Se você é como a maioria das pessoas, provavelmente não sabe muito sobre engenharia social.Talvez até pense que se trata a apenas de roubar dinheiro de vítimas inocentes na internet.
Mas a verdade é que as técnicas de engenharia social podem assumir muitas formas. E qualquer pessoa pode ser vítima, até mesmo você.
Neste guia, vamos explorar o que você precisa saber sobre ataques de engenharia social, incluindo:
- O que é um ataque de engenharia social;
- As diferentes formas de engenharia social;
- Como detectar rapidamente um ataque;
- E, o mais importante, como se proteger!
Então, sem mais delongas, vamos explorar!
Mailfence - Obtenha seu e-mail seguro e gratuito.
4.1 baseado em 177 avaliações de usuários
O que é engenharia social?
Primeireiramente, vamos relembrar o importante: o que é engenharia social?
A engenharia social é um conjunto técnicas que exploram a natureza humana para induzir comportamentos e erros que levam a uma segurança enfraquecida.
Seu objetivo é oermitir que os criminosos cibernéticos acessem informações, dinheiro ou controlem o que estão procurando. Não se trata de um tipo único de ataque, mas de um grupo de golpes diferentes que compartilham várias semelhanças:
- Os golpistas tentam obter informações confidenciais ou dinheiro;
- Eles exploram a confiança e o comportamento humano para manipular suas vítimas e atingir seus objetivos;
- Eles exploram a falta de conhecimento de suas vítimas e sua incapacidade de implementar medidas de segurança para se protegerem;
- Seus esquemas geralmente envolvem o uso de informações pessoais (roubo de identidade) para parecerem mais autênticos.
Lembra do famoso cavalo gigante com que os gregos antigos presentearam a cidade de Troia? Um excelente exemplo do mundo real.
A manipulação está no centro de todo ataque de engenharia social.
Esqueça as táticas de força bruta. Com a engenharia social, os invasores usam táticas de manipulação para levar suas vítimas a se comprometerem ou a comprometerem medidas de segurança nas quais confiam. Os golpistas se conectam com suas vítimas para inspirar confiança e influenciar suas ações.
À medida que os invasores se familiarizam mais com as motivações de seus alvos, eles podem criar táticas de persuasão para atraí-los para um comportamento potencialmente destrutivo.
E funciona! A maioria dos incidentes de quebra segurança cibernética são esquemas bem-sucedidos de engenharia social realizados por atacantes externos. Eles brincam com a fraqueza humana para fazer com que suas vítimas forneçam, sem querer, acesso a informações confidenciais ou dinheiro.
Como funcionam os ataques de engenharia social?
Como já mencionamos, a engenharia social se baseia na manipulação. Ele pode assumir várias formas (como exploraremos mais adiante).
No entanto, todo ataque de engenharia social explora uma das seguintes características humanas.
Confiança
O hacker envia uma mensagem falsificando os códigos de comunicação de uma organização, como seu logotipo e outros recursos da marca (fontes, estilo de escrita etc.).
Seu objetivo é induzir a vítima a fazer coisas que ela faria rotineiramente com essa organização específica (clicar em um link, baixar um arquivo etc.) porque confia nela e simplesmente não questiona a origem da mensagem.
Conformidade com a autoridade
A obediência à autoridade é outra característica humana que as táticas de engenharia social podem explorar.
Os piratas se passarão por um indivíduo de alto escalão ou por uma agência governamental para induzir seu alvo obediente a fazer algo.
Senso de urgência e/ou medo
As pessoas geralmente agem sem pensar quando se deparam com uma súbita sensação de pânico.
Elas são vulneráveis a golpes de engenharia social que se aproveitam dessas emoções. Essas táticas enganosas aproveitam o medo e a urgência de várias maneiras:
- Alertas falsos de cartão de crédito;
- Avisos de vírus;
- Explorar o FOMO (medo de ficar de fora) de uma pessoa.
A vítima em pânico é levada a agir sem ter tempo para considerar as implicações de suas ações. Muitas vezes, sob estresse, eles se esquecem de verificar a legitimidade da solicitação.
