Engenharia social (phishing e sites enganosos)

Engenharia social é o conteúdo que induz os usuários a fazer algo perigoso, como revelar informações confidenciais ou fazer o download de um software. Se o Google detectar que seu site tem conteúdo de engenharia social, o navegador Chrome poderá exibir o aviso "Site fraudulento" quando um usuário acessar o site. Para verificar se alguma página do seu site está sob suspeita de incluir ataques de engenharia social, acesse o relatório de problemas de segurança no Search Console.

Abrir o relatório de problemas de segurança

O que é engenharia social?

Um ataque de engenharia social é quando um usuário da Web é enganado e levado a fazer algo perigoso on-line.

Há diferentes tipos de ataques de engenharia social:

• Phishing: o site engana os usuários para que revelem informações pessoais (por exemplo, senhas, números de telefone e CPF ou CNPJ). Nesse caso, o conteúdo imita a aparência e o comportamento de uma entidade confiável (como um navegador, sistema operacional, banco ou governo).
• Conteúdo enganoso: o conteúdo tenta induzir você a fazer algo que só faria com uma entidade de confiança. Por exemplo, compartilhar uma senha, chamar a assistência técnica ou fazer o download de um software, ou o conteúdo tem um anúncio que afirma falsamente que o software do dispositivo está desatualizado, levando os usuários a instalar o software indesejado.
• Serviços terceirizados com identificação insuficiente: um serviço terceirizado é alguém que opera um site ou serviço em nome de outra entidade. Se você (terceiro) operar um site em nome de outra (própria) entidade sem esclarecer o relacionamento, isso pode ser sinalizado como engenharia social. Por exemplo, se você (própria entidade) administra um site de caridade que usa um site de gestão de doações (serviço de terceiros) para angariar arrecadações no seu site, o site de doações precisa identificar claramente que é uma plataforma de terceiros agindo em nome dessa instituição, ou isso poderia ser considerado engenharia social.

O recurso de Navegação segura do Google protege os usuários da Web os avisando antes de visitarem páginas que estão consistentemente envolvidas em engenharia social.

As páginas da Web apresentam engenharia social quando:

• imitam a aparência ou o comportamento de uma entidade confiável (como seu dispositivo, navegador ou o próprio site);
• tentam induzir você a fazer algo que só faria com uma entidade de confiança. Por exemplo, compartilhar uma senha, chamar a assistência técnica ou fazer o download de um software.

Engenharia social em conteúdo incorporado

A engenharia social também pode aparecer em conteúdo incorporado a sites não maliciosos, geralmente em anúncios. O conteúdo incorporado de engenharia social é uma violação de política por parte da página onde ele aparece.

Às vezes, o conteúdo incorporado de engenharia social fica visível para os usuários na página onde ele aparece, conforme estes exemplos. Em outros casos, o site onde ele aparece não contém anúncios visíveis, mas leva os usuários a páginas com engenharia social com pop-ups, pop-unders ou outros tipos de redirecionamento. Nos dois casos, a presença desse tipo de conteúdo incorporado de engenharia social resultará em uma violação da política da página onde ele aparece.

Eu não me envolvo com engenharia social de jeito nenhum!

Um conteúdo enganoso de engenharia social pode estar incluído em recursos incorporados na página, como imagens, anúncios ou outros componentes de terceiros. Esse tipo de conteúdo enganoso pode levar os visitantes do site a fazer o download de um software indesejado.

Além disso, hackers podem assumir o controle de sites inocentes e usá-los para hospedar ou distribuir conteúdo de engenharia social. O hacker pode mudar o conteúdo do site ou adicionar outras páginas a ele, geralmente com a intenção de levar os visitantes a compartilhar informações pessoais, como números de cartão de crédito. Consulte o relatório de problemas de segurança no Search Console e verifique se há alguma identificação de hospedagem ou distribuição de conteúdo de engenharia social presente no seu site.

Consulte nossa página Ajuda a sites invadidos, caso você acredite que seu site tenha sido invadido.

Exemplos de violações de engenharia social

Exemplos de conteúdo enganoso

Veja alguns exemplos de páginas envolvidas em práticas de engenharia social:

Exemplos de anúncios enganosos

Veja alguns exemplos de conteúdo enganoso dentro de anúncios incorporados. Estes parecem ser parte da interface de uma página, e não anúncios.

Correção do problema

Se seu site for sinalizado por conter engenharia social (conteúdo enganoso), confira se sua página não está envolvida em nenhuma dessas práticas e siga estas etapas:

1. Verifique o Search Console.
   • Verifique se você é o proprietário do site no Search Console e se não foram adicionados proprietários novos e suspeitos.

   • Verifique o relatório de problemas de segurança para ver se o site está listado como tendo conteúdo enganoso (o termo correspondente a "engenharia social" no relatório). Se o relatório contiver URLs sinalizados de exemplo, acesse alguns dos URLs listados no relatório, mas use um computador que não esteja na rede que veicula seu site (hackers inteligentes podem desativar os ataques se eles acreditarem que o visitante é um proprietário do site).

     Se o relatório não tiver URLs de amostra e você tiver certeza de que seu site não tem engenharia social (conteúdo enganoso), solicite uma análise de segurança no relatório de problemas de segurança.

2. Remova o conteúdo enganoso. Garanta que nenhuma das páginas do seu site tem conteúdo enganoso. Se você acredita que a Navegação segura classificou uma página da Web de maneira incorreta, informe o problema.
3. Verifique os recursos de terceiros incluídos no seu site. Garanta que os anúncios, as imagens ou outros recursos incorporados de terceiros nas páginas do seu site não são enganosos.
   • As redes de publicidade podem alternar os anúncios exibidos nas páginas do site. Portanto, talvez seja necessário atualizar a página algumas vezes para que os anúncios de engenharia social sejam exibidos.
   • Alguns anúncios podem aparecer de maneiras diferentes em dispositivos móveis e em computadores desktop. Use a Ferramenta de inspeção de URL e veja o site nas visualizações para dispositivos móveis e para computadores.
   • Siga as diretrizes para quaisquer serviços de terceiros, como serviços de pagamento, usados no seu site.
4. Solicite uma análise. Após remover todo o conteúdo de engenharia social do seu site, solicite uma análise de segurança no relatório de problemas de segurança. Talvez essa análise leve alguns dias até ser concluída.

Diretrizes de serviços de terceiros

Se você incluir um serviço de terceiros no seu site, recomendamos atender às seguintes condições para evitar que ele receba o rótulo de engenharia social:

• Em todas as páginas, o site de terceiros precisa incluir claramente a marca do terceiro, garantindo que os usuários entendam quem está operando o site. Por exemplo, incluindo a marca do terceiro no topo da página.
• Em todas as páginas que tenham marcas próprias, declare explicitamente a relação entre o próprio e o terceiro e forneça um link para mais informações. Por exemplo, uma declaração como esta:

  Este serviço é hospedado por Example.com em nome de Example.charities.com. Mais informações.

Uma boa diretriz de usabilidade é considerar se um usuário que visualiza a página isoladamente entende em qual site está e qual o relacionamento entre o próprio e o terceiro em todos os momentos.

Se você for um usuário do Search Console e estiver enfrentando problemas de segurança persistentes ou não corrigíveis no seu site, entre em contato com a gente.

Informe um problema de segurança