Engenharia social

Você sabe o que é engenharia social?

Engenharia social é uma técnica empregada por criminosos virtuais, o objetivo é induzir os usuários mais desatentos a enviar dados confidenciais, infectar seus computadores com malware (código malicioso) ou abrir links para sites infectados.

Muitas pessoas não percebem o verdadeiro valor dos dados pessoais e não sabem exatamente como proteger essas informações, o que abre brecha para os hackers explorarem esta falta de conhecimento.

Como funciona a engenharia social?

Praticamente todo tipo de ataque contém algum método de engenharia social. Podemos citar o clássico e-mail de “phishing” e os golpes com vírus, por exemplo, são repletos de insinuações de conotação social.

Os e-mails de phishing tentam convencer os usuarios de que são, de fato, de uma fonte legitima, na esperança de conseguir obter qualquer dado pessoal ou corporativo, por menor que seja. Os e-mails que contêm anexos cheios de vírus, por sua vez, muitas vezes alegam ser de contatos confiáveis ou oferecem conteúdo de mídia que parece inofensivo, como causas de impactos sociais, vídeos divertidos ou fatos recentes.

Em alguns casos de engenharia social, os invasores utilizam métodos mais simples para conseguir acessar a rede ou um dispositivo. Por exemplo, um hacker pode frequentar uma praça de alimentação de um edifício corporativo e observar pessoas que trabalham com tablets ou laptops. Assim, pode conseguir um grande volume de senhas e nomes de usuários, sem se quer enviar um único e-mail ou escrever uma linha de código de vírus. Em outros casos, que dependem de comunicação real entre o invasor e a vítima, o invasor pressiona o usuário a conceder acesso a informações com alegações de um problema sério e que requer uma ação imediata. Outras palavras como raiva, culpa e tristeza tambem são utilizadas na mesma medida para convencer os usuários de que sua ajuda é necessária.

Muitas pessoas não percebem que, com poucas informações (nome, data de nascimento ou endereço), os hackers conseguem ter acesso a diversas redes uma vez que conseguem se disfarçar de um usuário legitimo para o pessoal de suporte de TI. Uma vez dentro da rede é só uma questão de redefinir senhas e obter acesso praticamente ilimitado.

Alguns tipos de engenharia

  • Phishing: os e-mails de phishing tentam convencer os usuarios de que são, de fato, de uma fonte legitima, na esperança de conseguir obter qualquer dado pessoal ou corporativo, por menor que seja.
  • Vishing: uma das variações do phishing, o termo “phishing” é utilizado para descrever a prática de maneira geral, porém, o vishing refere-se a ataques realizados especificamente por telefone. Uma das práticas mais comuns no Brasil, funciona exatamente igual ao phishing com uma pequena variação, ao invés de tentar induzir a pessoa utilizando um e-mail ele é feito a partir de uma chamada telefônica.
  • Smishing: Mais uma variação do phishing, o termo smishing vem da combinação de “SMS” (short message services, ou mensagens de texto) e “phishing”, trata-se de uma prática social que basicamente utiliza mensagem de texto ao invés de utilizar e-mail.
  • Shoulder Surfing: é o uso de técnicas de observação direta, como “olhar por cima do ombro” de alguém, para obter informações. É uma maneira eficaz de obter informações em lugares com um grande volume de pessoas, é relativamente facil ficar ao lado de alguém e observar enquanto ela preenche um formulário ou digita um número PIN em um caixa eletrônico por exemplo. Para os engenheiros sociais, a ação pode representar mais do que uma simples curiosidade e tornar-se uma oportunidade para coleta de informações.

Como se proteger

Como toda medida de proteção, o primeiro passo contra a engenharia social começa com o treinamento. As pessoas devem ser condicionadas a nunca clicar em links suspeitos e a sempre proteger suas credenciais de login, seja em casa ou no trabalho.

No caso de as táticas sociais aplicadas serem efetivadas, um resultado provável é uma infecção por malware, neste caso é preciso que você tenha uma boa solução de segurança para combater, a solução deve ser capaz de eliminar as infecções e rastrear a sua origem.

Procure sempre ficar atento aos sinais, afinal, o ataque só provoca estragos quando você morde a isca, sempre tenha em mente algumas coisas.

  • Nenhuma instituição financeira ou loja envia mensagens de texto pedindo que você atualize as informações da sua conta ou confirme o código de seu cartão de débito.
  • Nunca clique em um link de resposta ou um número de telefone de uma mensagem suspeita.
  • Nunca informe códigos de segurança recebidos via mensagem de texto para solicitantes por telefone ou e-mail.
  • Nunca armazene no smartphone informações de cartões de crédito ou de banco.

Lembre-se ataques de engenharia social só funcionará se o atacante conseguir fazer com que a vítima coopere, clicando em um link ou passando informações.

E aí, gostou do artigo? Nosso time de especialistas está à disposição para nossos clientes e parceiros que queiram obter melhores resultados.

plugins premium WordPress