Diferente do que muitos pensam, a base dos crimes cibernéticos mais devastadores não são códigos e algoritmos complexos, mas a maneira como nós, humanos, pensamos e agimos. Por meio de engenharia social, os criminosos descobrem quais dos seus pontos fracos eles podem usar para desencadear comportamentos de risco — e os resultados vão desde malware até violações de segurança em larga escala.
Por se basear na psicologia e nas motivações humanas, a engenharia social é um tipo de crime cibernético bastante traiçoeiro. A boa notícia é que, quanto mais você se informar sobre ela, melhores serão as suas chances de se proteger. Neste artigo, nós abordaremos:
- O que é engenharia social e como ela funciona
- Tipos de ataques de engenharia social
- Como identificar ameaças e se proteger contra ataques
Você já ouviu falar em engenharia social?
Definição de engenharia social
A engenharia social é uma técnica de manipulação que explora erros humanos para acessar informações e recursos privados. Os golpes buscam enganar pessoas e fazer com que elas revelem dados, exponham sistemas ou espalhem malware. Esses crimes também são chamados de "hacking humano" porque se baseiam na nossa maneira de pensar e agir.
Um criminoso que usa engenharia social geralmente tem dois objetivos: causar uma falha e roubar coisas valiosas, como informações, dinheiro ou acesso a sistemas. O que define esse tipo de ataque é que ele induz você ao erro para ajudar o criminoso a cometer o crime.
Segundo o Firewall Times, mais de 98% dos ataques cibernéticos envolvem algum tipo de engenharia social. Além disso, uma empresa comum é alvo de, pelo menos, 700 ataques de engenharia social por ano.
Técnicas comuns de engenharia social
Os criminosos tentam explorar a maneira como nós, seres humanos, pensamos e agimos, e nossa falta de conhecimento sobre um determinado assunto. Por exemplo, uma pessoa pode não se dar conta de que fornecer seu número de telefone a deixa vulnerável. A eficácia de um ataque de engenharia social está no poder de persuasão. Quanto mais convincente ele for, maior a chance de você fazer algo que normalmente não faria.
A manipulação emocional é aspecto muito comum dos ataques de engenharia social. O criminoso pode despertar emoções que levam a um comportamento de risco. Confira abaixo algumas das emoções que eles costumam explorar:
- Medo
- Empolgação
- Curiosidade
- Raiva
- Culpa
Outra tática envolve criar um senso de urgência. Por exemplo, você pode receber um e-mail ou mensagem pedindo para acessar imediatamente um site, ou uma oferta de produto ou serviço que só vale até meia-noite. Quando o criminoso cria essa falsa urgência, você pode acabar agindo por impulso, preenchendo um formulário que normalmente ignoraria.
A confiança é a base da engenharia social. O criminoso pesquisa bastante sobre você para saber exatamente como criar um vínculo e ganhar sua confiança. Quer um exemplo? Para aplicar um ataque de fraude de CEO, alguém pode fingir ser seu CEO de forma muito convincente. Essa pessoa estudou seu CEO e a empresa, e pode levar você a fornecer informações confidenciais de RH.
Como funciona a engenharia social
Para reduzir o risco, as empresas precisam entender o que é engenharia social e que a estratégia vai além de lançar um vírus perigoso que desativa uma rede. Em ataques desse tipo, o criminoso tenta atrair você para as armadilhas dele ao invés de tomar sua tecnologia e informações privadas à força.
Um ataque de engenharia social geralmente começa com o criminoso coletando informações sobre você e os grupos aos quais você pertence. Depois de se preparar, ele se infiltra nas suas defesas criando interações que parecem confiáveis. Quando ganha sua confiança e você baixa a guarda, ele realiza o ataque e sai de cena assim que você faz o que ele quer.
Tipos de ataques de engenharia social
Ataques de phishing
Phishing é quando um criminoso se passa por uma pessoa ou organização confiável para obter acesso e expor suas informações privadas. Existem dois tipos de golpes de phishing: o "spam phishing" e o "spear phishing". O "spam phishing" é um ataque em massa e não personalizado. Já o "spear phishing" usa informações personalizadas para atacar pessoas específicas, principalmente alvos de alto valor, como executivos, funcionários de alto escalão do governo e celebridades.
