Engenharia social (phishing e sites enganosos)

Engenharia social é o conteúdo que induz os usuários a fazer algo perigoso, como revelar informações confidenciais ou fazer o download de um software. Se o Google detectar que seu site tem conteúdo de engenharia social, o navegador Chrome poderá exibir o aviso "Site enganoso à frente" quando um usuário acessar o site. Para verificar se alguma página do seu site está sob suspeita de incluir ataques de engenharia social, acesse o relatório de problemas de segurança.

Visão geral

O que é engenharia social?

Um ataque de engenharia social é quando um usuário da Web é enganado e levado a fazer algo perigoso on-line.

Há diferentes tipos de ataques de engenharia social:

  • Phishing: o site engana os usuários para que revelem informações pessoais (por exemplo, senhas, números de telefone ou cartões de crédito). Nesse caso, o conteúdo imita a aparência e o comportamento de uma entidade confiável (como um navegador, sistema operacional, banco ou governo).
  • Conteúdo enganoso: o conteúdo tenta induzir você a fazer algo que só faria com uma entidade de confiança. Por exemplo, compartilhar uma senha, chamar a assistência técnica ou fazer o download de um software, ou o conteúdo tem um anúncio que afirma falsamente que o software do dispositivo está desatualizado, levando os usuários a instalar o software indesejado.
  • Serviços terceirizados com identificação insuficiente: um serviço terceirizado é alguém que opera um site ou serviço em nome de outra entidade. Se você (terceiro) operar um site em nome de outra (própria) entidade sem esclarecer o relacionamento, isso pode ser sinalizado como engenharia social. Por exemplo, se você (própria entidade) administra um site de caridade que usa um site de gestão de doações (serviço de terceiros) para angariar arrecadações no seu site, o site de doações precisa identificar claramente que é uma plataforma de terceiros agindo em nome dessa instituição, ou isso poderia ser considerado engenharia social.

O recurso de Navegação segura do Google protege os usuários da Web os avisando antes de visitarem páginas que estão consistentemente envolvidas em engenharia social.

As páginas da Web apresentam engenharia social quando:

  • imitam a aparência ou o comportamento de uma entidade confiável (como seu dispositivo, navegador ou o próprio site);
  • tentam induzir você a fazer algo que só faria com uma entidade de confiança. Por exemplo, compartilhar uma senha, chamar a assistência técnica ou fazer o download de um software.

Engenharia social em conteúdo incorporado

A engenharia social também pode aparecer em conteúdo incorporado a sites não maliciosos, geralmente em anúncios. O conteúdo incorporado de engenharia social é uma violação de política por parte da página onde ele aparece.

Às vezes, o conteúdo incorporado de engenharia social fica visível para os usuários na página onde ele aparece, conforme os exemplos abaixo. Em outros casos, o site onde ele aparece não contém anúncios visíveis, mas leva os usuários a páginas com engenharia social por meio de pop-ups, pop-unders ou outros tipos de redirecionamento. Nos dois casos, a presença desse tipo de conteúdo incorporado de engenharia social resultará em uma violação da política da página onde ele aparece.

Eu não me envolvo com engenharia social de jeito nenhum!

Um conteúdo enganoso de engenharia social pode estar incluído em recursos incorporados na página, como imagens, anúncios ou outros componentes de terceiros. Esse tipo de conteúdo enganoso pode levar os visitantes do site a fazer o download de um software indesejado.

Além disso, hackers podem assumir o controle de sites inocentes e usá-los para hospedar ou distribuir conteúdo de engenharia social. O hacker pode mudar o conteúdo do site ou adicionar outras páginas a ele, geralmente com a intenção de levar os visitantes a compartilhar informações pessoais, como números de cartão de crédito. Consulte o relatório de problemas de segurança no Search Console e verifique se há alguma identificação de hospedagem ou distribuição de conteúdo de engenharia social presente no seu site.

Consulte nossa página Ajuda a sites invadidos, caso você acredite que seu site tenha sido invadido.

