7 tipos de ataques de engenharia social que você precisa se proteger

29 de Abril de 2022 por Stefanini

Em nossa visão, tanto o cinema como a televisão criaram concepções erradas sobre a cibersegurança na era moderna. É claro que existem ataques de força bruta, DDoS, hacking, invasões e ransomwares. No entanto, um dos problemas mais proeminentes são os ataques de engenharia social.

Por isso, desenvolvemos este artigo completo e exclusivo sobre o tema. O objetivo é que você saia desta leitura completamente informado, assumindo uma nova ótica para identificar e eliminar as vulnerabilidades na sua empresa. Então, não perca tempo e acompanhe!

O que são os ataques de engenharia social?

Antes de entender os ataques, é importante entender o conceito. Na cibersegurança, engenharia social é o nome utilizado para definir uma técnica de análise, estudo e intervenção. Diferente de outros tipos de ataques cibernéticos, essa abordagem ignora a programação, e foca em estudar os indivíduos e alvos da operação. 

Por isso, é uma técnica é muito mais investigativa do que técnica e operacional. Geralmente, os indivíduos por trás dessas abordagens procuram vulnerabilidades, aproveitando, oportunamente, o desconhecimento e a ingenuidade das pessoas em relação à tecnologia e à exposição dos seus dados e informações. 

Inclusive, é normal a engenharia social ser uma ferramenta utilizada no cibercrime, como uma etapa que antecede outro tipo de ataque mais assertivo, como a injeção de um ransomware nos sistemas e máquinas de uma empresa. 

Com a engenharia social, os invasores podem estudar os colaboradores por seus perfis nas redes sociais e, assim, derivar quais deles aparentam menor familiaridade com a tecnologia, assim como seus riscos e funções. 

Pois, afinal de contas, quem tem mais chances de abrir um e-mail suspeito: o head de TI ou as pessoas em posições pouco relacionadas com tecnologia? Quando bem estruturado, um simples e-mail com um PDF intitulado Demonstrativo Financeiro pode infectar todas as máquinas de um departamento de contabilidade. 

Por isso que a alfabetização tecnológica é tão importante para as empresas, pois sem investir em cibersegurança, uma empresa só pode estar tão segura quanto o mais ingênuo de seus funcionários. Mas a engenharia social também vai além das empresas, e é utilizada contra as pessoas físicas.

Geralmente, essas operações estudam os alvos, e aprendem tudo sobre eles que esteja exposto na internet. Com essas informações, os atacantes desempenham técnicas de chantagem e extorsão, e podem conquistar uma recompensa mesmo que estejam blefando.

Quais os 7 principais tipos de ataques de engenharia social?

Atualmente, existem sete métodos que são muito utilizados na engenharia social e, portanto, estão entre as principais ameaças à segurança da informação. Abaixo, explicamos cada uma das técnicas em detalhes!

1. Vishing

O vishing é uma variação do phishing, que é uma ameaça amplamente realizada nos e-mails. O vishing, em contrapartida, ocorre de forma verbal, por meio de ligações telefônicas. Para a Interpol, é um dos tipos de engenharia social que mais crescem, e que já angariou mais de 1 bilhão de dólares em fraudes, golpes e esquemas afins.

2. Spear Phishing

Por meio de e-mails e mensagens, essa tática leva a páginas falsas, que se parecem com as reais, para coletar informações ou injetar malwares nos dispositivos. No Brasil, houve uma grande onda da prática, com sites que simulavam a interface da Caixa Econômica, logrando beneficiários do Auxílio Emergencial. 

3. Pretexting

Como sugere o nome, essa tática se baseia na criação de falsos pretextos, aparentemente positivos, para fazer com que a vítima passe informações confidenciais. No Brasil, a tática já foi muito utilizada em golpes que sugeriam a premiações, indenizações, e heranças de parentes distantes. 

4. Sextorsion

A sextorsão nada mais é do que uma extorsão baseada no vazamento de imagens íntimas, que podem existir ou não. A prática cresce rapidamente em todos os países, pois toca em pontos frágeis, como as noções de autopreservação, privacidade e reputação social.

A técnica é utilizada, até mesmo, para vulnerabilizar pessoas em posições importantes dentro das empresas. Indiferentemente a terem ou não essas imagens, os invasores extorquem as vítimas, exigindo alguma condição de seu interesse para não compartilhar esses conteúdos.