Ganância
Você não recusaria um presente, recusaria? Os golpistas entendem isso.
É por isso que muitos golpes aproveitam a nossa ganância para nos atrair com recompensas em dinheiro, iPhones gratuitos e outros prêmios.
Você já ouviu falar do golpe da “herança inesperada”? Esse é um ataque clássico de phishing que promete a você uma grande soma de dinheiro de um parente distante ou de um benfeitor rico. O dinheiro está supostamente bloqueado por algum motivo obscuro… Tudo o que você precisa fazer é pagar as taxas administrativas para receber o dinheiro.
Parece bom demais para ser verdade? Isso é porque é! Esse é um exemplo perfeito de um golpe que usa nossa atração por dinheiro, presentes ou recompensas fáceis.
Generosidade
Por fim, nossa generosidade é frequentemente explorada em ataques de engenharia social.
Os invasores exploram a generosidade pesquisando as mídias sociais para descobrir o que é importante para você e se fazendo passar por organizações ligadas às suas causas. Por exemplo, eles podem se passar por uma instituição de caridade que você apoia para solicitar doações.
Ataques de engenharia social: Como eles se parecem?
Há muitos tipos de ataques de engenharia social com variedades sutis. Aqui estão alguns dos mais comuns.
Os golpes de phishing são o tipo mais comun de ataque de engenharia social usados atualmente. Eles geralmente dependem de uma conexção via e-mail para abordar o avlo, mas existem outras possibilidades, como:
- Smishing, um ataque de phishing que se baseia em SMS;
- Vishing, baseado em conversas telefônicas reais;
- Spear phishing, que visa indivíduos específicos com informações pessoais para fazer com que pareçam legítimas;
- Ataques whaling, que são ataques de phishing direcionados a executivos de alto escalão.
O pretexting é outra forma de engenharia social em que os atacantes se concentram na criação de um pretexto plausível, ou um cenário fabricado, que eles podem usar para roubar as informações pessoais de suas vítimas.
O baiting é, em muitos aspectos, semelhante aos ataques de phishing. No entanto, o que os distingue de outros tipos de engenharia social é a promessa de um item ou bem que os hackers usam para atrair as vítimas, assim como o cavalo de Troia.
Da mesma forma, os ataques quid pro quo prometem um benefício em troca de informações. Esse benefício geralmente assume a forma de um serviço, enquanto o baiting frequentemente assume a forma de um bem.
O objetivo do scareware é fazer com que suas vítimas acreditem que um vírus infectou seu dispositivo e que elas precisam comprar ou baixar um software específico para corrigi-lo.
Os ataques Watering Hole acontecem quando os invasores comprometem um site frequentado por um grupo específico de usuários. Quando esses usuários visitam o site, seus dispositivos são infectados com malware.
Uma Honey Trap é quando os invasores criam perfis falsos de mídia social para fazer amizade com os alvos e extrair informações confidenciais por meio de relacionamentos enganosos.
Por fim, a engenharia social reversa cria uma situação em que a vítima busca ajuda, permitindo que o invasor se passe por um ajudante e extraia informações confidenciais.
Ataques físicos de phishing
Os ataques de phishing também podem ocorrer no mundo “real”.
A forma mais comum é chamada de “shoulder surfing“. Isso ocorre quando alguém observa diretamente por cima do seu ombro para obter informações, como senhas ou PINs, depois de induzi-lo a realizar uma ação que necessite de credenciais.
Outro tipo de ataque de engenharia social é o tailgating, em que alguém procura entrar fisicamente em uma área restrita onde não tem permissão para estar.
Características comuns dos ataques de engenharia social
A maioria desses ataques de engenharia social compartilha as seguintes características:
- Informações pessoais: os invasores buscam informações como nomes, endereços e números de previdência social.
- Encurtadores de links ou links incorporados: esses links realmente redirecionam os usuários para sites suspeitos em URLs que parecem legítimos.
