Engenharia social (phishing e sites enganosos)

Engenharia social é o conteúdo que induz os usuários a fazer algo perigoso como revelar informações confidenciais ou fazer o download de um software. Se o Google detectar que seu site tem conteúdo de engenharia social, o navegador Chrome poderá exibir o aviso "Site enganoso à frente" quando um usuário acessar o site. Para verificar se alguma página do seu site talvez tenha ataques de engenharia social, acesse o relatório de Problemas de segurança.

Abra o relatório de Problemas de segurança

Visão geral

O que é engenharia social?

Um ataque de engenharia social é quando um usuário da Web é enganado e levado a fazer algo perigoso on-line.

Há diferentes tipos de ataques de engenharia social:

  • Phishing: o site engana os usuários para que revelem suas informações pessoais (por exemplo, senhas, números de telefone ou cartões de crédito). Nesse caso, o conteúdo imita a aparência e o comportamento de uma entidade confiável (como um navegador, sistema operacional, banco ou governo).
  • Conteúdo enganoso: o conteúdo tenta induzir você a fazer algo que só faria com uma entidade de confiança. Por exemplo, compartilhar uma senha, chamar a assistência técnica ou fazer o download de um software, ou o conteúdo tem um anúncio que afirma falsamente que o software do dispositivo está desatualizado, levando os usuários a instalar o software indesejado.
  • Serviços de terceiros com rótulos insuficientes: um serviço de terceiros é alguém que opera um site ou serviço em nome de outra entidade. Se você (terceiro) operar um site em nome de outra (própria) entidade sem esclarecer o relacionamento, isso pode ser sinalizado como engenharia social. Por exemplo, se você (própria entidade) administra um site de caridade que usa um site de gerenciamento de doações (serviço de terceiros) para lidar com arrecadações no seu site, o site de doações precisa identificar claramente que é uma plataforma de terceiros agindo em nome dessa instituição, ou isso poderia ser considerado engenharia social.

O recurso de Navegação segura do Google protege os usuários da Web os avisando antes de visitarem páginas que estão consistentemente envolvidas em engenharia social.

As páginas da Web apresentam engenharia social quando:

  • imitam a aparência ou o comportamento de uma entidade confiável (como seu dispositivo, navegador ou o próprio website); ou
  • tentam induzir você a fazer algo que só faria com uma entidade de confiança. Por exemplo, compartilhar uma senha, chamar a assistência técnica ou fazer o download de um software.

Engenharia social em conteúdo incorporado

A engenharia social também pode aparecer em conteúdo incorporado a sites não maliciosos, geralmente em anúncios. O conteúdo incorporado de engenharia social é uma violação da política da página host.

Às vezes, o conteúdo incorporado de engenharia social fica visível para os usuários na página host, conforme os exemplos abaixo. Em outros casos, o site host não contém anúncios visíveis, mas leva os usuários a páginas com engenharia social por meio de pop-ups, pop-unders ou outros tipos de redirecionamento. Nos dois casos, a presença desse tipo de conteúdo incorporado de engenharia social resultará em uma violação da política da página host.

E se eu não me envolver com engenharia social?

Um conteúdo enganoso de engenharia social pode estar incluído em recursos incorporados na página, como imagens, anúncios ou outros componentes de terceiros. Esse tipo de conteúdo enganoso pode levar os visitantes do site a fazer o download de um software indesejado

Além disso, hackers podem assumir o controle de sites inocentes e usá-los para hospedar ou distribuir conteúdo de engenharia social. O hacker pode alterar o conteúdo do site ou adicionar outras páginas a ele, geralmente com a intenção de levar os visitantes a compartilhar informações pessoais, como números de cartão de crédito. Consulte o relatório de problemas de segurança no Search Console e verifique se há alguma identificação de hospedagem ou distribuição de conteúdo de engenharia social presente no seu site.

Consulte nossa página Ajuda a sites invadidos, caso você acredite que seu site tenha sido invadido.

