Além das Barreiras Técnicas: Como a Engenharia Social Ameaça a Segurança

Você sabe o que significa o termo "Engenharia Social"?

Fraude e proteção de dados são assuntos frequentemente associados ao termo "Engenharia Social". Isso ocorre porque essa habilidade é crucial para que golpistas e criminosos cibernéticos tenham sucesso em seus ataques.

Essa técnica é usada com o objetivo de convencer os usuários a fornecerem informações confidenciais, infectar seus computadores com programas maliciosos ou abrir links para sites infectados. Em resumo, a engenharia social consiste em obter acesso a dados sigilosos e informações confidenciais por meio de táticas persuasivas, utilizando a manipulação psicológica.

Gostaria de saber como proteger sua empresa contra essa prática tão comum? Então, continue lendo este artigo para entender como a engenharia social funciona e quais são os principais tipos de ataques. Tenha uma ótima leitura!

A "TÉCNICA"

A engenharia social é uma técnica de manipulação psicológica utilizada por hackers, criminosos e outros indivíduos mal-intencionados para obter informações confidenciais ou acesso não autorizado a sistemas de computador e redes. Ao contrário dos métodos tradicionais de hacking, que geralmente envolvem exploração de vulnerabilidades técnicas, a engenharia social explora a natureza humana, buscando convencer as pessoas a fornecer informações ou executar ações que possam comprometer a segurança de um sistema ou rede.

Ou seja, alguém mal-intencionado abusa da inocência ou confiança de uma pessoa para convencê-la a fornecer informações sensíveis, como números de cartões de crédito, senhas ou documentos pessoais. Mas não se prenda a este cenário somente, esta prática também afeta as empresas, quando o criminoso estabelece contato com um funcionário ou usa truques para manipulá-lo e fazê-lo realizar ações que beneficiem o ataque e o sucesso dele.

Tudo isso é baseado na interação humana, explorando emoções e é realizado por criminosos que atuam diretamente na falta de cautela das pessoas, para assim, violar os procedimentos de segurança que deveriam ser seguidos, utilizando táticas de manipulação psicológicas de convencimento para que as pessoas cometam erros de segurança e revelem dados indevidos. Geralmente, são usados temas da atualidade, promoções tentadoras ou falsos anúncios para persuadir as pessoas.

O "ENGENHEIRO" SOCIAL

Esse criminoso não é um engenheiro tradicional, aquela pessoa de exatas sabe? É uma pessoa com habilidades para prática de crimes caracteristicamente relacionados a engenharia social, ou seja, uma pessoa com boa comunicação, simpático, com poucas resistências, que apresenta um domínio da persuasão e inteligência analítica para estudar o alvo precisamente.

Nesse conjunto, o criminoso usa de suas artimanhas para que as pessoas quebrem procedimentos e normas de segurança, seja por e-mail, ligações, sites e até mesmo contato pessoal. Na esperança de encontrar uma pessoa inexperiente e desavisada, enviam inúmeros e-mails (spams) e mensagens visando alcançar um número maior de vítimas.

AS VARIAÇÕES

Existem diversas técnicas de engenharia social que podem ser usadas para esse fim, desde que a interação humana esteja envolvida, separei e tentei explicar as mais comuns, veja:

