Se pensarmos em um ataque virtual comum, é normal que associemos o esforço todo ao hacker, com técnicas e estratégias para quebrar camadas de segurança e tentar roubar uma senha, por exemplo. Contudo, existe um tipo de ataque que se configura de um modo mais simples. Trata-se da engenharia social.
É uma estratégia que envolve as pessoas e as manipula por meios inteligentes, de modo que seja mais fácil para o criminoso.
Afinal, o crime acaba sendo uma parceria, mesmo que de forma indireta e sem o consentimento real da vítima.
Temos diversos tipos famosos de ataques de engenharia social. Vamos comentar cada um deles e dar uma definição precisa neste conteúdo.
As empresas precisam aprender mais sobre o assunto e saber como se proteger com as melhores soluções e práticas.
Querendo contratar DDoS e evitar ataques virtuais? Confira a solução de segurança ideal para o seu negócio e nunca mais se preocupe com problemas nessa área!
O que é engenharia social?
A engenharia social consiste em um golpe que envolve psicologicamente a vítima e a engana (ou força) a conceder dados sigilosos e senhas.
É o contrário de tentar obter na força, por meio de investidas robustas ou exploração de brechas em sistemas, sem o consentimento direto da vítima.
Assim, precisa menos de conhecimento técnico, e mais de habilidades sociais — daí seu nome.
Ou seja, o criminoso encontra uma forma inteligente de ludibriar as pessoas, se passando por alguém ou criando um cenário falso, para então obter informações importantes diretamente.
É uma forma de reduzir o esforço do hacker em ciberataques, embora exija um esforço direcionado e uma grande estratégia. Em alguns casos, demanda até mesmo um poder de envolvimento e convencimento psicológico muito grande.
Há situações em que o criminoso deve estudar bastante a vítima para tentar engajar um relacionamento mais próximo, de forma que seja possível enganá-la. Há até relatos de uso de técnicas de processamento neuro-linguístico, mais avançadas, portanto.
Tipos de ataques de engenharia social
Vamos então conhecer os principais tipos de golpe de engenharia social. Assim, você pode aprender melhor e reforçar a segurança de sua empresa.
Phishing
Um bom exemplo quando se fala de ataques de engenharia social é o phishing. Consiste basicamente em uma abordagem que usa o e-mail para ludibriar as pessoas.
A partir da plataforma, se enviam mensagens com links falsos, nomes falsos e mensagens falsas que levam a endereços usados pelos criminosos.
Pode ser, por exemplo, uma mensagem do suposto banco da pessoa, pedindo para que ela faça login para resolver uma pendência em uma página falsa. Ou seja, o hacker faz um apelo e usa o próprio medo da pessoa para estimular a ação.
A página falsa então vai levar os dados diretamente para o criminoso. Dessa forma, ele terá acesso a dados sigilosos para seus planos sem um esforço tão grande.
O phishing é um dos golpes mais comuns envolvendo esse tipo de manipulação. Contudo, não é o único.
As estratégias variam de algo mais bem feito para mensagens simplesmente toscas, em que facilmente se percebe que se trata de um phishing.
Temos uma variação importante quando se fala de phishing, que é o pharming.
Consiste em uma estratégia de isca similar ao phishing, só que sem usar o e-mail ou uma plataforma intermediária. A ideia é forçar o usuário a usar uma URL “correta”, sendo que ela redireciona para um site perigoso e falso.
Spear phishing
Dentro dos tipos de phishing, temos um modelo mais avançado, o “spear phishing”. Consiste em um ataque direcionado para uma pessoa de acordo com o cargo que ela exerce.
Nesse caso, o criminoso simplesmente estuda a pessoa e as melhores maneiras de chegar a ela.
Por exemplo, pode ser um executivo ou simplesmente um funcionário menor da empresa. O hacker se passa por um colega ou por outro executivo e tenta, portanto, arrancar informações sigilosas e sensíveis.
