Se você é como a maioria das pessoas, provavelmente não sabe muito sobre os ataques de engenharia social ou acredita que trata-se apenas de roubar dinheiro de vítimas inocentes.
O que talvez você não saiba é que as técnicas de engenharia social podem assumir diversas formas. E qualquer pessoa pode ser vítima de um, até mesmo você.
Neste guia, abordaremos tudo o que você precisa saber sobre ataques de engenharia social, inclusive:
- O que é um ataque de engenharia social;
- As diferentes formas que um ataque de engenharia social pode assumir;
- Como detectar rapidamente um ataque de engenharia social;
- E, o mais importante, como você pode evitar ser vítima de um!
Então, sem mais delongas, vamos explorar!
Mailfence - Obtenha seu e-mail seguro e gratuito.
4.1 baseado em 177 avaliações de usuários
O que é engenharia social?
Primeiro, vamos ao mais importante. O que é engenharia social?
O termo engenharia social, ou social engineering, se refere a diversas técnicas utilizadas para explorar a natureza humana e induzir comportamentos e erros que podem comprometer ou enfraquecer medidas de segurança.
Esta prática permite que cibercriminosos acessem informações e dinheiro alheios ou controlem o que procuram. Não se trata de um único tipo de ataque, mas de um grupo de esquemas diferentes que compartilham várias semelhanças, como:
- Os golpistas tentam obter informações confidenciais ou dinheiro;
- Eles exploram a confiança e o comportamento humano para manipular suas vítimas e atingir seus objetivos;
- Eles exploram a falta de conhecimento de suas vítimas e sua incapacidade de implementar medidas de segurança para se protegerem;
- Seus esquemas geralmente envolvem o uso de informações pessoais (roubo de identidade) para parecerem mais autênticos.
Lembra do “presente” dos gregos antigos para a cidade de Tróia? É um excelente exemplo real.
No centro de todo ataque de engenharia social está a manipulação.
A utilização de força bruta é coisa do passado. Com a engenharia social, invasores usam táticas de manipulação para fazer com que suas vítimas comprometam a si mesmas ou suas medidas de segurança. Os golpistas abordam suas vítimas com autoridade e influenciam suas ações.
À medida que se familiarizam mais com as motivações de seus alvos, os invasores podem desenvolver táticas persuasivas para induzir comportamentos potencialmente destrutivos.
E funciona. Diversos incidentes de falha de cibersegurança são, na verdade, esquemas de engenharia social bem-sucedidos executados por agentes externos. Eles exploram fraquezas humanas para que suas vítimas concedam acesso a informações confidenciais e dinheiro de forma voluntária.
Como funcionam os ataques de engenharia social?
Como já mencionamos, a engenharia social se baseia na manipulação. Ele pode assumir várias formas (como exploraremos mais adiante).
No entanto, todo ataque de engenharia social explorará uma das seguintes características humanas.
Confiança
O hacker envia uma mensagem falsificando os códigos de comunicação de uma organização, como seu logotipo e outros recursos da marca (fontes, estilo de escrita etc.).
O objetivo é induzir a vítima a fazer coisas que faria normalmente ao interagir com uma empresa de verdade (clicar em um link, baixar um arquivo etc.), já que confia nela e simplesmente não questiona a origem da mensagem.
Conformidade com a autoridade
A obediência diante das autoridades também é uma característica humana comumente explorada durante ataques de engenharia social.
Os invasores se fazem passar por indivíduos de alto escalão ou agentes governamentais para induzir seu alvo obediente a fazer algo.
Senso de urgência e/ou medo
As pessoas tendem a agir sem pensar quando se deparam com uma sensação repentina de pânico ou ansiedade.
Por este motivo, elas são vulneráveis a golpes de engenharia social que exploram essas emoções. Este tipo de tática enganosa induzem o medo a urgência de várias maneiras, como:
- Alertas falsos de cartão de crédito;
- Avisos de vírus;
- Indução ao medo de perder uma oportunidade.
A vítima em pânico é levada a agir sem ter tempo para considerar as implicações de suas ações. Muitas vezes, sob estresse, ela se esquece de verificar a legitimidade da solicitação.
Ganância
É difícil recusar presentes e coisas grátis, não é mesmo? Os cibercriminosos sabem disso.
