A engenharia social é um meio perigoso e muito utilizado para se realizar ataques cibernéticos de forma sutil.
Nesse tipo de ataque digital, os cibercriminosos usam técnicas de manipulação psicológica para enganar as vítimas e obter acesso a informações confidenciais e valiosas.
Ela pode atingir qualquer pessoa e empresa, independentemente do tamanho ou segmento do negócio.
Portanto, é fundamental entender o que é a engenharia social, quais são os tipos de ataques e as melhores práticas para evitar que isso aconteça com você.
Neste artigo, vamos explicar tudo o que é preciso saber sobre esse assunto e sobre como se prevenir, de modo a aumentar a segurança dos seus dados.
Se esse é o seu interesse, então não deixe de conferir!
O que é engenharia social?
A engenharia social é um tipo de crime online em que os cibercriminosos, para obterem fácil acesso a sistemas ou redes, utilizam técnicas que induzem as pessoas a fornecerem dados e informações valiosas.
Além de ser muito eficiente para driblar sistemas de segurança online, é usada juntamente com outras técnicas de ataques cibernéticos a fim de se conseguir essas informações ainda com mais eficiência.
Para conseguir acesso a sistemas importantes ou informações sensíveis e pessoais, os cibercriminosos exploram a confiança das pessoas, bem como a falta de conhecimentos sobre práticas de segurança digital.
Um exemplo muito comum de ataque cibernético é o phishing, por meio do qual um cracker — indivíduo que usa de conhecimento tecnológico para burlar sistemas de segurança — faz o disparo de e-mails que são falsos, mas parecem legítimos.
Dessa forma, ele consegue enganar um usuário e coletar dados, como senhas, informações bancárias e muito mais.
Por mais que seja uma prática criminosa que utiliza a tecnologia, a engenharia social não depende apenas dessas ferramentas, já que é baseada na manipulação psicológica.
Isso porque também já é comum que os criminosos coletem informações pessoais das vítimas em bancos de dados abertos ou nas redes sociais.
Como a engenharia social funciona?
Primeiramente, é fundamental entender que o engenheiro social é normalmente uma pessoa que detém habilidades e conhecimentos de informática avançados e específicos para praticar esse tipo de crime.
Além de conhecimentos tecnológicos, esse criminoso também tem grande capacidade de lidar com outras pessoas e seus sentimentos, apresentando habilidades como boa comunicação, alta persuasão, poder de investigação, entre outras.
Isso se deve ao fato de que, para conseguir estudar sua vítima, encontrar os argumentos certos e conduzi-la a realizar a ação necessária para o crime, ele deve trabalhar com boas técnicas de persuasão e inteligência analítica.
Somente assim, o engenheiro social criminoso consegue manipular os usuários para que eles quebrem os procedimentos e normas de segurança, utilizando, por exemplo, um e-mail, uma ligação, uma conta pessoal ou outras ferramentas possíveis para o crime cibernético.
Para conseguir isso, eles enviam diversas mensagens do tipo “spans”, muitas vezes diariamente, para vários usuários a fim de encontrar uma vítima com poucos conhecimentos de segurança digital.
Por sua vez, as vítimas costumam apresentar padrões e características de comportamento muito parecidos, fazendo com que seja possível identificá-las.
Quais os motivos para os cibercriminosos fazerem isso?
Os cibercriminosos utilizam essa técnica porque é uma forma muito eficiente de se obter dados e informações pessoais, bem como propriedades intelectuais, dados bancários, e segredos empresariais sem serem identificados.
Como já mencionado, o cibercriminoso usa as técnicas de engenharia social para persuadir e convencer a vítima a entregar essas informações de forma espontânea, sem que percebam que estão sendo lesadas.
Portanto, existem muitos motivos para o cibercriminoso cometer esse tipo de golpe, que podem ser:
- cometer fraudes financeiras;
- chantagear uma vítima;
- sabotar uma empresa;
- sequestrar dados importantes, sigilosos e muito mais.
