A engenharia social é mais uma estratégia maligna para ataques cibernéticos e cabe a pessoa sendo atacada sempre estar alerta e engajada em conhecer os principais tipos e se proteger.
Nesse cenário tecnológico onde a maioria dos usuários está conectada e focada em uso de aplicativos tanto para a vida profissional como a vida pessoal, aqueles que são mal intencionados estão sempre buscando brechas.
É por isso que montamos um post esclarecedor sobre os efeitos desse tipo de ataque.. Veja o que é, como funciona e quais os seus impactos na segurança da informação e ainda, como se proteger. Confira!
O que é um ataque de engenharia social?
Está tudo certo com seu sistema de proteção, suas senhas estão seguras, os seus aplicativos antivírus estão todos atualizados. Então, você simplesmente descansa, mas algo inesperado acontece.
Um simples e-mail falso é enviado, só que ele é tão real que você nem percebe. A mensagem tem um objetivo único: que você acesse um link despretensioso. E então…
Todo o processo de ataque de engenharia social começa! Solicitando ou não dados pessoais, o invasor coleta essas informações para agir de forma maliciosa logo após o ataque. Entre as principais formas de indução, destacamos:
- envio de dados confidenciais;
- abertura de links suspeitos;
- comunicação verbal de informações; dentre outras.
Sim, geralmente isso acontece com usuários mais ingênuos. Por isso, é fundamental se informar e saber como se defender em situações inesperadas como essa.
Como funciona?
Saiba que esses tipos de ataques não ocorrem somente no mundo virtual. Um simples telefonema também pode promover um golpe sem que a vítima perceba.
Esse é um dos pontos principais da engenharia social que permite que um ataque seja feito sem que haja muitas habilidades técnicas de invasão de sistemas.
A engenharia social tenta enganar o ser humano e não a máquina. Teoricamente esse trabalho é mais fácil, por isso, os golpistas estão investindo muito nesse tipo de ataque. Algumas das emoções exploradas são:
- curiosidade;
- preguiça;
- solidariedade;
- vaidade;
- ansiedade;
No ciclo de engenharia social o ataque começa na coleta de informações, passa para o planejamento do ataque e a obtenção das ferramentas. Daí, vem o ataque propriamente dito e o uso das informações obtidas para retornar à fase inicial.
Quais os principais tipos?
Cada vez mais os golpistas inventam novas formas de ataque, por isso, é muito importante que você esteja atento aos tipos atuais e sempre se atualize caso outros novos surjam. Veja agora os principais.
Baiting
Nessa modalidade de ataque, o golpista faz uma falsa promessa para estimular o desejo da vítima e estimulá-la a clicar no link ou arquivo enviado. Assim é possível roubar os dados sem muito esforço.
Como se proteger?
Veremos ao longo dos tipos de ataques que a desconfiança é um grande trunfo de defesa. E principalmente em relação a promessas falsas. O ideal é ser menos impulsivo e mais analítico antes de tomar a decisão de clicar em um link, acessar algum site sugerido ou mesmo abrir algum arquivo suspeito.
Quid pro quo
O termo Quid pro quo significa “troca justa não é um roubo”. Daí você começa a ver a malícia do mal intencionado. Nessa prática ele mente dizendo que você foi sorteado ou que ganhou dinheiro em algum concurso e para receber o dinheiro, basta você informar um documento como um CPF.
Daí ele tem o trunfo para começar os seus ataques e roubar dados. Além disso, podem ser usados ransomwares, scarewares e outros mecanismos para solicitar atualização de software para corrigir problemas de segurança, só que na verdade, é mais uma técnica para invadir o dispositivo.
Como se proteger?
Sempre desconfie. Isso deve ser uma mentalidade constante. Antes de enviar informações, verifique a integridade da mensagem. Algumas das coisas mais comuns que denunciam um golpe são:
- erros de português;
- erros de formatação;
- empresa ou aplicativos desconhecido; dentre outras.
Phishing
Em outro tipo de ataque sutil, o golpista usa uma mensagem de email corporativo, tentando se passar por uma empresa confiável, no entanto, trata-se de mais uma técnica para extrair dados de usuários.