- Malware: a engenharia social também pode ser usada para configurar malware, além de roubar as credenciais da vítima ou com o único objetivo de comprometer o dispositivo da vítima.
Ataques de engenharia social no mundo real
Agora que já falamos sobre a teoria, vamos dar uma olhada em alguns exemplos reais de golpes de engenharia social.
A fraude do “CEO falso
Em 2016, a empresa aeroespacial austríaca FACC recebeu aproximadamente 50 milhões de euros devido a um golpe de engenharia social conhecido como “fraude do CEO”.
Os criminosos cibernéticos se fizeram passar pelo CEO da empresa e enviaram um e-mail ao departamento financeiro solicitando uma transferência eletrônica urgente.
O e-mail parecia legítimo, contendo o estilo de escrita típico do CEO e até mesmo uma assinatura de e-mail forjada. Sem verificar a solicitação, um funcionário transferiu os fundos para uma conta offshore controlada pelos invasores.
Esse caso destaca a importância de verificar as transações financeiras por meio de canais de comunicação secundários antes de prosseguir. Ele também destaca o valor do uso de assinaturas digitais. Com o Mailfence, você pode assinar digitalmente seus e-mails usando criptografia, o que prova de forma irrefutável que você é realmente o autor do e-mail.
O golpe do Bitcoin no Twitter
Em um ataque de engenharia social de alto nível, os criminosos cibernéticos obtiveram acesso às ferramentas internas do Twitter fazendo-se passar pela equipe de suporte de TI.
Eles manipularam os funcionários para que fornecessem credenciais de login, permitindo que assumissem o controle de várias contas de alto perfil, incluindo as de Elon Musk, Bill Gates e Barack Obama.
Os invasores usaram essas contas para publicar brindes fraudulentos de Bitcoin, enganando os seguidores para que enviassem a criptomoeda. Esse ataque demonstra os perigos da confiança excessiva em credenciais internas e destaca a importância da autenticação multifator e do treinamento de funcionários sobre táticas de engenharia social.
Você quer saber mais? Confira este relatório da Verizon, que explora o custo das violações de dados no mundo dos negócios.
O papel da mídia social nos ataques de engenharia social
Com o surgimento das plataformas de mídia social, os golpistas têm acesso sem precedentes às suas informações pessoais. Eles não precisam mais invadir sua conta de e-mail – tudo é público no Instagram, no TikTok e no X!
Essa prática é conhecida como “reconhecimento de mídia social”. Ao analisar as postagens disponíveis publicamente, os invasores podem:
- Identificar o local de trabalho, o cargo e os contatos profissionais de uma pessoa;
- Extrair detalhes pessoais, como datas de nascimento, nomes de animais de estimação ou locais favoritos, que podem ser usados para adivinhar a senha;
- Informar-se sobre os próximos planos de viagem para programar um ataque quando a vítima estiver menos vigilante.
Com todas essas informações em mãos, os invasores podem hiperpersonalizar suas tentativas de phishing. Isso aumenta consideravelmente a probabilidade de sucesso.
Ataques comuns baseados em mídia social
Com uma grande quantidade de informações sobre você, os invasores podem facilmente criar um ataque de spear phishing. Por meio de mensagens diretas no Instagram ou no X, eles podem parecer que vêm de uma fonte confiável, induzindo as vítimas a clicar em links maliciosos ou baixar malware.
Os invasores também sabem onde você trabalha, desde quando, onde trabalhou anteriormente etc. graças ao LinkedIn.
Com essas informações, os invasores podem se passar por executivos da empresa no LinkedIn e tentar iniciar transações fraudulentas. Eles também podem se passar por recrutadores, enviando oportunidades de emprego falsas para extrair informações pessoais de quem está procurando emprego.
Para se proteger, aqui estão algumas etapas que você deve seguir:
- Defina configurações de privacidade rígidas em contas pessoais e profissionais.
- Evite compartilhar excessivamente detalhes pessoais e relacionados ao trabalho. Isso inclui lugares que você visitou ou planeja visitar, nomes de parentes etc.
