Em nossa visão, tanto o cinema como a televisão criaram concepções erradas sobre a cibersegurança na era moderna. É claro que existem ataques de força bruta, DDoS, hacking, invasões e ransomwares. No entanto, um dos problemas mais proeminentes são os ataques de engenharia social.
Por isso, desenvolvemos este artigo completo e exclusivo sobre o tema. O objetivo é que você saia desta leitura completamente informado, assumindo uma nova ótica para identificar e eliminar as vulnerabilidades na sua empresa. Então, não perca tempo e acompanhe!
O que são os ataques de engenharia social?
Antes de entender os ataques, é importante entender o conceito. Na cibersegurança, engenharia social é o nome utilizado para definir uma técnica de análise, estudo e intervenção. Diferente de outros tipos de ataques cibernéticos, essa abordagem ignora a programação, e foca em estudar os indivíduos e alvos da operação.
Por isso, é uma técnica é muito mais investigativa do que técnica e operacional. Geralmente, os indivíduos por trás dessas abordagens procuram vulnerabilidades, aproveitando, oportunamente, o desconhecimento e a ingenuidade das pessoas em relação à tecnologia e à exposição dos seus dados e informações.
Inclusive, é normal a engenharia social ser uma ferramenta utilizada no cibercrime, como uma etapa que antecede outro tipo de ataque mais assertivo, como a injeção de um ransomware nos sistemas e máquinas de uma empresa.
Com a engenharia social, os invasores podem estudar os colaboradores por seus perfis nas redes sociais e, assim, derivar quais deles aparentam menor familiaridade com a tecnologia, assim como seus riscos e funções.
Pois, afinal de contas, quem tem mais chances de abrir um e-mail suspeito: o head de TI ou as pessoas em posições pouco relacionadas com tecnologia? Quando bem estruturado, um simples e-mail com um PDF intitulado Demonstrativo Financeiro pode infectar todas as máquinas de um departamento de contabilidade.
Por isso que a alfabetização tecnológica é tão importante para as empresas, pois sem investir em cibersegurança, uma empresa só pode estar tão segura quanto o mais ingênuo de seus funcionários. Mas a engenharia social também vai além das empresas, e é utilizada contra as pessoas físicas.
Geralmente, essas operações estudam os alvos, e aprendem tudo sobre eles que esteja exposto na internet. Com essas informações, os atacantes desempenham técnicas de chantagem e extorsão, e podem conquistar uma recompensa mesmo que estejam blefando.
Quais os 7 principais tipos de ataques de engenharia social?
Atualmente, existem sete métodos que são muito utilizados na engenharia social e, portanto, estão entre as principais ameaças à segurança da informação. Abaixo, explicamos cada uma das técnicas em detalhes!
1. Vishing
O vishing é uma variação do phishing, que é uma ameaça amplamente realizada nos e-mails. O vishing, em contrapartida, ocorre de forma verbal, por meio de ligações telefônicas. Para a Interpol, é um dos tipos de engenharia social que mais crescem, e que já angariou mais de 1 bilhão de dólares em fraudes, golpes e esquemas afins.
2. Spear Phishing
Por meio de e-mails e mensagens, essa tática leva a páginas falsas, que se parecem com as reais, para coletar informações ou injetar malwares nos dispositivos. No Brasil, houve uma grande onda da prática, com sites que simulavam a interface da Caixa Econômica, logrando beneficiários do Auxílio Emergencial.
3. Pretexting
Como sugere o nome, essa tática se baseia na criação de falsos pretextos, aparentemente positivos, para fazer com que a vítima passe informações confidenciais. No Brasil, a tática já foi muito utilizada em golpes que sugeriam a premiações, indenizações, e heranças de parentes distantes.
4. Sextorsion
A sextorsão nada mais é do que uma extorsão baseada no vazamento de imagens íntimas, que podem existir ou não. A prática cresce rapidamente em todos os países, pois toca em pontos frágeis, como as noções de autopreservação, privacidade e reputação social.
