Engenharia Social: o que é e como se prevenir?

Você sabia que a maioria dos ataques hackers ocorre através da Engenharia Social? Já ouviu falar neste termo?

Entenda quais os riscos de ser manipulado por hackers.

A Engenharia Social, no contexto da Segurança da Informação, refere-se à manipulação psicológica de pessoas para a execução de ações ou divulgação de informações confidenciais, o atacante busca explorar emocionalmente as vítimas testando diversas iscas até ativar um gatilho que deixa o alvo vulnerável.

Geralmente, são utilizados temas atuais, promoções atrativas, situações de urgência ou falsos anúncios de premiações.

Um ataque clássico na engenharia social é quando uma pessoa se passa por um profissional de alto nível dentro das organizações, dizendo possuir problemas urgentes de acesso ao sistema, conseguindo assim ingressar aos locais antes restritos ao atacante através da engenharia social.

As principais técnicas de engenharia social utilizadas por criminosos são:

Baiting:

É quando o atacante oferece um item ou bem para atrair a vítima, pode ser a promessa de downloads gratuitos de filmes e músicas em troca de login e senhas, ou ainda, a distribuição de um pendrive como ‘’brinde’’.

Phishing:

Essa prática consiste em conduzir pessoas por meio de fraudes a realizar uma ação – normalmente, um download de um arquivo malicioso e aparentemente legítimo, por onde malwares e vírus são introduzidos no dispositivo da vítima. As iscas são dadas por e-mails, SMS, links suspeitos, promoções falsas, por telefonemas, entre outros. As formas mais comuns são campanhas por e-mail que atingem especialmente funcionários de empresas.

Smishing:

Sabe aquele SMS alertando que você recebeu um prêmio e que deve clicar em um link para resgatar o prêmio? Pois é, isso é um smishing, uma variação do phishing que ocorre por SMS.

Vishing:

É a variação verbal do phishing, ocorre por ligações telefônicas.

Pretexting:

Aqui o atacante tem como foco em criar um pretexto ou situação para enganar suas vítimas, um exemplo é quando o criminoso se passa por um parente necessitado para receber dinheiro, ou se passa por um funcionário de um banco para conseguir as senhas das vítimas.

Quid pro quo:

Quid pro quo é uma expressão latina que significa “tomar uma coisa por outra”.

No contexto da Segurança da Informação, temos como exemplo uma situação no qual a vítima é levada a acreditar que seu computador ou celular foi infectado por um vírus, geralmente por meio de anúncios, e que isso só pode ser resolvido após baixar um ‘’antivírus’’ que na verdade é um programa malicioso.

Dumpster diving:

Também conhecida como trashing, é o termo usado para a ação de hackers que vasculhavam o lixo da empresa ou pessoal alvo para descobrir informações como nomes de contas, senhas, informações pessoais e confidenciais para invadir mais facilmente os sistemas e redes.

Shoulder surfing:

Sua tradução para o português seria algo como ‘’surfar no ombro’’, é um tipo de técnica de Engenharia Social usada para obter informações como números de identificação pessoal, senhas e outros dados confidenciais olhando por cima do ombro da vítima. É mais comum entre colegas de trabalho em ambientes corporativos, porém, também ocorre no caso de funcionários que trabalham em locais públicos, por exemplo.

Tailgating:

É uma das formas mais comuns de um invasor obter acesso a áreas restritas. Afinal, é mais fácil simplesmente seguir uma pessoa autorizada em uma empresa do que invadi-la.

O ataque pode variar de simplesmente seguir uma pessoa através de portas que têm fechaduras a colocar um disfarce para induzir as vítimas a abrir a porta.

Você deve ter percebido que esses ataques são baseados no erro humano e não nas vulnerabilidades de sistemas, softwares, redes e demais tecnologias.

Por isso, é muito difícil de ser reconhecida pelos dispositivos de segurança tradicionais, esses ataques estão entre os maiores riscos de segurança atualmente e requer diversos cuidados básicos dos usuários para prevenção contra os golpes.

Para se prevenir de ataques de Engenharia Social, você deve:

Não abra anexos de e-mail de fontes suspeitas: Mesmo que você conheça o remetente e a mensagem pareça suspeita, é melhor entrar em contato diretamente com essa pessoa para confirmar a autenticidade da mensagem.

Cuidado ao clicar em links: Seja através de e-mail, grupos de whatsapp ou outras formas, sempre tome cuidado ao clicar em links, uma maneira de checar se a url possui vírus é através do site https://www.virustotal.com/gui/home/url

Use autenticação multifator (MFA): Uma das informações mais valiosas que os invasores procuram são as credenciais do usuário. O uso da autenticação multifator ajuda a garantir a proteção da sua conta no caso de comprometimento da mesma.

Desconfie de ofertas tentadoras: Se uma oferta parece boa demais para ser verdade, provavelmente é porque é. Fazer uma pesquisa para checar a veracidade do tópico pode ajudá-lo a determinar rapidamente se você está lidando com uma oferta legítima ou uma armadilha.

Higienize suas redes sociais: Os engenheiros sociais vasculham a Internet em busca de qualquer tipo de informação que possam encontrar sobre uma pessoa.

Atualize tudo: Mantenha seus sistemas e softwares atualizados com frequência, e veja se as atualizações foram aplicadas corretamente. Procure fazer varreduras rotineiras com o antivírus.

Faça backup de seus dados regularmente: Se você for vítima de um ataque de Engenharia Social no qual todo o seu disco rígido foi corrompido, é essencial que você tenha um backup em um disco rígido externo ou salvo na nuvem.

Evite conectar um USB desconhecido em seu computador: Quando uma unidade USB desconhecida for encontrada, entregue-a a para que um profissional de Tecnologia da Informação faça uma análise técnica.

Destrua documentos confidenciais regularmente: Todos os documentos confidenciais, como extratos bancários, informações de empréstimos estudantis e outras informações de contas, devem ser fisicamente destruídos em um triturador, por exemplo.

Cuidado ao repassar informações: Sempre desconfie de interações que solicitem a divulgação de dados pessoais ou confidenciais, de cunho sigiloso ou de acesso à rede corporativa. Quando se trata de uma interação indireta, via mensagem de e-mail, por exemplo, é fundamental verificar o endereço do remetente para confirmar se é um canal oficial da pessoa ou da empresa que está entrando em contato.

Desconfie de pedidos urgentes ou pressão: O engenheiro social pode fazer uma solicitação de urgência ou fazer pressão para que a vítima acate um pedido, podendo ser uma informação sensível, confidencial ou então a transferência ou liberação de um determinado valor em dinheiro.

Os ataques de Engenharia Social são muito poderosos e conseguem causar grandes problemas aos indivíduos e organizações, até mesmo empresas como Uber, Samsung, Microsoft ou os governos sofrem constantemente com esses ataques, portanto, não fique quieto caso perceba que foi vítima desse ataque. Procure notificar imediatamente seu superior hierárquico ou as autoridades caso note algo suspeito.