Engenharia Social. O que é, tipos de ataques, técnicas e como se proteger
No vasto ecossistema que envolve o combate a fraudes e a proteção de dados, o termo Engenharia Social aparece com certa recorrência, principalmente por ser uma habilidade bastante efetiva para fraudadores e cibercriminosos.
A técnica é empregada com o objetivo de induzir os usuários a enviarem dados confidenciais, infectar seus computadores com malware ou abrir links para sites infectados. Ou seja, a engenharia social é a capacidade de conseguir acesso a informações confidenciais e dados sigilosos por meio de técnicas de persuasão, trabalhando a partir da manipulação psicológica.
Quer saber como se proteger dessa técnica? Acompanhe o nosso artigo e entenda como funciona a engenharia social e quais os principais tipos de ataques. Boa leitura!
O que é a Engenharia Social?
Engenharia Social é o nome utilizado para definir o método mais habitual de se obter informações confidenciais de acesso a sistemas restritos a usuários autorizados. É o caso em que uma pessoa, dotada de má-fé, abusa da ingenuidade ou da confiança de um usuário para persuadi-lo, ainda que de forma velada, a fornecer informações como números de cartões de crédito, senhas, documentos pessoais, entre outros.
Esse tipo de ato é baseado na interação humana e é conduzido por pessoas que usam o engano para violar os procedimentos de segurança que geralmente deveriam ter seguido. Diante disso, os criminosos utilizam a manipulação psicológica para convencer os usuários a cometerem erros de segurança ou divulgarem informações confidenciais.
Sendo assim, a Engenharia Social explora emocionalmente as potenciais vítimas, testando diversas iscas até ativar o gatilho que deixa o alvo vulnerável. Geralmente, ela pode se aproveitar de temas atuais, promoções atrativas ou falsos anúncios de premiações.
Como atua o engenheiro social?
O engenheiro social não é exatamente um profissional da engenharia exata. Trata-se de uma pessoa capacitada que apresenta habilidades e conhecimentos que o qualificam para praticar a engenharia social. Normalmente, é alguém com boa comunicação, simpático, com poucas resistências e, sobretudo, que apresenta um bom domínio de técnicas de persuasão e inteligência analítica necessárias para estudar o alvo com precisão.
De certa forma, o engenheiro social faz com que pessoas quebrem procedimentos e normas de segurança, seja por meio de ligações, e-mails, sites ou por contato pessoalmente. Eles enviam inúmeras mensagens diárias e spams na esperança de encontrar usuários inexperientes que possam ser vítimas do ataque, bem como para alcançar um número maior de vítimas.
Todos os indivíduos apresentam características e padrões de comportamento específicos. É observando esses aspectos que um engenheiro social obtém o que precisa para atuar. Nesse sentido, os colaboradores, tanto da área técnica quanto dos setores mais humanizados ficam sujeitos a falhar na proteção contra um ataque desse tipo, porque têm vulnerabilidades humanas e cometem erros em algum momento.
Quais os tipos de ataques de Engenharia Social?
Apesar de o nome Engenharia Social sugerir técnicas sofisticadas ou mirabolantes, a maioria dos ataques é feita de forma simples, sem que seja preciso achar e explorar falhas em sistemas de segurança, e não necessariamente acontece apenas em ambientes digitais.
De modo geral, esses ataques acontecem de diversas formas diferentes e podem ser realizados em qualquer lugar em que a interação humana esteja envolvida. A seguir, confira os principais tipos de ataques!
Baiting
Nessa técnica, que acontece mais em ambientes de trabalho, o criminoso infecta um dispositivo — geralmente um pen drive — com um malware e o deixa em algum lugar aleatório. A pessoa que encontra o dispositivo o conecta, por curiosidade, em um algum PC ou notebook para tomar conhecimento do conteúdo que está ali. Não raras as vezes, essa pessoa instala os arquivos que ali estão para saber do que se tratam. Feito isso, o criminoso passa a ter acesso a praticamente todos os sistemas do dispositivo infectado.
Phishing
Apesar de ser uma técnica antiga da Engenharia Social, o e-mail de phishing ainda é muito eficiente. Ele ocorre quando um cibercriminoso forja comunicações com a vítima, que acredita estar diante de um e-mail legítimo. Em geral, o normal é que os fraudadores se passem por bancos ou empresas de cartão de crédito solicitando informações sensíveis, como senhas e dados de cadastro, ou mesmo solicitando a instalação de falsos softwares de segurança etc.
Vale dizer que um ataque de phishing nem sempre vem por e-mail. Alguns fraudadores tentam esse tipo de contato também via telefone e redes sociais. Muitas vezes, apesar de fraudulentos, esses contatos podem parecer muito realistas e convincentes.
Pretexting
Essa técnica é aquela na qual fraudadores se passam por pessoas ou empresas de confiança da vítima. De posse de informações básicas, dessas que ficam disponíveis em uma breve pesquisa na internet, o criminoso solicita confirmação de dados e atualizações de cadastro, inclusive de senhas. A vítima, achando que está em contato com alguém de confiança, fornece os dados tranquilamente, sem saber que se trata de um golpe.
Quid pro quo
O ataque de quid pro quo acontece quando um hacker solicita informações confidenciais de alguém em troca de algo. O próprio termo é traduzido como “isso por aquilo”, no qual o cibercriminoso oferece à vítima algo em troca desses dados sensíveis.
A estratégia mais usual consiste em se passar por alguém do setor de tecnologia e abordar vítimas que tenham problemas relacionados à esfera. Conforme as instruções do criminoso, a vítima fornece acesso aos códigos, desabilita programas importantes e instala malwares, presumindo que conseguirá solucionar seu problema.