Outro motivo que faz com que a engenharia social seja muito atraente para os criminosos é que, muitas vezes, é mais fácil e rápido obter essas informações diretamente de pessoas do que burlando os sistemas de segurança que as plataformas utilizam.
Afinal, uma instituição bancária, por exemplo, utiliza sistemas avançados de segurança e conta com equipes que conseguem identificar e evitar ataques com facilidade.
Já as pessoas comuns e os usuários dessas instituições, por exemplo, não têm conhecimentos de segurança e podem ser enganadas com muito mais facilidade, facilmente fornecendo seus próprios dados e caindo em golpes virtuais.
Quais os principais tipos de ataques cibernéticos?
Como já é possível perceber, existem muitas abordagens e técnicas utilizadas para o roubo de informações e de dados sensíveis que podem ser utilizados pelos criminosos cibernéticos.
Confira abaixo, algumas das principais abordagens utilizadas.
Baiting
Essa é uma abordagem muito utilizada em ambientes de trabalho e empresariais. Nesse modelo, o criminoso costuma infectar com um malware um dispositivo simples, como um pendrive, e deixa disponível para que alguém o encontre.
Por curiosidade ou engano, para acessar o conteúdo do pendrive ou descobrir a quem pertence, por exemplo, um colaborador da empresa pode conectar esse pendrive a um dispositivo.
Após a conexão, o malware começa a atuar de modo que o criminoso tenha acesso a todo o sistema. Dessa forma, todas as informações passam a ser de acesso do cibercriminoso.
Além disso, esse ataque também pode ocorrer de outras formas.
Nesse caso, o criminoso pode se apresentar oferecendo um serviço digital, gratuito ou não, e, ao comprar ou aceitá-lo, o próprio usuário do dispositivo acaba “permitindo” o acesso.
Phishing
O phishing é uma abordagem já conhecida e muito utilizada, mas que ainda consegue bons resultados para os criminosos.
É muito usado para roubar dados e informações bancárias.
O cibercriminoso faz o disparo de uma mensagem eletrônica que parece legítima — semelhante à de instituições bancárias, por exemplo —, solicitando informações valiosas e confidenciais do destinatário, como senhas, números de conta e dados de cartão de crédito.
Por mais que seja uma abordagem normalmente realizada por e-mail, ela também pode acontecer usando as redes sociais, WhatsApp, SMS e ligações telefônicas.
Pretexting
O pretexting é bastante usado para enganar um colaborador e induzi-lo a passar informações sigilosas sobre a empresa ou um setor específico do negócio.
Para isso, o criminoso identifica um colaborador que detém um cargo de liderança ou um cargo que tenha acesso às informações que deseja.
Em seguida, passando-se por ele, para se utilizar de sua autoridade, envia algum tipo de mensagem a outro colaborador em que descreve uma situação falsa, mas convincente ao ponto de ele fornecer os dados esperados, mesmo que sejam sensíveis e sigilosos.
Como exemplo, podemos citar um cracker que se passa por um colaborador do setor de TI e envia um e-mail solicitando o login e a senha de acesso de um colaborador real da empresa sob a alegação de que perdeu os seus dados de acesso.
Quid Pro Quo
Em uma tradução livre, a expressão quid pro quo pode ser traduzida como “isso por aquilo”. Essa abordagem consiste em oferecer alguma coisa em troca de informações confidenciais.
Um exemplo de quid pro quo é quando um cracker se passa por um funcionário do setor de tecnologia e faz a sua abordagem em colaboradores que estão tendo problemas com algum equipamento ou sistema utilizado na empresa.
Assim, simulando um suporte, o criminoso consegue acessar o sistema, desabilitar programas de segurança e instalar um malware no dispositivo da empresa.
Tudo isso ocorre enquanto o colaborador verdadeiro acredita que está recebendo um suporte da equipe de TI da companhia.