Um exemplo recente de um ataque amplamente difundido de spam phishing foi o golpe de "mensagem de texto da UPS", que envolvia uma mensagem alegando ser da UPS e dizendo que não tinha sido possível realizar a entrega de um pacote. O link na mensagem levava a pessoa a inserir informações confidenciais, infectar o computador com malware ou pagar uma taxa desnecessária.
Baiting e tailgating
"Baiting" é um ataque que manipula a pessoa para fazê-la revelar dados pessoais ao criminoso. A isca (ou "bait", em inglês, por isso o nome dado ao golpe) costuma ser um prêmio falso, gratuito ou exclusivo. Como resultado, o computador acaba infectado com malware.
Um método padrão de "baiting" é o envio de um anexo de e-mail com uma oferta gratuita ou um software gratuito fraudulento. Deixar pendrives em locais públicos, como bibliotecas e estacionamentos, também é uma forma muito comum de "baiting".
Pretexting
Pretexting é quando um criminoso usa uma identidade falsa para ludibriar uma pessoa e ganhar sua confiança. Pode ser alguém tentando atrair você para uma interação direta fingindo ser um funcionário ou fornecedor, por exemplo. Depois que você cai no golpe, o criminoso pode fazer o que quiser, desde instalar um malware até roubar informações confidenciais.
Como se proteger contra engenharia social
A importância de senhas fortes
Muitas pessoas costumam usar uma senha fácil de lembrar para várias contas, como o nome do bichinho de estimação, e passam um bom tempo sem trocá-la. A Cisco sugere criar políticas para definir que tipo de senha os colaboradores devem usar.
Por exemplo, as diretrizes devem incluir o número de letras, tipos de caracteres etc. As políticas, por sua vez, devem definir com que frequência os colaboradores devem trocar suas senhas ou tentar incorporar trocas regulares de senha na tecnologia que eles usam. Uma simples sugestão, como pedir aos colaboradores que não compartilhem senhas, ajuda a proteger dados confidenciais.
O local onde você armazena sua senha é tão importante quanto a senha em si. Um gerenciador de senhas ajuda você a criar, proteger, preencher e atualizar suas senhas regularmente. Considere usar um gerenciador de senhas que faça a sincronização entre seus dispositivos para facilitar sua vida.
Autenticação de dois fatores
Sempre use autenticação multifator em serviços de rede de alto risco, como VPNs e pools de modems, para adicionar uma camada extra de segurança. Por exemplo, um colaborador pode confirmar uma senha do computador no celular. Um criminoso pode até "adivinhar" uma senha, mas não consegue acessar informações que só o colaborador pode ver em seu próprio dispositivo.
Métodos de autenticação de dois fatores incluem códigos de uso único, autenticação biométrica, como leitura de impressões digitais, códigos SMS e notificações push.
Treinamentos de conscientização dos colaboradores
Jogar um manual de cibersegurança de 50 páginas no colo de um colaborador está longe de ser uma abordagem eficaz de aprendizagem e reforço. Ele provavelmente só vai consultar o documento quando tiver problemas — se conseguir entendê-lo. Para evitar este tipo de conduta, é essencial incorporar a cibersegurança na cultura e nas operações da sua empresa para maximizar a proteção do sistema. Seus colaboradores devem ser capazes de responder com confiança à pergunta: "O que é engenharia social?"
Reduza o risco de ataques com treinamentos de conscientização envolventes e interativos, que fujam da estrutura de palestra. Algumas empresas adotam treinamentos para novos colaboradores com módulos online e jogos de perguntas e respostas para reforçar o conhecimento. Vale ressaltar que ataques recentes a empresas parecidas com a sua ou problemas de cibersegurança que sua empresa já enfrentou são tópicos que devem ser abordados.
Abuse da criatividade nos treinamentos de cibersegurança. Muitas empresas fazem simulações de ataques usando sua própria infraestrutura tecnológica ou até mesmo como um exercício em tempo real.
Como reconhecer indicadores de engenharia social
Atenção aos sinais de alerta
Confira abaixo alguns indicadores sugeridos pela Webroot:
- E-mails de uma fonte aparentemente confiável pedindo sua ajuda, como um e-mail de um “colega de trabalho” pedindo informações sobre um cartão de crédito da empresa.
- Fingir ser uma organização aparentemente legítima, como um banco, para extrair informações.