5. Quid Pro Quo

Quid pro Quo é uma velha expressão que sugere troca. Na cibersegurança, é o nome de uma técnica que finge oferecer algo para a vítima, em troca de algo importante para quem aplica o golpe, como informações confidenciais, o que representa um risco altíssimo para as empresas.

Sabendo o serviço de suporte usado na sua empresa, o impostor envia um e-mail para os colaboradores, emulando a interface e a comunicação desse help desk. Se der certo, ele pode receber senhas, PINs e outras informações confidenciais que desbloqueiam o acesso ao seu sistema.

6. Tailgating

No trânsito, tailgating é a prática de "andar colado” ao veículo da frente. Na engenharia social, é algo semelhante, pois implica em aproveitar essa mesma proximidade para acessar ambientes restritos em uma empresa. Imagine um prédio que tenha controle de acesso por meio de RFID.

Fazendo-se passar por um colega, o invasor pode acessar o perímetro, aproveitando a gentileza do colaborador que deixa a porta aberta para ele passar. Por isso, é importante investir em boas práticas de segurança patrimonial e física. 

7. Dumpster Diving

Por último, o mergulho na lixeira. Apesar de inusitada, a prática é altamente eficiente e perigosa, tanto para as empresas como para as pessoas. A técnica consiste em revirar a papelada descartada pelo alvo em busca de informações confidenciais e sigilosas. 

E isso toca em um ponto vulnerável da proteção de dados da população brasileira. Entre notas fiscais de fast food, embalagens de compras online e faturas de serviços, você já percebeu quantos expõem suas informações, como nome completo, endereço, CPF e afins? 

Por fim, vale destacar como se proteger de ataques de engenharia social. Em nossa visão, a mentalidade preventiva é a melhor forma de abordar esse dilema. Primeiro, investindo em cibersegurança, o que inclui tanto a contratação de softwares como treinamentos para a equipe, pois como já destacamos em outro artigo, educar é o caminho para proteger os dados da sua empresa, e nós podemos ajudar.

Além de investir em softwares originais, modernizar seu parque tecnológico com equipamentos direto dos fabricantes, e capacitar a sua equipe com o que há de melhor no aprendizado tecnológico, também é importante adotar algumas dicas práticas, que são fundamentais para minimizar os ataques de engenharia social:

●        Para evitar dumpster diving, basta frisar as informações confidenciais com um canetão e despedaçar os papéis. Para quem precisa fazer isso frequentemente, vale investir em uma fragmentadora de papel, que é capaz de fazer isso em segundos. 

●        Para evitar tailgating, é importante instituir uma política de segurança, em que o acesso não pode ser concedido de um funcionário a outro, apenas pela identificação pessoal individual. 

●        Para evitar Quid pro Quo, Spear Phishing, Pretexting e Vishing, é importante usar a boa e velha desconfiança. Se não conhece quem aborda e vê isso como uma iniciativa não solicitada, desconfie. Além disso, também é importante investir na alfabetização tecnológica dos funcionários, evitando que a ingenuidade seja um pretexto para cair nos golpes.

●        Para evitar a sextorsion, é importante proteger o acesso aos seus dispositivos com senhas, PINs, impressões digitais e reconhecimento facial. Além disso, priorize o suporte e assistência técnica das próprias fabricantes do aparelho, evitando empresas terceiras com baixa reputação e nenhum licenciamento para operar no dispositivo. 

Além disso, também é interessante ter uma atenção mais apurada às câmeras que te cercam, em notebooks, tablets, celulares e afins. Na esmagadora maioria do tempo, você não usa esses recursos e, portanto, não há porque deixá-los destampados. 

Agora que você conhece as principais iniciativas de engenharia social, aproveite para investir na prevenção desses problemas. Para isso, acesse nossa página e entre em contato!

Compartilhe:

Vamos cocriar, solicite uma proposta dos nossos especialistas

Veja outros serviços capazes de complementar esta solução

testetetetete

testete

tatetadata

teste

tstete

aaaaaaaaaaaaaaaaa

Veja outros serviços capazes de complementar esta solução

Experience

Experience

testetetetete

Cyber Security

Cyber Security

testete

Machine Intelligence

Machine Intelligence

tatetadata

Enterprise Hosting

Enterprise Hosting

teste

Consulting

Consulting

tstete

IT Strategy

IT Strategy

aaaaaaaaaaaaaaaaa