Exemplos de violações de engenharia social

Exemplos de conteúdo enganoso

Veja alguns exemplos de páginas envolvidas em práticas de engenharia social:

Pop-up de engenharia social que tenta fazer o usuário instalar um app indesejado
Pop-up enganoso destinado a induzir o usuário a instalar malware
Exemplo de tentativa de engenharia social que alega que o navegador precisa ser atualizado
Pop-up enganoso que alega ajudar o usuário a atualizar o navegador
Página de login falsa do Google. Veja o URL enganoso. Outros sites de phishing desse tipo podem fazer você enviar outras informações pessoais, como informações de cartão de crédito. Os sites de phishing podem parecer exatamente como o site real. Portanto, verifique a barra de endereço para ver se o URL está correto e também se o site começa com "https://".

Exemplos de anúncios enganosos

Veja alguns exemplos de conteúdo enganoso dentro de anúncios incorporados. Estes parecem ser parte da interface de uma página, e não anúncios.

Anúncio enganoso que alega ser uma atualização do player de mídia na página
Pop-up enganoso que alega que o software do usuário está desatualizado
Anúncio enganoso que alega ser o instalador de um componente necessário
Pop-up enganoso que alega ser do desenvolvedor do FLV
Anúncios enganosos que alegam ser botões do controlador de reprodução na página onde aparecem
Anúncios disfarçados como botões de ação da página

Correção do problema

Se seu site for sinalizado por conter engenharia social (conteúdo enganoso), verifique se sua página não está envolvida em nenhuma das práticas descritas acima e siga estas etapas:

  1. Consulte o Search Console.
    • Verifique se você é o proprietário do site no Search Console e se não foram adicionados proprietários novos e suspeitos.
    • Verifique o relatório de problemas de segurança para ver se o site está listado como tendo conteúdo enganoso (o termo de relatório para engenharia social). Acesse alguns exemplos de URLs sinalizados no relatório, mas use um computador que não esteja na rede que veicula seu site, porque alguns hackers podem desativar os ataques se suspeitarem que o visitante seja um proprietário do site.
  2. Remova o conteúdo enganoso. Verifique se nenhuma das páginas do seu site tem conteúdo enganoso. Se você acreditar que o Navegação segura classificou uma página da Web de maneira incorreta, informe o problema aqui
  3. Verifique os recursos de terceiros incluídos no seu site. Garanta que todos os anúncios, imagens ou outros recursos de terceiros incorporados nas páginas do seu site sejam confiáveis.
    • As redes de publicidade podem alternar os anúncios exibidos nas páginas do site. Portanto, talvez seja necessário atualizar a página algumas vezes até que apareça um anúncio com engenharia social.
    • Alguns anúncios podem aparecer de maneiras diferentes em dispositivos móveis e em computadores desktop. Use a Ferramenta de inspeção de URL e veja o site nas versões para dispositivos móveis e para computadores.
    • Siga as diretrizes descritas abaixo para quaisquer serviços de terceiros, como serviços de pagamento, usados no seu site.
  4. Solicite uma análise. Após remover todo o conteúdo de engenharia social do seu site, solicite uma análise de segurança no relatório de problemas de segurança. Talvez essa análise leve alguns dias até ser concluída.

Diretrizes de serviço de terceiros

Se você incluir um serviço de terceiros no seu site, deverá atender às seguintes condições para evitar que ele receba o rótulo de engenharia social:

  • Em todas as páginas, o site de terceiros deve incluir claramente a marca do terceiro, de modo a garantir que os usuários entendam quem está operando o site. Por exemplo, incluindo a marca do terceiro no topo da página.
  • Em todas as páginas que tenham marcas próprias, declare explicitamente a relação entre o próprio e o terceiro e forneça um link para mais informações. Por exemplo, uma declaração como esta:

Este serviço é hospedado por Example.com em nome de Example.charities.com. Mais informações

Uma boa diretriz de usabilidade é considerar se um usuário que visualiza a página isoladamente entende em qual site está e qual o relacionamento entre o próprio e o terceiro em todos os momentos.

Prática recomendada: se você precisar de terceiros para realizar um serviço de suporte básico para seu site, uma prática recomendada é usar um terceiro padrão do setor para esse serviço. Por exemplo, para gerenciar a autenticação do usuário no site, use o OAuth em vez de gerenciar a autenticação por conta própria.