- Uma ação ou resposta relacionada a algo que você tem certeza de que nunca fez. O exemplo da UPS chama sua atenção para um pacote que não foi entregue, referente a uma compra que você não fez.
Solicitações online suspeitas
Alguns exemplos de solicitações questionáveis incluem:
- Pedir que você faça uma doação para uma instituição de caridade ou outra causa. Esses criminosos usarão qualquer problema social da atualidade para ludibriar você.
- Notificações de que você é "ganhou" alguma coisa. Para receber o prêmio, você terá que preencher um formulário ou fornecer informações sobre seu endereço ou banco para ter acesso aos fundos.
- Uma resposta a uma pergunta que você nunca fez. Um criminoso pode se passar por seu banco ou outra instituição, pois sabe que um e-mail de uma organização desconhecida não despertará a mesma curiosidade em você. Ele pode pedir que você se autentique ou que dê a ele acesso à sua empresa.
Ligações ou e-mails incomuns
Os outros indicadores mencionados acima também valem para ligações e e-mails suspeitos. Alguns casos são mais fáceis de identificar do que outros. Por exemplo, se um golpista fingindo ser seu banco mandar mensagens de um telefone com grandes espaços entre os números, desconfie.
Um tipo de e-mail traiçoeiro é aquele que fala de um problema e pede uma confirmação sua. Normalmente, você precisa clicar em um link ou preencher um formulário. Esses e-mails e formulários podem imitar direitinho o logotipo e o estilo de conteúdo de uma empresa conhecida, levando você a acreditar que o remetente é confiável. Golpes de phishing desse tipo costumam conter um alerta de que é preciso agir logo, caso contrário, haverá consequências, fazendo você agir por impulso.
Práticas recomendadas para a prevenção de engenharia social
Atualizações regulares de software
Não confie cegamente nas atualizações automáticas do seu computador. Softwares desatualizados são mais fáceis de serem hackeados. Sempre verifique se as atualizações automáticas estão sendo realizadas regularmente.
Proteção de informações confidenciais
Implemente várias camadas de proteção de dados. Uma opção é buscar uma solução com recursos específicos para proteger grandes quantidades de dados confidenciais. No entanto, seja prudente ao firmar parceria com um fornecedor, como um provedor de serviços de dados, pois ele pode ter acesso às suas informações.
Implementação de controles de acesso
Gerenciamento de senhas e autenticação multifator são algumas medidas simples que podem ser adotadas. Outros controles, como a autenticação adaptativa, confirmam a identidade do usuário com base em fatores como localização, comportamento etc.
Recursos adicionais
Recursos de segurança do LastPass
Um dos grandes diferenciais do LastPass em relação a outros gerenciadores de senhas é a criptografia de conhecimento zero: só você tem acesso aos seus dados e à sua senha mestre com uma chave exclusiva. Isso separa seus dados não criptografados de nossos servidores e protege a integridade de seus dados.
Proteção de contas pessoais e profissionais
Ainda que você adote mais medidas de segurança para suas contas profissionais, considere aumentar a proteção de suas informações pessoais também. Uma dica simples é adicionar a autenticação multifator ao seu e-mail ou às suas contas bancárias. Sem falar que, com um gerenciador de senhas ou autenticador, você elimina o estresse de ter que se lembrar de senhas e a preocupação com violações de segurança.
Os hackers estão usando engenharia social em ataques cada vez mais elaborados. A boa notícia é que agora você sabe o que é engenharia social e já pode identificar e impedir tentativas de manipulação que ameacem sua cibersegurança. Quando encontrar algo suspeito, pondere coisas como:
- Estou me sentindo mais emotivo do que normalmente me sentiria? (Por exemplo, você ficou subitamente assustado, curioso, ansioso, apressado etc.)
- A mensagem foi enviada por uma pessoa ou organização legítima?
- Há links ou anexos suspeitos?
- Parece bom demais para ser verdade?
Lembre-se: o “hacking humano” se baseia na exploração de suas emoções e comportamentos. Vá com calma, confie em seus instintos, seja prudente ao usar a internet e aplique práticas de segurança para evitar esquemas de engenharia social.
Engenharia social: fique por dentro do assunto. Inicie seu período de avaliação do LastPass hoje mesmo.