Quid Pro Quo
Tendo em conta a prevalência de indivíduos questionáveis online, é crucial que se conheça as medidas para se proteger de potenciais ataques quid pro quo.
Antes de prosseguir com outros assuntos, é essencial ter sempre cautela. Deve-se estar particularmente atento a mensagens não solicitadas transmitidas por meios electrónicos, como correio eletrónico, chamadas telefónicas ou mensagens directas que façam afirmações grandiosas ou declarações ameaçadoras. Para identificar potenciais actividades fraudulentas, é necessário estar atento a sinais de aviso, tais como um ar de urgência, falta de especificidade nas informações fornecidas, erros gramaticais e inconsistências na sintaxe.
Deve-se considerar se a comunicação é consistente com o que se poderia esperar de uma entidade ou indivíduo respeitável. Em geral, organizações como o IRS não utilizam solicitações telefónicas para liquidações imediatas, enquanto a perspetiva de uma herança não solicitada de um príncipe nigeriano parece altamente improvável. Por conseguinte, é essencial avaliar a plausibilidade das circunstâncias antes de tomar qualquer medida.
Quando se fala de comunicação telefónica, é aconselhável não fornecer informações sensíveis a pessoas que iniciem o contacto consigo sem pedido ou autorização prévia. As instituições financeiras, como os bancos, possuem normalmente dados pessoais, incluindo a sua identidade, o que exige que entrem em contacto consigo de forma legítima, em vez de solicitarem a verificação através de chamadas telefónicas aleatórias. Para garantir a segurança, recomenda-se que termine as chamadas não solicitadas e que, em vez disso, utilize uma plataforma autorizada para estabelecer contacto.
Quando se trata de hiperligações e anexos em e-mails suspeitos, é essencial exercer uma prudência excecional. Os cibercriminosos podem ser bastante astutos e concebem frequentemente mensagens enganosas que parecem genuínas. Por conseguinte, antes de clicar em qualquer URL incorporado, passe o cursor sobre a hiperligação para verificar a sua autenticidade, examinando o endereço Web real. É crucial garantir que este corresponde ao nome de domínio correto. Além disso, evite abrir anexos de correio eletrónico enviados por correspondentes desconhecidos, uma vez que isso pode libertar involuntariamente software nocivo para o seu dispositivo.
Mantenha um elevado nível de privacidade também nas suas contas de redes sociais. Os cibercriminosos recolhem frequentemente informações encontradas nestas plataformas para efetuar ataques. Desactive as mensagens directas com pessoas que não são seguidas por si e evite divulgar publicamente detalhes privados. Ao limitar a quantidade de informação disponível, as potenciais ameaças podem ser reduzidas.
Considere a implementação de palavras-passe robustas e distintas para todas as suas contas em linha e, sempre que possível, active a autenticação multifactor como uma camada adicional de segurança. É crucial empregar esta medida para se proteger contra o acesso não autorizado, especialmente se as suas credenciais forem comprometidas. Além disso, a utilização de uma ferramenta fiável de gestão de palavras-passe deve ser considerada para melhorar a sua segurança digital.
Recomenda-se vivamente a criação regular de cópias de segurança dos dados para se proteger contra potenciais ameaças cibernéticas, como ataques de ransomware, que podem resultar na encriptação de ficheiros pessoais e na exigência de pagamento em troca da chave de desencriptação. Ao manter uma cópia de segurança de documentos e informações importantes, as pessoas podem evitar ser vítimas deste tipo de actividades maliciosas e preservar o acesso aos seus dados críticos sem terem de sucumbir a tentativas de extorsão.
Evite enviar assistência financeira sob a forma de dinheiro, cartões de oferta ou informações sensíveis a indivíduos que não conhece pessoalmente e que o contactaram através de mensagens não solicitadas. As organizações de caridade verificadas não recorrerão a este tipo de métodos para solicitar ajuda. É aconselhável contribuir para organizações estabelecidas apenas através dos seus sítios Web legítimos.
Em conclusão, manter as configurações actualizadas do antivírus, da firewall e do dispositivo é essencial para se proteger contra as ciberameaças. Para simplificar este processo, considere a implementação de funcionalidades de atualização automática sempre que possível, garantindo assim que estas protecções se mantêm actualizadas sem necessidade de intervenção manual.
Cuidado com os hackers que trazem presentes
Muitas vezes, as pessoas gostam de receber objectos de cortesia ou de ter acesso a conteúdos restritos. No entanto, é essencial não permitir que a avareza o torne vulnerável a actividades ilícitas astutas perpetradas por aqueles que procuram trocas em troca de tais ofertas.
Se uma proposta parecer excessivamente vantajosa durante a navegação em linha, geralmente não é genuína. É prudente ter cuidado e abster-se de divulgar informações sensíveis.