Você já ouviu falar em engenharia social? Essa abordagem pode colocar em risco a segurança de dados, sistemas e pessoas.
Mesmo diante tantos avisos sobre cibersegurança e segurança de dados, ainda é comum lermos notícias relatando casos de fraude online, roubo de senhas e acesso não autorizado a softwares.
E existe um porquê disso acontecer com frequência: os criminosos, cada vez mais astutos e inteligentes, continuam aplicando técnicas e desenvolvendo habilidades para persuadir as pessoas a oferecerem informações sensíveis.
A Check Point Research (CPR), grupo que fornece inteligência líder em ameaças cibernéticas, informou que o Brasil registrou aumento de 1% em ataques semanais por organização no primeiro trimestre de 2023. Outro relatório intitulado “Global DDoS Threat Intelligence”, da Netscout, aponta que o Brasil é o principal alvo de ciberataques na América Latina.
Nesse cenário, se proteger e resguardar a sua empresa e equipe contra esse tipo de ameaça é uma prioridade máxima. Veja no artigo o que é engenharia social, quais os principais tipos de ataques de engenharia social, e quais estratégias adotar para reforçar a segurança. Acompanhe!
O que é engenharia social?
A engenharia social é uma prática habitual que os estelionatários e outros tipos de criminosos utilizam para ludibriar as pessoas, persuadindo-as a oferecer informações sensíveis e permitir o acesso a contas, senhas, cartões de crédito e sistemas.
A prática ocorre por meio da interação humana, com os golpistas explorando o emocional de suas vítimas. As abordagens podem ocorrer nos mais variados canais de comunicação (e-mail, SMS, redes sociais, WhatsApp, ligações telefônicas, etc) e de diferentes formas (promoções atrativas, falsos anúncios, ameaças, etc).
Embora seja bastante comum ocorrer no meio digital (fraude online), a prática também é aplicada fora da rede, com os golpistas persuadindo os usuários a praticarem ações indevidas, pessoalmente. Nesse caso, o termo é conhecido como engenharia social offline.
Principais tipos de ataques de engenharia social
O que torna a engenharia social tão assustadora é o fato de que ela é relativamente simples, passando muitas vezes despercebida pelos usuários. Abaixo, conheça os principais tipos de ataques:
Phishing
O phishing é uma técnica antiga em que os criminosos fazem uso de e-mails ou mensagens, aparentemente confiáveis, para obter informações sensíveis. Os contatos aplicados nesses e-mail ou mensagens geralmente se passam por órgãos legítimos como, por exemplo, instituições financeiras, companhias telefônicas, correios, entre outros.
Spear-phishing
O spear-phishing é semelhante à técnica phishing, mas o foco dos ataques é direcionado aos usuários que trabalham ou gerenciam modelos de negócios. Aqui os criminosos se aproximam dos colaboradores, líderes e diretores para conquistar ao poucos sua confiança e, com o passar do tempo, obter informações sensíveis ou até mesmo recursos financeiros.
Pretexting
O pretexting também é um ataque de engenharia social semelhante ao phishing. A diferença é que, nesse caso, a pessoa realmente pensa que está em contato com alguém de sua confiança (amigo, familiar, gerente do banco, etc), e que pode passar os seus dados ou fazer transações financeiras tranquilamente.
Baiting
Já o baiting é uma técnica que ocorre geralmente no ambiente de trabalho. Aqui os criminosos infectam um dispositivo (geralmente um pen drive) que, ao ser conectado em algum aparelho (notebook, PC, tablet, por exemplo), instala um programa que permite o acesso a todos os sistemas.
Quid pro quo
O quid pro quo é um ataque que ocorre devido a troca de algo por informações sensíveis. Ou seja, o criminoso oferece algum produto ou serviço para solucionar um problema, por exemplo, e a vítima liberalmente cede o acesso a dados confidenciais como senha de cartões de crédito/débito, e-mails, entre outros.
Scareware
O scareware, por outro lado, é uma técnica mais invasiva, com os criminosos atacando, intimidando e ameaçando os usuários. Aqui geralmente ocorre o bombardeio de mensagens, ligações, pop-ups ou até mesmo e-mails alegando que, se a vítima não atuar conforme as instruções, ela sofrerá consequências severas.
Diversion theft
O diversion theft, também conhecido como roubo de desvio, é um ataque de engenharia social em que os criminosos se apoderam do e-mail, telefone ou rede social da vítima para se passarem por instituições financeiras, companhias telefônicas ou qualquer outra empresa. Quando se cai nesse tipo de golpe, a pessoa de má fé consegue ter acesso a todas suas informações confidenciais.
Como se proteger contra ataques de engenharia social
Ninguém está livre de sofrer com a ação de criminosos, mas é possível as pessoas e empresas reforçarem a segurança e minimizarem os riscos, por meio de seis boas práticas. São elas:
- Conheça as ameaças: a quais ameaças você e a sua empresa estão expostas? Quais os tipos de ataque mais populares, e o que motivou as vítimas a caírem nos golpes? É preciso compreender as ameaças para saber como se proteger contra elas;
- Questione qualquer ato suspeito: ainda que seja algum parente, amigo ou colega de trabalho, é importante questionar a pessoa quando ela solicita alguma informação sensível ou pede acesso a dados e sistemas. Ser cauteloso pode livrar os usuários de ataques;
- Analise o conteúdo recebido com cuidado: recebeu uma mensagem suspeita? Não clique em nenhum link. Verifique primeiramente qual é o endereço/contato que mandou a mensagem e qual é o tipo de conteúdo do e-mail, SMS, etc;
- Só baixe o que for confiável: recebeu algum documento que não estava esperando? Pense duas vezes antes de baixar o material. Mesmo que o remetente seja um conhecido seu, pergunte a ele a natureza do conteúdo e qual o motivo para o envio;
- Reflita muito antes de compartilhar informações: pediram informações sensíveis, como número de cartão de crédito, dados biométricos e conta de bancos, duvide. Seja cuidadoso com as informações que compartilha e, principalmente, com quem compartilha;
- Proteja sua conexão com criptografia: utilize uma rede virtual privada (VPN). No caso de trabalhar em um local onde muitas pessoas compartilham a mesma rede, proteja a sua conexão com criptografia para tornar o fluxo de dados mais seguro, e mantenha o antivírus e o seu computador sempre atualizados.
Impedir a ação de criminosos é impossível, mas é possível reforçar a sua segurança e a da sua empresa ao adotar as práticas acima. Quais estratégias você já aplica, e qual pretende aplicar para combater fraudes online e engenharia social offline?
Se você gostou do conteúdo, acompanhe a Arklok para se manter dentro das novidades!