Spear phishing
O spear-phishing é uma versão mais direcionada do phishing, focada em indivíduos e empresas específicas. Nesse tipo de ataque, o criminoso se passa por algum executivo ou membro da organização, e se aproxima dos colaboradores com o objetivo de obter informações sensíveis, por meio de uma demanda urgente exigindo uma transação financeira imediata para uma conta específica, por exemplo.
Em geral, o spear phishing exige muito mais esforço em nome do agressor e pode levar semanas e meses para acontecer. Isso porque eles costumam ser mais difíceis de detectar e têm melhores taxas de sucesso quando são realizados com habilidade.
Presencial
Como dito, os ataques de Engenharia Social não acontecem somente em ambientes digitais. Aliás, eles são muito comuns no mundo físico. Criminosos que se passam por autoridades, por exemplo, entram na casa ou no trabalho das pessoas e coletam um vasto leque de dados importantes para a efetivação de fraudes.
São muitos os exemplos de fraudadores que se passam por bombeiros, técnicos, e até mesmo pessoal de limpeza, para entrar em prédios, principalmente os corporativos, para roubar segredos e objetos de valor financeiro considerável. Além disso, os próprios furtos de smartphones são armas valiosas de criminosos que estão interessados, entre outras coisas, em cometer fraudes.
Como funciona e como se dá o ciclo da engenharia social?
De modo geral, os ataques de engenharia social acontecem em uma ou mais etapas. Primeiramente, o criminoso investiga a vítima em potencial para obter as informações necessárias para o ataque, como pontos de entrada e protocolos de segurança fracos, essenciais para prosseguir com a prática.
Em seguida, ele busca conquistar a confiança da vítima e fornecer estímulos para atividades subsequentes que violam as práticas de segurança, como revelar dados confidenciais ou conceder acesso a recursos críticos, por exemplo. Nesse sentido, o ataque de engenharia social é baseado no erro humano e não na vulnerabilidade de softwares ou sistemas operacionais.
Por isso, como não envolve nenhuma questão técnica que possa ser reconhecida pelos dispositivos de segurança tradicionais, esses ataques estão entre os maiores riscos cibernéticos às empresas atualmente e requer diversos cuidados básicos para prevenção contra os golpes.
Como os usuários podem se proteger?
Como dito, esse tipo de ataque explora a confiança e as emoções das vítimas. Dessa forma, é essencial treinar os colaboradores e os clientes nas melhores práticas de segurança da informação, que envolvem cuidados indispensáveis no dia a dia.
O primeiro ponto é adotar uma certa desconfiança e manter-se vigilante. Saber que esse tipo de ataque pode acontecer é o jeito mais eficaz de garantir segurança, principalmente quando informações sensíveis fazem parte de um determinado assunto.
Quanto menos divulgar informações, ainda que elas não pareçam tão confidenciais assim, melhor. Se não for possível verificar a identidade do interlocutor e a procedência das credenciais, todo cuidado ainda é pouco. Além disso, é importante ter em mente que grandes instituições não solicitam senhas ou outras informações sensíveis por telefone e e-mail.
Nunca se deixar levar pela pressão que criminosos tentam impor quando querem informações também é uma boa dica. Portanto, não se deve acreditar que coisas do tipo “sua conta será encerrada” e “seu nome será negativado” são verdadeiras. Manter a calma e procurar informações em fontes confiáveis é sempre o mais indicado.
De forma resumida, separamos as principais dicas de como se proteger dos engenheiros sociais, são elas:
- não tenha engajamento com e-mails e ligações desconhecidas;
- não clique em links ou navegue em sites cuja procedência desperte suspeita;
- não baixe ou abra anexos de fontes suspeitas ou desconhecidas;
- sempre desconfie de interações que solicitem a divulgação de dados pessoais ou confidenciais, de cunho sigiloso ou de acesso à rede corporativa;
- não confie em pedidos urgentes que incluam dinheiro ou informações confidenciais
- não divulgue informações confidenciais sobre você ou sua empresa, seja por telefone, online ou pessoalmente;
- proteja todos os dispositivos móveis e as máquinas, tanto pessoais quanto da empresa, e mantenha as atualizações em dia;
- verifique a procedência e a veracidade de endereços de e-mail, números de telefone e outras ofertas ou contatos na web.
-
Como investir na segurança das empresas?
Os ataques de Engenharia Social podem ser poderosos e conseguem causar problemas grandiosos às empresas. Portanto, precisam ser tratados com seriedade e devem estar dentro da estratégia geral de gestão de risco de uma organização.
Existem diversas ferramentas e ações que podem garantir que as informações e os dados de uma empresa estejam seguros, como Firewall, Antivírus, Webfilter, VPN, Antiphishing, como o Threat X, da ClearSale, entre outros. No entanto, as pequenas ações por parte das pessoas que atuam nas empresas são imprescindíveis nesse caso.
Portanto, estabelecer uma cultura de segurança como compromisso dentro da organização ainda é a maneira mais eficiente de garantir boas práticas entre colaboradores e prestadores de serviços. Para fazer isso, todo tipo de ação de educação, de treinamento, de aprimoramento e de conscientização é válida, a fim de que os colaboradores conheçam os riscos e saibam quais ações tomar para evitar e reportar golpes e ciberataques.
Além disso, uma política clara e bem-acabada de segurança da informação, processos de segurança física, controles de acessos online e off-line, cuidados com descarte de lixo, controle e acompanhamento de visitantes e parcerias com empresas especializadas em gestão de risco são práticas fundamentais para evitar que a Engenharia Social faça mais uma vítima.
Esperamos que, com este artigo, você tenha entendido o que é a Engenharia Social e qual a melhor forma de se proteger dela. Então, se você gostou do nosso post e deseja compartilhar suas dúvidas e suas experiências com a gente, deixe aqui o seu comentário!