- Revise e remova regularmente as conexões com contas desconhecidas ou suspeitas.
- Exclua todas as contas de mídia social que você não usa mais. Certifique-se de que todas as suas informações sejam excluídas (o que é um direito seu).
Ataques de engenharia social: Como você pode se manter seguro?
Agora que identificamos as diferentes formas de engenharia social e suas características, vamos falar sobre como evitá-las!
A seguir, apresentamos várias etapas que você deve seguir para identificar ataques de engenharia social e se proteger de futuros ataques.
#Nº 1: Reserve um tempo para avaliar a situação
Reserve um tempo para considerar toda a situação e examinar a mensagem cuidadosamente, mesmo que ela seja bastante preocupante.
- Essa mensagem é inesperada?
- Ela se origina de onde deveria se originar?
- Certifique-se de que você está interagindo com contatos confiáveis, confirmando a identidade deles. Sempre que possível, entre em contato diretamente com o remetente para certificar-se de que ele enviou o que foi recebido.
- Além disso, verifique se há erros de ortografia, estranhezas no logotipo ou outros detalhes reveladores. Essa organização costuma se comunicar dessa maneira?
- Novamente, em caso de dúvida, pegue seu telefone e ligue para o número oficial ou para o número que você está acostumado a ligar (e não para o número fornecido) para obter mais informações. Essa é uma etapa vital no que diz respeito a transações financeiras!
#Nº 2: Verifique o URL ou o arquivo antes de clicar
Nunca, jamais, clique em um anexo ou link em um e-mail sem verificar novamente.
Qualquer anexo em uma mensagem pode ocultar um vírus ou algum outro tipo de malware, como ransomware.
Um link em uma mensagem pode levar você a um site preparado para roubar seus dados ou infectar seu dispositivo com malware.
Antes de clicar neles, inspecione-os cuidadosamente:
- Há alguma mensagem ou prompt indicando que o arquivo anexado contém macros? Se sim, certifique-se de que você não habilita macros para visualizar o arquivo.
- Você estava esperando esse arquivo ou link?
- Em caso de dúvida, não hesite em verificar e perguntar diretamente ao remetente se a mensagem vem dele (entre em contato com ele pelo seu meio de contato habitual).
- Se você estiver em dúvida, NÃO clique! Pergunte a um colega, amigo ou membro da família se você não tiver certeza. Ou consulte um especialista em TI se você não se sentir à vontade para avaliar a situação.
#Nº 3: Fique atento aos seus objetos de valor
Mesmo que não seja um milionário, você possui muitas coisas que podem despertar a cobiça dos criminosos cibernéticos:
- Seus dados (que podem ser vendidos na dark net);
- Acesso ao software que você tem na empresa em que trabalha;
- Contas detalhadas de redes sociais, com várias fotos e comentários que revelam o que você gosta, o que você apoia etc. Isso significa que será fácil traçar seu perfil e determinar a estratégia apropriada para atingir você. Portanto, tenha cuidado com o que você compartilha nas mídias sociais.
Reserve um tempo para analisar seus privilégios, suas comunicações na Internet e tente entender o potencial que você oferece a qualquer golpista. Estar mais ciente disso pode melhorar sua capacidade de detectar ataques de engenharia social.
#Nº 4: Aprenda sobre golpes de engenharia social
Parabéns! Só de ler este guia, você já se tornou menos vulnerável a ataques de engenharia social.
A educação é fundamental para evitar ataques de engenharia social.
Como indivíduos, na maioria dos casos, estamos na origem de um possível ataque devido à nossa falta de conscientização e conhecimento.
Se quiser saber ainda mais, você pode conferir este guia sobre os 7 maiores erros de segurança de e-mail a serem evitados. Ou você pode consultar este guia sobre dicas para proteger seu computador ou seguir nosso curso gratuito de conscientização sobre segurança e privacidade de e-mail.
#Nº 5: Use um software de segurança para evitar e-mails de spam e phishing
Para proteger seu dispositivo e seus dados contra ameaças cibernéticas e tentativas de invasão, você deve usar um antivírus e fazer backups periódicos.
