O que é engenharia social e como se proteger dos ataques

A engenharia social é uma prática maliciosa que engloba diversas técnicas usadas por criminosos para obter informações confidenciais ou persuadir um usuário a executar uma ação específica. 

Anúncios

A partir das informações obtidas por meio dessas técnicas, os criminosos podem cometer diversos tipos de fraudes, como acessar contas bancárias para realizar transferências ou solicitar empréstimos em nome de terceiros.

Para se proteger contra essas práticas maliciosas, existem algumas dicas importantes a serem lembradas. 

Com essas informações em mente, você pode navegar na internet com mais segurança e evitar se tornar vítima de fraudes. Saiba mais a seguir:

Técnicas da engenharia social

Em primeiro lugar, podemos falar sobre a técnica de pretexting (pretexto). 

Anúncios

Explora a confiança das vítimas para obter informações pessoais ou acesso a sistemas de computadores. 

Portanto, é uma justificativa falsa que guia a vítima a uma ação que beneficia o criminoso. 

Por exemplo, o golpista pode se passar por um funcionário de suporte técnico e solicitar a senha para fins de manutenção. 

Ou pode fingir ser um colega de trabalho em uma empresa e convencer a vítima a fornecer informações confidenciais sobre a empresa. 

Em suma, o pretexting é uma forma de manipulação psicológica que visa explorar a boa vontade e a vulnerabilidade das pessoas para obter vantagens indevidas.

Por outro lado, há a técnica de engenharia social Quid Pro Quo, “algo por algo”.

Neste caso, a vítima oferece determinada informação em troca de uma recompensa.

Vamos supor que o golpista peça a senha da vítima afirmando ser um profissional que fará um experimento.

Como recompensa, a vítima receberá uma quantia em dinheiro.

Embora seja uma técnica de fácil identificação porque o valor da informação geralmente é maior do que o valor da recompensa, mesmo assim você deve ficar atento e tomar cuidado ao compartilhar informações valiosas com estranhos.

Phishing e vishing

Em terceiro lugar, é importante falar sobre uma das técnicas mais utilizadas na engenharia social pelos hackers para obter informações confidenciais: o Spear Phishing.

Consiste no envio de mensagens e e-mails fraudulentos, que buscam enganar a vítima para que ela acesse um link que a conduza a uma página falsa, que pode coletar informações ou injetar malwares em seu dispositivo.

É importante destacar que as páginas falsas normalmente são cópias idênticas de sites legítimos, o que as torna muito convincentes e difíceis de serem identificadas pelos usuários. 

Infelizmente, essa técnica tem sido muito utilizada por golpistas em todo o mundo, inclusive aqui no Brasil.

Um exemplo disso é o caso dos golpistas que criaram diversas páginas falsas parecidas com o site da Caixa Econômica Federal, com o objetivo de enganar beneficiários do Auxílio Emergencial durante a pandemia de COVID-19. 

Portanto, também devemos falar sobre a técnica de vishing.

Trata-se de uma variação do phishing, mas que é realizada de forma verbal, por meio de ligações telefônicas. 

Essa técnica é considerada uma das mais perigosas formas de engenharia social, segundo a Interpol. 

Isso porque, mesmo com todas as informações disponíveis sobre os riscos de se fornecer dados pessoais por telefone, ainda há muitas pessoas que acabam caindo nesse tipo de golpe. 

Não é à toa que o vishing é um dos tipos de fraudes que mais cresce no mundo, tendo já rendido aos criminosos mais de 1 bilhão de dólares em prejuízos financeiros. 

Sextorsion e baiting na engenharia social

Sextorsão (Sextorsion), também conhecida como extorsão sexual, é uma técnica usada por criminosos que consiste em chantagear as vítimas com o vazamento de imagens íntimas. 

Essa prática maliciosa fere pontos frágeis, como a reputação social, privacidade e autopreservação, e é comumente usada para vulnerabilizar profissionais em posições de destaque em empresas.

Os golpistas aplicam a técnica de sextorsão ao extorquir as vítimas exigindo algum tipo de condição para manter o conteúdo em sigilo. 

Essas condições muitas vezes incluem pagamento de uma quantia em dinheiro ou até mesmo a realização de tarefas que podem ser prejudiciais para a vida pessoal ou profissional da vítima.

Dessa forma, podemos falar também sobre a técnica de engenharia social conhecida como isca (Baiting). 

Nesse método, o golpista usa a curiosidade da vítima para obter acesso aos seus dados pessoais.

Para isso, ele deixa um pendrive infectado em um local público frequentado pela vítima, como um shopping center. 

Acreditando ter encontrado um dispositivo perdido, a vítima conecta o pendrive em seu computador.

Ao fazer isso, o malware auto executável é injetado na máquina, permitindo que o criminoso tenha acesso a todos os seus arquivos pessoais e informações.

Dessa forma, é importante destacar que existem outras variedades de malwares que podem ser instalados por meio dessa técnica de engenharia social, como aqueles que registram todas as teclas digitadas pelo usuário e as enviam em formato de documento de texto para o golpista.

Ou seja, é recomendável evitar conectar dispositivos desconhecidos ou de origem duvidosa em seus computadores. 

Demais técnicas

Tailgating é o ato físico da engenharia social, em que o criminoso tenta entrar em uma área restrita através da vítima.

Lamentavelmente, a gentileza por vezes pode ser uma forma de descuido.  

Por exemplo, se a vítima trabalha em uma empresa controlada e maneira eletrônica e usa suas credenciais para entrar, pode ouvir alguém pedindo que segure a porta porque está atrasado para uma reunião.

Este alguém é o golpista que facilmente consegue ter acesso a uma área restrita.

