Dia Mundial das Redes Sociais: o que você deve saber sobre engenharia social

Nenhum programa de firewall ou antivírus vai proteger você desses ataques. Estamos falando sobre engenharia social. É um dos golpes mais antigos, mas ainda é uma grande ameaça.

Funcionários baixam arquivos maliciosos, clicam em links de phishing, conversam com hackers e revelam as informações de contato de seus colegas – engenharia social é uma das ferramentas clássicas mais poderosa de um criminoso cibernético.

No dia 30 de junho de 2010, o site Mashable lançou o Dia da Rede Social, para reconhecer e celebrar o impacto das redes sociais na comunicação global. E apesar de termos muito que agradecer, as redes sociais também trouxeram os golpes para a internet. Então, vamos comemorar as coisas positivas, mas também nos preocupar com os riscos e problemas da engenharia social.

Aproveitando-se de suas emoções

Engenharia social é a arte de convencer um usuário de computador a compartilhar voluntariamente suas senhas, números de identidade, informações financeiras ou outras informações confidenciais. Como é possível fazer isso?

Psicólogos descobriram que pessoas têm uma tendência de ignorar a lógica e os fatos ao tomar decisões emocionais. E é exatamente nisso que os criminosos se especializaram: a ativar uma resposta emocional para explorá-la. Ao invés de encontrar uma vulnerabilidade em um programa, por exemplo, é muito mais fácil ligar para um funcionário fingindo ser um colega de suporte de TI e tentar fazer com que esse funcionário revele sua senha.

Essas técnicas também funcionam bem fora do mundo digital, com inúmeras pessoas caindo em golpes na porta de suas casas com pessoas vestindo uniformes policiais falsos ou vestidos como comerciantes.

As pessoas são pontos fracos: Os funcionários são um calcanhar de Aquiles?

Técnicas comuns utilizadas por engenheiros sociais

Os ataques de engenharia social têm como objetivo descobrir o máximo de informação possível sobre um alvo individual ou empresarial (se estão em busca de informação confidencial da empresa). Essencialmente, eles te tratam como um projeto de investigação e pesquisam sua vida através de diversas táticas:
Eles pesquisam sobre você no Google (ou qualquer outro mecanismo de busca): Quanto mais eles sabem a seu respeito, mais fácil ganhar sua confiança.
Seguem você nas redes sociais: Sabendo quais grupos você faz parte no Facebook, o que assiste no YouTube, quais fotos você curte no Instagram ou o que você destaca no Pinterest, os golpistas criam cenários mais realistas para lhe enganar.
Veem com quem você está conectado (através do LinkedIn e do site da sua empresa) e aprendem sobre a hierarquia da sua organização: Dessa maneira, eles podem se passar por alguém da empresa em questão.

Tipos comuns de ataques de engenharia social

Phishing

Phishing é responsável por 90% de todas as violações de dados, com 5 milhões de sites de phishing criados todos os meses. É uma forma de ataque de engenharia social que geralmente é realizada na forma de e-mail, chat, anúncio na web ou site – onde o criminoso finge ser um sistema ou organização de verdade. No site, vão pedir que você redefina sua senha ou insira sua identidade, cartão de crédito e/ou outras informações pessoais. Aprenda mais sobre ataques de phishing aqui.

Spear Phishing

Spear phishing é uma variante mais precisa de phishing, com alvos em posições de poder no topo de empresas, para obter dados e acesso à informações e ferramentas internas. O criminoso inclusive faz contato direto com a vítima, como através de e-mail, posando como administrador de sistema ou utilizando um perfil falso do Facebook como seu fosse um de seus colegas. Às vezes, os farsantes têm a cara de pau de ligar para a vítima também. Aprenda mais sobre spear phishing aqui.

Quid Pro Quo

Estas três palavras em latim significam “algo em troca de algo” e nesse caso é um benefício para a vítima em troca de informação. Um dos cenários mais comuns de ataques de “quid pro quo” envolvem golpistas fingindo ser pessoal de TI. Eles vão ligar para todo mundo que conseguirem dentro de uma empresa e prometer um conserto rápido para algum problema: ” você só precisa desativar seu antivírus e instalar o programa que enviei”. A única coisa que vão conseguir é ter malware instalado em suas máquinas.

Engenharia social em números

Uma pesquisa de 2018 conduzida pela empresa de telefonia americana Verizon descobriu que dos 41.686 incidentes de segurança registrados em 2018, 33% incluíam ataques sociais.

Outro relatório, da Positive Technologies, revelou a eficácia geral de ataques de engenharia social. Como parte da pesquisa, enviaram 3.300 e-mails para funcionários de diversas empresas – aqui estão suas principais descobertas:

  • 17% de todos os ataques de engenharia social tiveram sucesso e poderiam levar, em um ataque real, ao comprometimento de computadores de funcionários e, consequentemente, de toda a infraestrutura empresarial.
  • 27% dos funcionários clicaram em um link de phishing enviado por e-mail, o que fez com que esses ataques sejam a técnica de engenharia social de maior sucesso. Parece que muitos usuários não são capazes de avaliar se um site é falso ou não.

Prevenindo ataques de engenharia social

Diferentemente de vírus e outros tipos de ataques comuns, enquanto softwares de segurança cibernética como o Avira Free Security  não conseguem ajudar em todos os casos, na maioria dos casos esses programas ainda podem detectar anexos infectados e até mesmo sites falsos.

Spear phishing – ninguém está imune, nem mesmo as empresas de antivírus

A melhor defesa contra ataques de engenharia social não é técnica, é você mesmo. Forneça apenas as informações necessárias, tenha uma dose saudável de desconfiança e evite a curiosidade.

  • Não abra e-mails e anexos de fontes desconhecidas.
  • Não acredite em ofertas tentadoras. Se você acha que o que está sendo oferecido é bom demais para ser verdade, provavelmente é.
  • Use autenticação multifator. Não custa nada adicionar uma camada adicional de segurança em suas contas online.
  • Use software antivírus atualizado. Mantenha-se atualizado sobre os novos tipos de malware. É melhor prevenir do que remediar.
  • Não responda a qualquer pedido de informações pessoais ou senhas.
  • Rejeite qualquer conselho ou ajuda não solicitada. Engenheiros sociais podem e irão pedir sua ajuda com informação ou oferecer ajuda, se passando por suporte técnico, por exemplo.

Você acha que tudo isso é simples bom senso, não é mesmo? Que você nunca seria enganado por algo tão simples. Infelizmente, é por isso que os engenheiros sociais são chamados de vigaristas – eles conseguem fazer com que as pessoas acreditem em quase qualquer coisa. Se deseja ver alguns “hackers de pessoas” reais em ação, assista como o engenheiro social David Kennedy falsifica seu número de telefone para fazer parecer que ele está ligando de dentro da empresa e consegue convencer um funcionário a clicar em um link, ganhando acesso ao seu computador.

Este artigo também está disponível em: InglêsAlemãoFrancêsEspanholItaliano

Content Manager
Former journalist. Storyteller at heart.