A manipulação se dá por meio da familiaridade. A pessoa dificilmente vai desconfiar porque acha a mensagem confiável, proveniente de uma fonte familiar.
Vishing
O vishing é uma forma de phishing que usa as mensagens por voz para tentar enganar e atrair as vítimas. Nesse sentido, uma ligação pedindo senhas ou dados sensíveis, enquanto o hacker se passa por alguém conhecido, é um bom exemplo.
Quid pro quo
Esse tipo de manipulação se baseia na ideia de troca para tentar conquistar a pessoa vitimada. Ou seja, a partir de uma oferta (que pode ser algo totalmente falso e fantasioso), o criminoso tenta conseguir uma informação importante.
A questão aqui é o senso humano de tentar compensar as coisas, oferecer retornos e recompensas. Se alguém é presenteado com algo, tenta ao máximo dar outra coisa em troca. Disso, se extrai a lógica do Quid Pro Quo.
Farming
Esse parece ainda mais coisa de filme. Nesse caso, o criminoso usa habilidades sociais e tenta criar um laço de relacionamento com a vítima. Logo, ele a conquista por essa conexão e consegue acesso a seus dados pessoais, bancários e muito mais.
Para isso, evidentemente, é preciso pesquisar sobre a vítima e fazer um trabalho de observação de quem ela é.
Spamming de contatos e hacking de e-mail
Essa abordagem pode envolver o roubo de contas de pessoas próximas para pedir informações sensíveis diretamente.
Assim, a pessoa pensa que se trata de alguém confiável, como um parente ou amigo próximo. Também pode envolver o hacking de e-mails para enviar mensagem se passando por outras pessoas.
Baiting (iscas)
O Baiting é uma forma de atrair a ação da vítima a partir de algo que chame a sua atenção. O exemplo mais mencionado é o de um pendrive que é deixado em algum lugar público.
Alguém curioso vai tentar descobrir quem é e quais são as informações armazenadas ali; então, será infectado com algum malware letal que rouba dados.
Também pode-se citar exemplos de anúncios maliciosos fazendo promessas super milagrosas, como dinheiro ou prêmios milionários. As pessoas são capturadas pela curiosidade, como quem cai em uma isca.
Pretextos
Os pretextos são uma técnica que envolve criar narrativas e histórias envolventes com o intuito de ludibriar alguém. O objetivo é pegar informações sigilosas da pessoa, a partir de uma ação de misericórdia dela, por exemplo.
Uma história envolvendo crianças, necessidades familiares e muito mais. Nesse caso, o criminoso se passa por algum necessitado que está sofrendo e que precisa de ajuda urgente.
Como proteger sua empresa da engenharia social?
Agora, vamos finalmente falar das melhores formas de combater um golpe de engenharia social.
Invista em filtros de spam
Nos e-mails, uma ótima ferramenta para prevenir os impactos e riscos de um ataque de engenharia social é um filtro de spam.
Esse tipo de sistema permite analisar os e-mails, em busca de padrões suspeitos e incomuns. A partir disso, é viável identificar o que seria um phishing.
Os padrões dos e-mails definem regras para poder classificar um e-mail de ataque como spam.
Ou seja, é definir um método inteligente de capturar essas mensagens fraudulentas.
Confira a fonte
Outra estratégia, que nada mais é do que uma boa prática: conferir a fonte. Se o funcionário recebeu um e-mail, é bom sempre checar a fonte; olhar se os links estão de fato redirecionando para aquele endereço; checar a fonte de cada solicitação; tentar fazer um double check antes de uma interação.
No caso de spear phishing e de outras formas muito personalizadas, os profissionais devem ter atenção para, se possível, checar com a pessoa se ela realmente enviou aquela requisição.
Mantenha a segurança dos dispositivos
A segurança dos endpoints é imprescindível. Nesse sentido, se quiser prevenir os ataques de engenharia social, não deixe de focar na proteção dos seus dispositivos. Reforce a camada de segurança deles e garanta que todos estejam devidamente atualizados, inclusive com filtros de acesso.