Além do phishing que se refere a ataques por e-mail, também temos o vishing que se trata de ataques por telefone e smishing que refere-se a ataques por SMS. Esses dois últimos podem até ser analisados separadamente para que o usuário tenha maior segurança e defesa.
Como se proteger
Novamente, sempre desconfie de solicitações de informações confidenciais. Normalmente, essas informações só devem ser cedidas em operações na instituição oficial.
Ligações surpresa também denunciam algo suspeito de forma que o ideal é checar antes de compartilhar informações confidenciais. Falar que vai visitar a instituição em outro momento ou mesmo telefonar para o número da empresa depois são algumas das práticas que quebram essa atitude maliciosa.
Isca – Também conhecido como “Hardware hacking”
A prática de ataque por isca utiliza dispositivos como pendrives para inserir ações destrutivas em um dispositivo. Nesse caso, a ideia é que a vítima “ache” esse item em algum lugar estratégico e se interesse em utilizá-lo no seu PC.
Tão logo ela conecte este pendrive no seu computador, começam os ataques. Gradativamente, há um comprometimento das funções do dispositivo, podendo resultar em coleta de dados sensíveis, picos de energia e outros.
Como se proteger?
Se a ingenuidade é o problema dos outros ataques, nesse caso, a dificuldade está em controlar a curiosidade. Para não se tornar vítima então, evite esse sentimento e não insira qualquer dispositivo em seu computador.
Spamming de contatos e hacking de e-mail
Nesse caso, é como se o e-mail original tivesse sido invadido e a partir daí, mensagens são enviadas para os seus contatos. Então, são disseminados links maliciosos e quaisquer outros arquivos para espalhar o ataque.
Como se proteger?
Esse tipo de ataque revela que você deve tomar cuidado até com as mensagens de amigos ou colegas de trabalho. Qualquer mensagem incomum deve ser analisada antes.
Ou seja, se você tem um amigo que nunca te manda mensagens e de repente ele envia algo para você baixar com “uma proposta financeira fantástica”, certamente esse envio é suspeito.
Pretexto
A técnica de pretexto refere-se a velha “estória triste”. A intenção é passar uma imagem de coitado e dizer que precisa de ajuda para pagar algum medicamento ou pagar alguma passagem de volta.
Então, um sentimento de comoção toma a vítima, que decide doar valores para o golpista. Aí ela clica no link e daí começam os ataques em seu dispositivo.
Como se proteger?
Evite ceder valores ou informações online, independente do caso. Você só deve inserir informações em sites confiáveis. Caso você queira ajudar alguém ou alguma obra social, procure o site oficial ou até mesmo faça uma visita pessoalmente para isso, mas nunca faça nada por impulso.
Cultivo
O caso do cultivo usa muito situações passionais. Nesse caso, o golpista pode se relacionar diretamente com a vítima de forma virtual estabelecendo certa confiança para pedir dados sensíveis.
Após determinado tempo de relacionamento, o usuário malicioso começa a criar situações para tentar pescar essas informações. Então, a vítima acaba cedendo às informações por confiança.
Como se proteger?
Deve-se ter muito cuidado com relacionamentos totalmente virtuais. Nunca deixe que o lado emocional supere o racional. As interações virtuais precisam evoluir para presenciais e daí por diante até que você compartilhe determinadas informações.
Quais as melhores práticas de proteção de ataques de engenharia social?
Além de tomar medidas específicas contra cada um desses tipos de ataques, é bom que você tenha uma postura defensiva e restritiva contra ataques. Veja agora algumas das melhores ações de defesa.
Sempre verifique a fonte da informação
Antes de dar atenção a uma mensagem ou um site, faça as verificações mais básicas. Olhe o remetente, verifique se há o HTTPS na URL, encontre o cadeado para transações, dentre outras medidas.
O objetivo é só interagir com sites e remetentes originais. Dessa forma, nunca responda ou acesse links por impulso. Busque identificar a veracidade do canal antes de continuar.
A empresa deve ter suas informações
Se uma ligação acontece e a pessoa do outro lado faz diversas perguntas como Nome, CPF, Identidade e outros documentos, fatalmente trata-se de um golpe.
Logicamente, que uma instituição em que você seja cliente deve ter seus dados cadastrados e não precisa solicitá-los antecipadamente, a não ser que a ligação tenha partido de você para acessar um cadastro.