Spear-phishing
O spear-phishing é uma variação da abordagem de phishing muito mais direcionada. Isso porque ela é focada em indivíduos e empresas específicas para o ataque cibernético.
Nesse modelo de engenharia social, o criminoso se identifica como um executivo da empresa ou um membro de relevância da organização.
Assim, passando-se por um colaborador de alto nível, ele consegue abordar outros funcionários e roubar informações sensíveis e restritas a alguns cargos específicos, ou usar de sua falsa posição para exigir uma transação financeira urgente, por exemplo.
É uma técnica que demanda por gatilhos mentais poderosos, como o da urgência e o da autoridade.
Diferentemente do phishing tradicional, exige mais esforços dos criminosos e pode ser uma abordagem que dura semanas ou mais.
Ataques presenciais
Os ataques de engenharia social não acontecem exclusivamente no mundo online, já que existem criminosos que utilizam ataques pessoais para aplicar seus golpes.
Os ataques presenciais acontecem quando o golpista interage diretamente com a sua vítima, fingindo ser seu chefe ou outra autoridade.
Assim, ele consegue entrar na residência ou no trabalho de quem está sendo lesado e coletar os dados que deseja.
Ainda que pareça uma prática difícil de se realizar, ela não é uma raridade. Isso porque o criminoso pode se passar por um bombeiro, um policial, um técnico de rede, entre outros.
Assim, ao conseguir acesso ao local demarcado, o golpista pode implantar um malware nos dispositivos do lugar, roubar algum aparelho valioso, como smartphone, notebook, desktop ou tablet, e acessar as informações contidas nele.
Qual o ciclo operacional da engenharia social?
Os ataques de engenharia social demandam por certos conhecimentos e pela coleta inicial de informações.
Afinal, além do uso da tecnologia, é preciso que o criminoso domine e utilize uma série de recursos psicológicos para coletar os dados sigilosos que almeja.
Portanto, pode ser comum que a operação do cibercriminoso apresente-se como um ciclo com etapas, em que, por fim, pode abordar uma vítima e persuadi-la a obedecer seus comandos.
É o que veremos neste tópico. Acompanhe!
Coleta de informações
A coleta de informações é indispensável para os ataques de engenharia social.
Isso porque o atacante precisa de algum conhecimento sobre a vítima para iniciar o diálogo e saber o que falar para persuadi-la.
Existem diversas maneiras de coletar dados sobre uma possível vítima, sendo que, muitos desses dados, a própria pessoa disponibiliza online.
Isso acontece porque é comum as pessoas forneçam essas informações, de maneira ingênua, em plataformas diversas.
Por exemplo, acessando redes, como o Instagram e o LinkedIn, será possível ter acesso a muitas informações pessoais e profissionais de uma possível vítima.
Outras formas possíveis e comuns são, por exemplo, a engenharia reversa de arquivos e a troca de e-mails.
O ponto principal é que, separadamente, essas informações podem parecer inofensivas, mas juntas, fornecem material suficiente para uma abordagem bastante convincente.
Escolha da abordagem
Com as informações coletadas sobre a potencial vítima, fica muito mais fácil definir a melhor abordagem.
Como vimos em um tópico anterior, existem muitas ferramentas para o cibercrime e a engenharia social.
Conhecendo mais sobre a vida da vítima, fica muito mais fácil entender qual abordagem terá os melhores resultados, já que cada uma delas têm características próprias e enquadram-se melhor em determinados perfis.
Engajamento
Com a pesquisa realizada e o tipo de abordagem definido, é o momento de abordar e engajar a vítima, para que sinta que está tendo uma interação genuína.
Algumas práticas de engenharia social demandam mais esforços e mais tempo, já outras podem ser realizadas mais rapidamente.
Tudo depende da complexidade do golpe e do nível de instrução de quem está sendo abordado.