Mas você também deve usar uma solução de e-mail segura para garantir que as mensagens que chegam à sua caixa de entrada não incluam nenhum malware ou parte mal-intencionada e para bloqueá-las, se for o caso.
Os e-mails são uma das portas de entrada mais comuns para os hackers. Portanto, certifique-se de que você tenha a MFA ativada e acostume-se a enviar e-mails criptografados que são assinados digitalmente.
#Nº 6: Evite pontos únicos de falha
Um único ponto de falha é um termo comum usado para descrever o fato de você ter todos os ovos em uma única cesta. Se esse ponto for violado, todos os seus dados serão comprometidos. É por isso que você deve evitar conectar todas as suas contas ao Facebook ou ao Gmail.
Quanto mais interligadas e dependentes forem suas contas, mais danos uma violação de segurança poderá causar a você.
#7: logins exclusivos e senhas seguras
Vinculado ao item 6, use logins diferentes para cada serviço e senhas fortes e exclusivas. Considere o uso de aliases de e-mail e gerenciadores de senhas para gerenciar suas credenciais.
#Nº 8: Seja criativo com as perguntas de segurança
Isso pode parecer trivial. Mas as perguntas de segurança adicionais que os sites fazem a você são, geralmente, para configurar uma medida de segurança de verificação em duas etapas (2SV).
Portanto, seja criativo e evite respostas fáceis de adivinhar, como sua data ou local de nascimento. Um hacker os encontrará em poucos minutos. Além disso, não confunda 2SV com autenticação multifator (MFA) ou TFA, que sugerimos enfaticamente que você configure de qualquer forma.
#Nº 9: Use os cartões de crédito com sabedoria
Se você usar um cartão de débito e um hacker obtiver acesso ao número, toda a sua conta bancária poderá ser drenada. Você pode proteger ainda mais seu cartão de crédito não armazenando números de cartão em sites ou usando números de cartão descartáveis ou virtuais (oferecidos pelo Citibank, Bank of America e Discover).
#Nº 10: Monitore suas contas com frequência
Fique atento ao roubo de identidade e à fraude de cartão de crédito. Verifique regularmente os saldos de suas contas e a pontuação de crédito.
Considerações finais sobre ataques de engenharia social
Isso conclui nosso guia sobre ataques de engenharia social. Esperamos que agora você tenha uma melhor compreensão do que é engenharia social e de como detectá-la.
Não deixe de enviar este guia para seus amigos e familiares também! Quanto mais pessoas estiverem cientes das táticas de engenharia social, menor será o número de vítimas. Por fim, se você tiver alguma dúvida, sinta-se à vontade para entrar em contato conosco pelo e-mail support@mailfence.com
Quer se aprofundar mais? Confira este relatório da IBM, que destaca como os criminosos cibernéticos exploram a identidade das pessoas para seus ataques.
Engenharia social: Perguntas frequentes
Um ataque de engenharia social manipula o comportamento humano para induzir as pessoas a revelar informações confidenciais, conceder acesso ou realizar ações que comprometam a segurança. Geralmente, ele explora a confiança, a urgência, o medo ou a ganância.
Alguns tipos comuns incluem phishing (golpes por e-mail), vishing (golpes por voz), pretextos, iscas, scareware e ataques físicos, como shoulder surfing ou tailgating. Esses ataques podem parecer legítimos, mas têm o objetivo de enganar.
Para identificar um ataque, avalie cuidadosamente as solicitações inesperadas. Verifique a identidade do remetente, inspecione links ou arquivos em busca de elementos suspeitos e fique atento à linguagem urgente ou emocionalmente manipuladora. Em caso de dúvida, verifique diretamente com o remetente.
Tenha cuidado com as informações pessoais, use senhas fortes, ative a autenticação multifator (MFA) e monitore regularmente suas contas. Sempre verifique novamente as mensagens suspeitas e evite compartilhar senhas ou dados em canais inseguros.