Mantenha sempre o controle emocional
Um dos pontos mais explorados em um ataque de engenharia social é o sistema nervoso da vítima. Se você recebe uma ligação ou uma mensagem qualquer sobre algum problema da sua vida, o primeiro passo é manter a calma.
Com o sistema nervoso abalado, fatalmente você cederá as informações para o golpista. Uma mãe que recebe um telefonema sobre o sequestro de seu filho tende a se desesperar. Nesse caso, a conduta é primeiramente manter a calma e depois tentar fazer perguntas mais específicas para o golpista e tentar identificar o golpe.
Sempre confira a identidade de quem está ligando
Outra boa técnica de defesa é pedir a identificação da pessoa que está entrando em contato. Caso ele demonstre insegurança, é prudente desligar a ligação e retornar para um número legítimo para saber se a empresa está realmente solicitando alguma informação ou oferecendo algo para você.
Use filtros de spam
Para o uso de e-mails é muito bom que você tenha um excelente sistema de anti spam. Assim, o próprio software já deve fazer um filtro e encaminhar mensagens suspeitas para uma pasta especial.
O trabalho fica facilitado nesse caso, já que o próprio sistema já apontou o e-mail como suspeito. Então, basta que você tenha maior atenção com essa mensagem e percebendo características suspeitas, exclua imediatamente.
Descarte promessas ilusórias
Também é muito comum que golpistas usem propostas ilusórias para ludibriar as vítimas. Ficar milionário da noite para o dia, ganhar milhares de reais trabalhando poucas horas por dia etc.
Essas mensagens são comuns, infelizmente, e em grande parte dos casos se trata de um golpe direto onde a vítima tem seu dispositivo infectado ou um golpe indireto onde a vítima entra num esquema totalmente ilusório.
Use aplicativos de proteção
Ter softwares antivírus e outros sistemas de proteção é fundamental para prevenir esses tipos de ataques. Ainda que o golpista consiga ludibriar o usuário e fazer com que ele clique em algum link infectado, é muito provável que o aplicativo acionará o sistema de defesa e evitará maiores problemas.
Além disso, recomenda-se sempre manter esses aplicativos atualizados para bloquear novas modalidades de ataque que surjam. Ou seja, a postura de defesa deve ser constante e disciplinada para evitar invasões.
Tenha sempre senhas fortes
Uma senha frágil é uma excelente oportunidade para usuários mal intencionados invadirem sistemas. Nesse ponto é ideal que você estabeleça senhas fortes e frequentemente faça trocas para dificultar os ataques. Algumas das melhores técnicas para fortalecer suas senhas são:
- usar letras maiúsculas e minúsculas;
- usar números;
- usar caracteres especiais;
- usar senhas longas (frases por exemplo).
Não compartilhe informações em redes sociais
As redes sociais geralmente aumentam muito a exposição de um usuário. Elas são benéficas para entretenimento ou para interagir com amigos e parentes.
No entanto, há usuários que contém milhares de amigos ou conexões em suas redes e nem sempre essas conexões são confiáveis. Nesse caso, todas as suas informações pessoais devem estar ocultas para outros usuários para evitar invasões ou roubo de dados.
Outro fator de atenção, é que alguns usuários mal intencionados podem estar “vigiando” suas postagens. Então, quando você compartilha algo, eles podem usar essa última postagem para tentar extrair alguma informação ou fazer alguma espécie de chantagem emocional para coletar dados sensíveis.
Agora, com certeza você tem um norte de defesa. Não vale esmorecer e deixar brechas para ataques. Use todas essas dicas e práticas para se proteger.
Neste post, você entendeu como um ataque de engenharia social acontece e todos os possíveis prejuízos que ele gera em um dispositivo. E o fundamental, descobriu as melhores práticas de defesa.
Agora é hora de ser solidário aos seus amigos. Compartilhe este post para disseminar o conhecimento sobre os ataques de engenharia social!
Baixe Gratuitamente
Novidade! Temos dois e-books incríveis e gratuitos, para você baixar, se informar e ficar livre de uma ameaça cibernética:
Ransomware: o guia completo7 situações que permitem a invasão da sua empresa por ransomwares