Exploração
Após a vítima ter sido engajada — ou seja, após ter “caído” no golpe — e começar a acreditar que está falando com um especialista, uma instituição financeira, um cargo de liderança, entre outros, o cibercriminoso começa a explorar essa vítima para que realize as ações definidas.
Algumas das ações mais comuns são: solicitar senhas de acesso, fazer transações bancárias e clicar em links específicos.
Porém, tudo mais que possa gerar dados valiosos para o golpista pode ser usado.
Encerramento
Esse ainda é um momento fundamental para o criminoso, porque ele deve encerrar a relação e apagar os rastros digitais que deixou ao aplicar o golpe.
Além disso, também é preciso manter o controle sobre as informações para que não se percam.
10 dicas para se proteger de ataques cibernéticos
Qualquer pessoa ou instituição está sujeita aos ataques de engenharia social.
Mas, por mais que isso possa soar desesperador, é importante entender que existem diversas formas de tornar a vida dos cibercriminosos muito mais difícil e garantir maior segurança a seus dados.
Pensando nisso, separamos 10 dicas para você se proteger de ataques cibernéticos. Vamos lá!
1. Mantenha seus dispositivos atualizados
É muito comum que os dispositivos tenham atualizações constantes de software.
Esse é um ponto muito positivo, porque significa que os fabricantes estão buscando atualizações e melhorias que envolvem o fortalecimento da segurança dos dados e a identificação de vulnerabilidades que colocam esses dados em risco.
2. Use senhas fortes
É importante criar senhas fortes com o uso de letras (maiúsculas e minúsculas), números e símbolos (caracteres especiais) para os acessos mais importantes da sua rotina.
Além de diversificar as suas senhas entre suas contas, o ideal é que você as altere com frequência.
3. Não clique em links suspeitos
Como vimos, o uso de links para serem clicados é uma forma de obter dados e instalar malwares nos dispositivos das vítimas.
Portanto, não clique em links que sejam suspeitos.
Uma forma de evitar que esses links sejam clicados é sempre conferir o remetente para entender o que pode ou não ser genuíno.
4. Capacite a sua equipe
Não basta ter conhecimentos tecnológicos para ter sucesso com ataques que usam a engenharia social.
Ela é dependente de fatores emocionais e racionais das vítimas. Por isso, é fundamental investir em capacitação para equipes e times de uma empresa.
Como os empreendimentos são alvo de muitos ataques, os times devem estar preparados para saber lidar com eles da forma certa.
Treinamentos, cursos online e todo tipo de capacitação para ajudar os colaboradores a entenderem como funciona a engenharia social e como lidar com ela quando surgir, são maneiras eficientes de garantir maior segurança dos dados e informações de uma empresa.
5. Use uma rede privada virtual (VPN)
Usar uma VPN, ou rede privada virtual, também é uma medida de segurança fundamental para evitar ataques cibernéticos.
Esse tipo de rede criptografa os dados do usuário e oculta o endereço IP, o que dificulta ainda mais a atividade de rastreio dos crackers.
Outro ponto forte dessa rede é que permite o acesso geográfico restrito de determinados conteúdos, aumentando a segurança de uso.
Ainda assim, é preciso escolher um provedor de rede VPN confiável e com credibilidade no mercado.
6. Faça backup dos seus dados
Ainda que diversas precauções de segurança sejam tomadas, não existe uma forma cem por cento segura de evitar os cibercrimes.
Por isso, é muito importante fazer o backup regularmente dos arquivos para que possam ser recuperados caso haja a perda ou o roubo deles.
Além disso, não se esqueça de armazenar esses backups em local seguro e protegido contra acessos duvidosos ou que não foram autorizados.
7. Fique atento ao phishing
Essa é uma abordagem que merece destaque, porque o phishing é uma técnica que lida diretamente com o comportamento humano, já que demanda pela abertura de um e-mail e do link.
