Como prevenir ataques de engenharia social
Quando o assunto é cibersegurança, muitos pensam em proteger-se contra hackers que usam falhas tecnológicas de um sistema para roubar dados.
Mas os ataques cibernéticos não podem ser resumidos apenas a invasões de malwares, há outras maneiras de se infiltrar em organizações e redes com o consentimento da vítima e sem que ela tome conhecimento do que está acontecendo.
Esse tipo de enganação é conhecido como engenharia social que, em sua essência, consiste em manipular alguém até que dados confidenciais e permissões de acesso sejam concedidos.
Um exemplo bastante conhecido disso é quando um intruso se passa pelo suporte de TI de uma determinada empresa, pedindo aos usuários que forneçam informações como os seus nomes de usuários e senhas. O golpe é concretizado quando essa informação é divulgada.
É surpreendente como muitas pessoas não pensam duas vezes em divulgar essa informação, especialmente se parecer que está sendo solicitada por um representante legítimo.
Nesse contexto, trouxemos algumas informações relevantes para a precaução contra esses ataques! Acompanhe a leitura e saiba como se proteger dos ataques de engenharia social.
O que seria a engenharia social?
A definição de engenharia social abraça vários tipos de manipulações psicológicas. Esse conceito pode gerar resultados positivos quando se é levado para a área de promoção comportamental.
A Segurança da Informação, no entanto, costuma tratar a engenharia social como um mal que promove benefícios para o criminoso, envolvendo a manipulação para obter informações particulares, como dados pessoais e financeiros. Assim, a engenharia social pode também ser definida como um crime cibernético.
Como funciona a engenharia social?
Infelizmente, para os humanos, ainda existem alguns padrões de relacionamento que são estabelecidos. A engenharia social funciona tomando proveito dessas situações de preconceito cognitivo, em que os criminosos furtam informações financeiras e pessoais.
Um forte exemplo disso pode ser visualizado na tendência humana de confiar em pessoas que têm uma aparência mais agradável e simpática ou até mesmo que tem um cargo de autoridade superior.
As técnicas de engenharia social exploram essa confiança natural do ser humano. Em 2018, golpes de phishing de aluguel de temporada, nos quais hackers se faziam passar por proprietários que ofereciam listas de férias reais, eram comuns o suficiente para que a Comissão Federal de Comércio dos Estados Unidos emitisse um alerta sobre eles.
Em muitos casos, as informações de contato e e-mails dos proprietários reais foram hackeados, deixando poucos motivos para as vítimas pensarem que não estavam discutindo um aluguel com o proprietário real.
Quem está mais vulnerável à engenharia social?
Qualquer um pode ser vítima de um ataque de engenharia social. Cada um tem os seus próprios preconceitos cognitivos que, na maioria das vezes, passam despercebidos em meio ao convívio social.
Porém, há alguns grupos particulares que, de certa maneira, são alvos “fáceis” para esses criminosos, como os idosos, que podem não ter conhecimento de tecnologia, geralmente têm menos interações humanas e podem ser percebidos como possuidores de muito dinheiro e bens para se desfazer.
Quais são as técnicas comuns de engenharia social?
As técnicas de engenharia social podem assumir muitas formas. A seguir listamos as técnicas comumente usadas.
Exploração de Familiaridade
Os usuários desconfiam menos das pessoas com as quais estão familiarizados. Um invasor pode se familiarizar com os usuários do sistema antes do ataque de engenharia social.
O oportunista pode participar de eventos sociais e outros ambientes, o que torna o invasor familiar aos usuários.
Circunstâncias Intimidadoras
Tendemos a evitar pessoas que intimidam outras ao nosso redor. Usando essa técnica, o invasor pode fingir ter uma discussão acalorada ao telefone ou com um cúmplice do esquema, podendo então pedir aos usuários informações que seriam usadas para comprometer a segurança do sistema dos usuários.
É mais provável que os usuários deem as respostas corretas apenas para evitar um confronto com o criminoso. Essa técnica também pode ser usada para evitar ser averiguada em um ponto de verificação de segurança.
Phishing
Esta técnica usa truques e fraudes para obter dados privados dos usuários. O engenheiro social pode tentar se passar por um site genuíno, como o Google, e então pedir ao usuário desavisado para confirmar seu nome de conta e senha.
Essa técnica também pode ser usada para obter informações de cartão de crédito ou quaisquer outros dados pessoais valiosos.
Explorando a Curiosidade Humana
Usando esta técnica, o engenheiro social pode deliberadamente deixar um pendrive infectado por vírus em uma área onde os usuários podem pegá-lo facilmente. O usuário provavelmente conectará o pendrive ao computador.
Assim, o pendrive pode executar o vírus automaticamente ou o usuário pode ser tentado a abrir um arquivo com um nome, como Relatório de reavaliação de funcionários 2013.docx, que na verdade pode ser um arquivo infectado.
Explorando a Ganância Humana
Usando esta técnica, o engenheiro social pode atrair o usuário com a promessa de ganhar muito dinheiro online preenchendo um formulário e confirmando seus dados usando dados de cartão de crédito etc.
Como se proteger de um ataque de engenharia social?
Os ataques de engenharia social são furtivos. Isso torna fundamental que todos estejam cientes da ameaça. Algumas práticas recomendadas que você pode seguir para garantir que está se protegendo de ataques de engenharia social incluem.
- Nunca responda a uma solicitação de informações financeiras ou senhas. Organizações legítimas não enviarão uma mensagem pedindo informações pessoais.
- Ajuste seus filtros de spam. Todo programa de e-mail possui filtros de spam, certifique-se de que o seu esteja configurado para alto para bloquear ameaças potenciais.
- Proteja seus dispositivos de computação e acessórios. Isso significa proteger seu espaço digital com software antivírus, firewalls e filtros de e-mail. Isso também significa proteger drives flash, discos rígidos externos e outras peças de equipamento que podem estar comprometidas.
Por fim, é fundamental que os gestores elaborem planos para conscientizar a equipe de funcionários. Existem muitos cuidados essenciais disponíveis na internet e, para ambientes corporativos, a equipe interna precisa estar ciente de como se proteger contra ameaças digitais.
Certificar-se de que os funcionários estão alinhados para esse fim é uma etapa essencial no processo de prevenção de ataques de engenharia social e outros ataques virtuais.
Gostou de tudo o que foi discutido por aqui? Então, acrescente à sua leitura e saiba quais os ataques virtuais mais comuns nas empresas e como evitá-los agora mesmo!