Sendo assim, os impostores podem assumir muitas formas, como entregadores que seguram caixas pesadas ou reparadores, qualquer coisa que te faça sentir culpado, caso não faça a gentileza de segurar a porta.

Enfim, vamos falar um pouco mais sobre o Dumpster Diving ou trashing da engenharia social. 

Esse termo se refere a uma prática que consiste em vasculhar o lixo de pessoas físicas ou jurídicas com o objetivo de obter informações e ter facilidade para invadir sistemas.

Os dados pessoais, como nomes de contas e senhas, são algumas das informações obtidas pelos golpistas que literalmente reviram a papelada descartada em busca do ouro.

É importante ressaltar que muitas vezes as pessoas não se dão conta de como as informações pessoais são facilmente expostas em simples documentos como faturas e notas fiscais. 

Esses papéis podem conter informações sensíveis como CPF, endereço e nome completo. 

Por isso, é fundamental ter cuidado com a forma como descartamos esses documentos, evitando jogá-los no lixo comum sem devida proteção.

Dicas para se proteger da engenharia social

Os golpistas são especialistas em criar um senso de urgência para que você não tenha tempo suficiente para analisar a situação e perceber que a informação que você possui pode ser extremamente valiosa, no caso do Quid Pro Quo.

Eles se aproveitam da pressa e do medo para enganá-lo e persuadi-lo a agir rapidamente, sem pensar nas consequências. 

Já no caso da técnica sextorsão da engenharia social, por exemplo, muitas vezes o golpista nem tem acesso às imagens íntimas da vítima, porém afirma ter.

Ou seja, a pessoa fica desesperada, sem motivo algum.

Por isso, é importante manter a calma e verificar cuidadosamente todas as informações antes de tomar qualquer decisão que possa afetar sua segurança.

Ao invés de clicar em um link ou oferecer dados pelo telefone, acesse o URL do site oficial e ligue para o número oficial da empresa.

Ou seja, não use somente um método de comunicação, mas sim vários a fim de verificar a credibilidade da fonte.

Ao se sentir pressionado, você deve desacelerar e usar outros métodos de comunicação é uma boa estratégia.

Aqui, vale acrescentar a dica para se proteger da engenharia social de analisar a fonte.

Um SMS dizendo que você herdou R $1 milhão, e-mail do seu sócio pedindo informações dos funcionários ou um pendrive em sua mesa, são coisas suspeitas.

Portanto, jamais confie cegamente.

No caso de um e-mail, você pode analisar o cabeçalho e veja para onde vão os links.

Normalmente os hiperlinks falsificados são fáceis de detectar, basta que você passe o cursor sobre eles, sem clicar.

A fraude também pode ser descoberta pela ortografia.

Os bancos e grandes empresas contam com uma equipe de profissionais em comunicação que jamais deixariam passar erros grotescos de ortografia, por isso, fique atento.

Dispositivos protegidos contra a engenharia social

Em algumas contas, é possível e altamente recomendado optar pela autenticação de dois fatores para aumentar a segurança. 

Essa medida adicional de segurança exige que além da senha, outro fator também seja fornecido para permitir o acesso à conta.

Os fatores de autenticação adicionais incluem: confirmação por SMS, que envolve o envio de um código de verificação para o celular cadastrado para a conta, impressão digital, que usa a biometria do usuário ou ainda o uso de um dispositivo de segurança, como um token, que gera códigos únicos para cada acesso.

Por isso, recomendamos que você sempre opte por essa opção quando disponível a fim de se proteger da engenharia social.

Por outro lado, é fundamental evitar o uso da mesma senha para contas diferentes. Isso porque, caso um golpista obtenha a senha de uma determinada conta, ele terá acesso a todas as outras contas que usam a mesma senha, o que pode resultar em graves prejuízos financeiros e de privacidade.

Além disso, é importante lembrar que é necessário criar senhas seguras, com combinações de letras, números e caracteres especiais, para tornar o acesso às suas contas mais difícil para hackers. 

E se você tem dificuldades para lembrar de todas as suas senhas, pode utilizar gerenciadores de senha, que são aplicativos que armazenam suas senhas de forma segura e criptografada.

Por fim, saiba que você deve manter o antivírus atualizado para garantir a proteção contra a engenharia social e evitar que malwares danifiquem seus arquivos ou roubem suas informações pessoais. 

Demais dicas

Outra dica interessante é utilizar um filtro de spam para gerenciar sua caixa de entrada. 

O filtro é capaz de ler e verificar todos os e-mails que foram classificados como spam. 

Com a análise dessas mensagens, identifica um padrão comum e, a partir daí, quando uma nova mensagem é recebida, uma comparação é realizada com o padrão para definir se é um spam ou não. 

Dessa forma, a maioria dos e-mails suspeitos são retidos, garantindo que sua caixa de entrada seja preenchida apenas com mensagens importantes e relevantes.

Enfim, é essencial estar atento ao compartilhamento excessivo dos seus dados pessoais na internet para se proteger da engenharia social.

Isso porque muitas pessoas acabam compartilhando informações valiosas em suas redes sociais, o que pode abrir um mundo de possibilidades aos criminosos.

Além de manter as configurações das suas redes sociais apenas para “amigos”, é essencial que você pense duas vezes antes de compartilhar qualquer coisa online. 

No entanto, lembre-se de que o cuidado não se limita apenas às suas redes sociais.

Por exemplo, caso tenha um currículo online, é necessário que você censure informações residenciais, número de telefone e data de nascimento.

Todas estas informações são valiosas para as pessoas mal intencionadas que podem usá-las contra você através da engenharia social.