Entenda o que é a engenharia social, quais os seus impactos na segurança da informação e como se proteger dos ataques

Escrito por Eber Cristian

Responsável por 70% dos golpes realizados no mundo digital, a Engenharia Social atualmente se tornou o carro chefe de fraudes no Brasil. Somente no ano de 2020, foi registrado um crescimento de aproximadamente 200% no número de ataques detectados relacionados a engenharia social, segundo dados da ESET.

De acordo pesquisas recentemente divulgadas pela Febraban, o Brasil é o segundo país da América Latina com maior incidência desse tipo de ataque, com 18% do total, ficando atrás apenas do Peru, que registrou aproximadamente 31%.

De onde veio o termo “engenharia social”?

Embora a expressão “engenharia social”, tenha se popularizado nos anos 90 com a ajuda de Kevin Mitnick, hacker famoso daquela época, a prática já havia sido utilizada na mitologia grega, onde o exército grego estava prestes a perder em um conflito contra Troia e Ulysses, líder dos soldados gregos, decidiu apostar em uma estratégia de “falsa desistência da guerra”.

Na ocasião, ele presenteou a realeza de Troia com um grande cavalo de madeira afim de amenizar os efeitos da guerra. Na verdade, o presente escondia soldados gregos. E foi assim que o exército grego revidou o ataque e ganhou aquela guerra sem computadores ou internet, atingindo fatalmente milhares de vidas apenas com o despertar de seus desejos.

Foi a partir dessa história que surgiu o nome de um dos malwares mais conhecidos do mundo, o Cavalo de Troia, que, assim como na mitologia, envolve um arquivo disfarçado, que ao ser executado, ataca o dispositivo da vítima.

Engenharia Social na segurança da informação

A engenharia social, no contexto de segurança da informação, é um meio de ataque que depende fortemente da interação humana e muitas vezes envolve manipular as pessoas para quebrar procedimentos normais de segurança e melhores práticas, visando obter o acesso não autorizado a sistemas, redes ou locais físicos para ganhos financeiros.

Independentemente dos sistemas computacionais, softwares ou plataformas utilizadas, o elemento mais vulnerável de qualquer sistema da informação é o ser humano.

E a melhor forma de se proteger é entendendo como os ataques ocorrem e ficando atento ao repassar uma informação.

Atualmente, podemos citar três ataques mais comuns de Engenharia Social.

Phishing

Pode ocorrer de várias formas e o principal objetivo é obter informações ou informações privadas. A ideia central é induzir o usuário inserir informações pessoais em um site de aparência legítima, que encaminha as informações ao invasor. Geralmente, a vítima recebe um e-mail com aparência de uma empresa real, como um banco ou loja conhecida, na maioria das vezes, solicitando que se cadastrem ou acessem um cadastro existente. Quando isso ocorre, os seus dados de login são roubados.

Baiting

Como o nome indica, “isca”. O golpe consiste em uma falsa promessa para despertar a ganância ou curiosidade da vítima. Eles atraem os usuários para uma armadilha que rouba suas informações pessoais ou invadem seus sistemas com malware.

Pretexting

Pretexting e phishing ocorre via telefone ou e-mail. Neste caso, o invasor cria meios falsos obrigando a vítima a fornecer acesso a dados confidenciais ou sistemas protegidos. Um exemplo clássico de pretexting é quando o invasor finge a necessidade de obter uma informação para confirmar a identidade de uma pessoa de dentro de uma organização ou se passa por um membro confiável de um departamento de TI, por exemplo.

Cuidados para evitar ser uma vítima de ataques

Conscientizar os usuários individualmente ou no nível corporativo, sobre o uso de soluções de segurança, segurança da informação e treinamento dos usuários ajuda a não cair em armadilhas como estas.

Esteja ATENTO!

Na maioria das vezes ter atenção aos mínimos detalhes é fundamental para não se tornar a próxima vítima.  

Tenha sempre em mente o seguinte:

  • Se uma mensagem transmite urgência ou usa estratégias de vendas com o objetivo de pressionar uma decisão, desacelere. Pense, não se deixe influenciar e depois aja;
  • Desconfie de mensagens não solicitadas. Pesquise, visite o site de quem está solicitando; entre em contato por telefone para confirmar aquela solicitação;
  • O sequestro de e-mails é algo muito comum nos dias de hoje. Então, se você receber uma mensagem de um remetente conhecido com um link ou anexo e não estava esperando por esta mensagem, desconfie. Muito ataques ocorrem explorando os contatos pessoais;
  • Baixar um anexo de um remetente que você não conhece é um ERRO!
  • Falsas ofertas como: e-mails de loteria ou sorteios, transferências de fundo e outros é garantia de golpe.

Como se proteger?

📌Realize treinamentos de conscientização de segurança para prevenir ataques de engenharia social;

📌Realize testes de penetração com a utilização de técnicas de engenharia social;

📌Implemente soluções de e-mails seguros, gateways e filtros spam capazes de detectar links maliciosos;

📌Mantenha o software antimalware e antivírus, patches de softwares e firmware sempre atualizados;

📌Mitigue ataques com a autenticação de dois fatores;

📌Certifique-se que os usuários não reutilizam as mesmas senhas para contas pessoais e de trabalho;

📌Acompanhe os membros da equipe que lidam com informações confidenciais e habilite medidas de segurança avançadas para eles.

Quer receber conteúdos sobre esse tema diretamente na sua caixa de entrada? Então, você só precisa informar seus dados abaixo.






    *Ao informar meus dados, aceito a Política de Privacidade

    Artigo escrito por Eber Cristian
    Eber é formado em Gestão da Tecnologia da Informação, Desenvolvimento de Soluções e Consultoria em Tecnologia. Com experiência de mais de 10 anos na área de tecnologia da informação, ele possui certificação ISO/IEC 27001 pela Exin, é membro da ANPPD e trabalha atualmente no setor de Compliance em LGPD e Gerenciamento de Ativos de Software na HSBS.