A técnica é utilizada, até mesmo, para vulnerabilizar pessoas em posições importantes dentro das empresas. Indiferentemente a terem ou não essas imagens, os invasores extorquem as vítimas, exigindo alguma condição de seu interesse para não compartilhar esses conteúdos.
5. Quid Pro Quo
Quid pro Quo é uma velha expressão que sugere troca. Na cibersegurança, é o nome de uma técnica que finge oferecer algo para a vítima, em troca de algo importante para quem aplica o golpe, como informações confidenciais, o que representa um risco altíssimo para as empresas.
Sabendo o serviço de suporte usado na sua empresa, o impostor envia um e-mail para os colaboradores, emulando a interface e a comunicação desse help desk. Se der certo, ele pode receber senhas, PINs e outras informações confidenciais que desbloqueiam o acesso ao seu sistema.
6. Tailgating
No trânsito, tailgating é a prática de “andar colado” ao veículo da frente. Na engenharia social, é algo semelhante, pois implica em aproveitar essa mesma proximidade para acessar ambientes restritos em uma empresa. Imagine um prédio que tenha controle de acesso por meio de RFID.
Fazendo-se passar por um colega, o invasor pode acessar o perímetro, aproveitando a gentileza do colaborador que deixa a porta aberta para ele passar. Por isso, é importante investir em boas práticas de segurança patrimonial e física.
7. Dumpster Diving
Por último, o mergulho na lixeira. Apesar de inusitada, a prática é altamente eficiente e perigosa, tanto para as empresas como para as pessoas. A técnica consiste em revirar a papelada descartada pelo alvo em busca de informações confidenciais e sigilosas.
E isso toca em um ponto vulnerável da proteção de dados da população brasileira. Entre notas fiscais de fast food, embalagens de compras online e faturas de serviços, você já percebeu quantos expõem suas informações, como nome completo, endereço, CPF e afins?
Por fim, vale destacar como se proteger de ataques de engenharia social. Em nossa visão, a mentalidade preventiva é a melhor forma de abordar esse dilema. Primeiro, investindo em cibersegurança, o que inclui tanto a contratação de softwares como treinamentos para a equipe, pois como já destacamos em outro artigo, educar é o caminho para proteger os dados da sua empresa, e nós podemos ajudar.
Além de investir em softwares originais, modernizar seu parque tecnológico com equipamentos direto dos fabricantes, e capacitar a sua equipe com o que há de melhor no aprendizado tecnológico, também é importante adotar algumas dicas práticas, que são fundamentais para minimizar os ataques de engenharia social:
● Para evitar dumpster diving, basta frisar as informações confidenciais com um canetão e despedaçar os papéis. Para quem precisa fazer isso frequentemente, vale investir em uma fragmentadora de papel, que é capaz de fazer isso em segundos.
● Para evitar tailgating, é importante instituir uma política de segurança, em que o acesso não pode ser concedido de um funcionário a outro, apenas pela identificação pessoal individual.
● Para evitar Quid pro Quo, Spear Phishing, Pretexting e Vishing, é importante usar a boa e velha desconfiança. Se não conhece quem aborda e vê isso como uma iniciativa não solicitada, desconfie. Além disso, também é importante investir na alfabetização tecnológica dos funcionários, evitando que a ingenuidade seja um pretexto para cair nos golpes.
● Para evitar a sextorsion, é importante proteger o acesso aos seus dispositivos com senhas, PINs, impressões digitais e reconhecimento facial. Além disso, priorize o suporte e assistência técnica das próprias fabricantes do aparelho, evitando empresas terceiras com baixa reputação e nenhum licenciamento para operar no dispositivo.
Além disso, também é interessante ter uma atenção mais apurada às câmeras que te cercam, em notebooks, tablets, celulares e afins. Na esmagadora maioria do tempo, você não usa esses recursos e, portanto, não há porque deixá-los destampados.
Agora que você conhece as principais iniciativas de engenharia social, aproveite para investir na prevenção desses problemas. Para isso, acesse nossa página e entre em contato!