Exemplos de violações de engenharia social

Exemplos de conteúdo enganoso

Veja alguns exemplos de páginas envolvidas em práticas de engenharia social:

Social engineering popup that tries to make the user install an unwanted application.
Pop-up enganoso destinado a induzir o usuário a instalar malware.
Example of social engineering attempt claiming a browser update is required
Pop-up enganoso que alega ajudar o usuário a atualizar o navegador.
Página de login falso do Google. Veja o URL enganoso. Outros sites de phishing como esse podem levá-lo a revelar outras informações pessoais, como dados de cartão de crédito. Os sites de phishing podem parecer exatamente como o site real. Portanto, verifique a barra de endereço para ver se o URL está correto e também se o site começa com "https://".

Exemplos de anúncios enganosos

Veja alguns exemplos de conteúdo enganoso dentro de anúncios incorporados. Estes parecem ser parte da interface de uma página, e não anúncios.

Deceptive ad claiming to be a media player update on the page.
Pop-up enganoso que alega que o software do usuário está desatualizado.
Deceptive ad claiming to be an installer for a required component.
Pop-up enganoso que alega ser do desenvolvedor de FLV.
Deceptive ads claiming to be playback controller buttons on the host page.
Anúncios disfarçados de botões de ação da página.

Correção do problema

Se seu site for sinalizado por conter engenharia social (conteúdo enganoso), verifique se sua página não está envolvida em nenhuma das práticas descritas acima e siga estas etapas:

  1. Consulte o Search Console
    • Verifique se você é o proprietário do site no Search Console e se não foram adicionados proprietários novos e suspeitos.
    • Verifique o Relatório de problemas de segurança para ver se o site está listado como tendo conteúdo enganoso (o termo de geração de relatórios para engenharia social). Acesse alguns exemplos de URLs sinalizados no relatório, mas use um computador que não esteja na rede que veicula seu site, porque alguns hackers podem desativar os ataques se suspeitarem que o visitante seja um webmaster do site.
  2. Remova o conteúdo enganoso. Verifique se nenhuma das páginas do seu site tem conteúdo enganoso. Se você acreditar que a Navegação segura classificou uma página da Web de maneira incorreta, informe o problema aqui.
  3. Verifique os recursos de terceiros incluídos no seu site. Garanta que todos os anúncios, imagens ou outros recursos de terceiros incorporados nas páginas do seu site não sejam enganosos.
    • As redes de anúncios podem alternar os anúncios exibidos nas páginas do site. Portanto, talvez seja necessário atualizar a página algumas vezes até que apareça um anúncio com engenharia social.
    • Alguns anúncios podem aparecer de maneiras diferentes em dispositivos móveis e em computadores desktop. Você pode usar a Ferramenta de inspeção de URL para visualizar seu site nas visualizações para dispositivos móveis e para computadores.
    • Siga as diretrizes descritas abaixo para quaisquer serviços de terceiros, como serviços de pagamento, usados no seu site.
  4. Solicite uma análise. Após remover todo o conteúdo de engenharia social do seu site, solicite uma análise de segurança no relatório de problemas de segurança. Talvez essa análise leve alguns dias até ser concluída.

Diretrizes de serviço de terceiros

Se você incluir um serviço de terceiros no seu site, deverá atender às seguintes condições para evitar receber o rótulo de engenharia social:

  • Em todas as páginas, o site de terceiros deve incluir claramente a marca do terceiro, de modo a garantir que os usuários entendam quem está operando o site. Por exemplo, incluindo a marca do terceiro no topo da página.
  • Em todas as páginas que tenham marcas próprias, declare explicitamente a relação entre o próprio e o terceiro e forneça um link para mais informações.  Por exemplo, uma declaração como esta:

      Este serviço é hospedado por Example.com em nome de Example.charities.com. Mais informações

Uma boa diretriz de usabilidade é se um usuário que visualiza a página isoladamente entende em qual site está e qual o relacionamento entre o próprio e o terceiro em todos os momentos.

Prática recomendada: se você precisar de terceiros para realizar um serviço de suporte básico para seu site, uma prática recomendada é usar um terceiro padrão do setor para esse serviço. Por exemplo, para gerenciar a autenticação do usuário no site, use o OAuth em vez de gerenciar a autenticação por conta própria.
Este artigo foi útil para você?
Como podemos melhorá-lo?