• No phishing, o criminoso envia e-mails ou mensagens de texto falsas, que parecem legítimas, se passando por bancos ou empresas de cartões de crédito, para enganar a vítima a clicar em um link malicioso ou fornecer informações pessoais.  Para esse, vale um ponto de atenção. O phishing nem sempre é só por e-mail, mas sim, pode ser por contato telefônico e/ou redes sociais. Fique sempre alerta, pois estes contatos podem ser bem realistas e convincentes.
• Já no pretexting, o criminoso faz pesquisas básicas na internet para coleta de informações da vítima, se passa por uma pessoa legítima ou como um funcionário de uma empresa, para obter informações confidenciais, podendo solicitar atualizações cadastrais e até mesmo senhas.
• No baiting, que tem mais recorrência em meios corporativos, o criminoso usa algo atraente, como um dispositivo USB infectado (geralmente utiliza-se pendrive) e o deixa em algum local totalmente aleatório. Com isso, a pessoa/profissional inocente encontra o dispositivo e o conecta por simples curiosidade em seu equipamento de trabalho para conferir o conteúdo e pronto, o malware já está prestes a ser baixado, pois por muitas vezes a vítima também instala/clica nos arquivos deste dispositivo para saber do que se trata de fato, logo, o criminoso passa a ter acesso a praticamente tudo do equipamento desta pessoa/profissional.
• No quid pro quo, que traduzido é "isso por aquilo", o criminoso oferece algo em troca de informações confidenciais. Como exemplo, um criminoso se passa por um profissional de T.I para abordar vítimas que tenham problemas relacionados a seus sistemas, dispositivos e/ou equipamentos. Tais vítimas, ao acreditar e seguir as instruções do criminoso, fornecem as devidas informações para que o mesmo obtenha sucesso em sua necessidade, desabilitando programas de segurança e instalando malwares.

O CICLO

Ao ler e entender sobre tudo o que já dissertei sobre engenharia social neste artigo, algumas pessoas podem pensar que esses ataques envolvem passos e atividades complexas, mas não, ao organizarmos as principais ações deste criminoso, concluímos que o mesmo somente investiga a vítima em potencial, busca informações necessárias para o ataque e identifica vulnerabilidades nos protocolos de segurança. Em seguida, ele conquista a confiança da vítima e a induz a tomar ações que violam as práticas de segurança, como revelar informações confidenciais.

Vale ressaltar que esses ataques são baseados em erros humanos e representam um grande risco às empresas atualmente, exigindo precauções básicas para prevenção contra golpes.

PROTEJA-SE

Para se proteger contra a engenharia social, é importante ter consciência dos riscos e adotar boas práticas de segurança cibernética. Algumas dicas incluem:

• Mantenha-se vigilante e desconfie de qualquer solicitação de dados pessoais ou confidenciais, verificando a autenticidade da fonte antes de fornecer informações sensíveis.                      
• Não clique em links suspeitos, seja por e-mail ou SMS ou baixe arquivos de fontes desconhecidas.                     
• Verifique cuidadosamente as mensagens e e-mails que parecem ser de uma empresa ou organização, especialmente se solicitarem informações pessoais ou financeiras.                     
• Não compartilhe informações confidenciais ou senhas com pessoas que você não conhece pessoalmente ou que não têm uma boa razão para solicitá-las.                     
• Use senhas fortes e altere-as regularmente.                      
• Evite baixar anexos em seu dispositivo, pois isso pode facilitar acessos não autorizados e infecções por programas maliciosos.                       
• Lembre-se, nenhuma empresa pede senhas ou informações sensíveis por telefone ou e-mail, pois esses dados são de responsabilidade exclusiva do usuário.                       
• Eduque-se e informe-se sobre as técnicas de engenharia social e mantenha-se atualizado sobre as ameaças mais recentes.                 
• Não aceite a pressão psicológica, mantenha a calma, verifique informações em fontes confiáveis e não acredite em ameaças como encerramento de contas ou acessos desconhecidos sem confirmação adequada.
• Evite interagir com ligações ou e-mails suspeitos, assim você não dá oportunidade e tempo para o criminoso ganhar sua confiança.                       
• Desconfie de solicitações urgentes relacionadas a informações sensíveis ou transferências de dinheiro, pois o gatilho da urgência é usado para manipular emoções e levar a decisões impulsivas.

CONCLUSÃO

Embora a engenharia social seja uma técnica antiga, ela continua sendo muito eficaz hoje em dia, especialmente com o aumento do uso de redes sociais e outras plataformas online. Os criminosos podem usar informações publicamente disponíveis nas redes sociais para criar pretextos convincentes e personalizados, o que torna mais difícil para as pessoas reconhecerem um ataque de engenharia social.

Em resumo, a engenharia social é uma técnica poderosa e perigosa usada por criminosos para obter informações confidenciais ou acesso não autorizado a sistemas de computador e redes. Ao reconhecer os riscos e adotar boas práticas de segurança cibernética, você pode ajudar a proteger-se contra esses ataques.