Assim que essas ações são realizadas, por meio do envio de e-mail fraudulento, são solicitados dados valiosos, como senhas e informações do cartão de crédito.
Portanto, não abra e-mails suspeitos ou improváveis e nem clique em links duvidosos.
8. Use a autenticação de dois ou mais fatores
Essa é uma medida que conta como uma camada extra de segurança, já que exige uma segunda forma de autenticação que vai além da senha para acessar uma determinada conta.
As formas mais comuns de identificação de dois ou mais fatores são: um código gerado por um aplicativo, que é enviado para o smartphone do usuário, ou uma mensagem de texto com um número, que é enviado diretamente para o smartphone.
9. Tenha cuidado com as informações pessoais
Por mais irrelevante que possa parecer, não tomar cuidado com os dados pessoais é um erro que pode ser proveitoso para os cibercriminosos.
Isso porque em posse de dados, como nome completo, endereço, data de nascimento, número de telefone e de cartão de crédito, os crackers podem roubar a identidade do proprietário desses dados e cometer diversas fraudes.
E atenção, pois esses dados não devem ser usados para complementar senhas de acesso e códigos de segurança, já que podem cair nas mãos de pessoas mal-intencionadas.
10. Bloqueie o seu dispositivo quando não estiver em uso
Um hábito que pode gerar transtornos e facilitar invasões cibernéticas é não bloquear os principais dispositivos quando não estiverem sendo usados; principalmente em espaços públicos, pois um cibercriminoso pode acessá-lo na sua ausência e instalar algum programa, inserir um pen-drive, roubar senhas e muito mais.
Portanto, use senhas, códigos PIN, impressão digital e tudo o mais que for fornecido pelo dispositivo para aumentar a segurança e diminuir as possibilidades de invasões cibernéticas.
3 ferramentas para diminuir as chances de um golpe de engenharia social
Como já é possível entender, a prática de engenharia social gera muitas perdas para pessoas físicas e para as empresas de todos os nichos.
Além das medidas que podem ser tomadas, existem algumas ferramentas que ajudam a manter a segurança digital em dia. Confira!
Antivírus
O uso do antivírus é fundamental para conferir mais segurança para diversos dispositivos.
Afinal, um bom antivírus pode identificar e bloquear diversas ameaças cibernéticas, que inclui o malware e outros tipos de ataque de engenharia social.
E lembre-se, o antivírus deve estar sempre atualizado!
Filtro de spam
Essa é uma ferramenta muito útil para evitar os ataques que acontecem por meio do uso de e-mail. O filtro de spam ajuda a identificar e bloquear e-mails duvidosos, phishing e outras mensagens maliciosas.
Mas cuidado, pois o filtro de Spam não bloqueia completamente o recebimento de um Phishing.
Firewalls
O firewall atua para bloquear todo o tráfego que não é autorizado e ainda protege os sistemas utilizados contra as diversas possibilidades de ataques de engenharia social.
A engenharia social é um desafio para as empresas e para as pessoas de todo o mundo.
Isso porque, ao mesmo tempo em que novas tecnologias e soluções de segurança aparecem, novas técnicas para burlar essa segurança também se desenvolvem.
Os cibercriminosos estão constantemente criando novas maneiras de enganar as vítimas e conseguirem acessar dados e informações confidenciais e de valor, como senhas, dados bancários, documentos empresariais e muito mais.
Para diminuir as chances desse tipo de ataque, é muito importante ficar atento e tomar diferentes precauções, como implementar um sistema de autenticação de dois ou mais fatores, usar senhas complexas e exclusivas, treinar a equipe e utilizar as ferramentas que aumentam ainda mais a segurança das informações.
Por mais que seja impossível eliminar o risco de invasões, seguir as dicas apresentadas neste artigo pode diminuir muito as chances de você, ou sua empresa, se tornarem uma vítima de ciberataque e de golpes de engenharia social.
Saiba agora mesmo como aumentar a segurança e privacidade de dados no e-commerce.