Isso inclui atualizar os sistemas, usar antivírus e firewall, sistemas específicos de combate a essas ameaças, bem como outras abordagens. Assim, por exemplo, é viável impedir que o phishing seja concretizado.
O controle com as senhas e com a autorização de acesso passa por isso também. A gestão do ciclo de vida e do desempenho dos dispositivos é outro ponto que precisa de muita atenção.
Peça identificação
Também vale mencionar que é preciso sempre pedir identificação, a cada mensagem e interação. Como vimos, esses ataques consistem em criminosos se passando por pessoas confiáveis.
Contudo, se a empresa desenvolve uma forma de garantir a autenticação pela identidade, é possível saber que é um criminoso do outro lado.
Treinar os colaboradores
Sobretudo, vale destacar que o treinamento dos colaboradores é um passo muito importante. A partir disso, a empresa garante que todos estejam preparados para as táticas usadas por criminosos e consigam identificar e distinguir uma ação criminosa de uma real.
Com o conhecimento que segue estudos como este conteúdo que você está lendo, torna-se viável identificar as iscas e saber como lidar com elas. Se a companhia é mais madura com relação a isso, é capaz de diminuir os riscos.
Como vimos, esse tipo de ataque virtual aproveita muito da ignorância e da suscetibilidade de suas vítimas. Se as pessoas se preparam melhor, o hacker terá menos força.
Uso de autenticação multifator
No caso de um roubo de dados que envolva dados de credencial e de acesso, a autenticação de dois fatores (ou mais) é como uma barreira a mais para impedir que os criminosos consigam acesso livre.
Dessa forma, permite filtrar as pessoas que realmente terão visão sobre dados confidenciais, segredos de negócio e outras informações sigilosas e sensíveis. Tudo isso a partir de mais camadas na hora de um login.
4 comportamentos para identificar sinais de engenharia social
Como identificar exemplos de engenharia social? Vamos conhecer as principais características desses golpes.
Manipulação emocional
Um dos aspectos determinantes é a manipulação emocional. Nesse caso, as mensagens ou ações envolvem claramente alguma forma exagerada de tentar buscar uma ação rápida.
O ataque que usa pretexto, por exemplo, tenta capturar uma reação emocional forte e, para isso, usa uma linguagem chamativa e emotiva.
Essa emoção explorada pode ser também o medo. Nesse caso, o phishing pode usar uma manipulação envolvendo medos comuns, como problemas judiciais envolvendo o nome da pessoa, multas para a empresa ou dívidas inesperadas.
Falsa urgência
Além da manipulação, os hackers costumam envolver bastante o fator tempo também. É preciso buscar uma ação rápida, na hora exata, que a pessoa faça sem nem pensar muito.
A falsa urgência tenta criar um clima de emergência, de algo que vai estourar a qualquer momento.
Então, sempre fique atento quando ver mensagens assim ou conversas assim.
Confiança
Geralmente, um ataque envolvendo essas táticas sociais tenta ao máximo arrogar confiança.
Ou seja, é uma abordagem que busca demonstrar que o hacker é alguém confiável. Uma das ações, por exemplo, é usar muito o nome de alguém conhecido, que seria um ponto em comum entre a vítima e o hacker.
Caso esse nome esteja sendo muito repetido, o hacker pode estar tentando forçar essa relação de confiança. Desconfie.
Exceções
Situações excepcionais ou cenários que fogem muito da realidade, apesar de tentar se passar por real, devem ser desconfiados. Essas exceções tentam sempre mascarar algo que não é real e que é perigoso.
Conclusão
Vimos vários exemplos de engenharia social e você entendeu como esse tipo de risco é real e muito impactante para as empresas.
Com a nossa análise, foi possível explicar cada tipo de ataque e suas características principais.
Desse modo, pode-se evitar e combater esses problemáticos crimes para manter a empresa segura e consistente.