É por isso que muitos golpes se aproveitam da ganância para atrair suas vítimas com promessas de recompensas em dinheiro, iPhones e outros prêmios cobiçados.
Você já ouviu falar do golpe da “herança inesperada”? Esse é um ataque clássico de phishing que promete uma grande soma de dinheiro de um parente distante ou de um benfeitor rico. O dinheiro está supostamente bloqueado por algum motivo obscuro… Tudo o que você precisa fazer é pagar as taxas administrativas para recebe-lo.
Parece bom demais para ser verdade? Isso é porque é! Esse é um exemplo perfeito de um golpe que usa a atração por dinheiro, presentes ou recompensas fáceis.
Generosidade
Por fim, nossa generosidade é frequentemente explorada em ataques de engenharia social.
Os invasores exploram a generosidade pesquisando as redes sociais para descobrir o que é importante para você e se fazendo passar por organizações ligadas às suas causas. Por exemplo, eles podem se passar por uma instituição de caridade que você apoia para solicitar doações.
Ataques de engenharia social: Como eles funcionam?
Existem vários tipos de ataque de engenharia social com diferenças bem sutis. Aqui estão alguns dos mais comuns.
Os golpes de phishing são os tipos mais comuns de ataque de engenharia social usados atualmente. Eles dependem de e-mails para estabelecer uma conexão com o alvo. Mas também existem outros tipos específicos de ataques de phishing, como:
- Smishing, um ataque de phishing que se baseia em SMS;
- Vishing, que se baseia em conversas telefônicas reais;
- Spear phishing, que atinge indivíduos específicos com informações pessoais para fazer com que pareçam legítimas;
- Ataques whaling, que são ataques de phishing direcionados a executivos de alto escalão.
O pretexting é outra forma de engenharia social em que os atacantes se concentram na criação de um pretexto plausível, ou um cenário fabricado, para induzir suas vítimas a compartilhar informações pessoais.
Já o baiting é, em muitos aspectos, semelhante aos ataques de phishing. No entanto, o que o distingue de outros tipos de engenharia social é a promessa de brindes ou recompensas para atrair as vítimas, assim como o cavalo de Troia.
Da mesma forma, os ataques quid pro quo prometem uma troca mutuamente vantajosa de informações. Neste caso, a vantagem oferecida é geralmente um serviço.
O scareware, por outro lado, tem o objetivo de fazer as vítimas acreditarem que seu dispositivo foi infectado por vírus e que a única forma de resolver o problema é baixar e instalar um software específico.
Os ataques Watering Hole acontecem quando os invasores comprometem um site frequentado por um grupo específico de usuários. Quando esses usuários visitam o site, seus dispositivos são infectados com malware.
Uma Honey Trap é quando os invasores criam perfis falsos de mídia social para fazer amizade com os alvos e extrair informações confidenciais por meio de relacionamentos enganosos.
Por fim, a engenharia social reversa cria uma situação em que a vítima busca ajuda, permitindo que o invasor se passe por um ajudante e extraia informações confidenciais.
Ataques físicos de phishing
Os ataques de phishing também podem ocorrer no mundo “real”.
A forma mais comum é chamada de “shoulder surfing“. Isso ocorre quando alguém observa diretamente por cima do ombro de outra pessoa para obter informações, como senhas ou PINs, depois de induzir a vítima a realizar uma ação que necessite de credenciais.
Outro tipo de ataque de engenharia social é o tailgating, em que alguém procura entrar fisicamente em áreas restritas onde não tem permissão para estar.
Características comuns dos ataques de engenharia social
A maioria desses ataques de engenharia social compartilha as seguintes características:
- Informações pessoais: os invasores buscam informações como nomes, endereços e números de previdência social.
- Encurtadores de links ou links incorporados: esses links realmente redirecionam os usuários para sites suspeitos em URLs que parecem legítimos.
- Malware: a engenharia social também pode ser usada para configurar malware, além de roubar as credenciais da vítima ou com o único objetivo de comprometer seus dispositivos.
Ataques de engenharia social: Como você pode se manter seguro?
Agora que identificamos as diferentes formas de engenharia social e suas características, vamos falar sobre como evitá-las!
A seguir, apresentamos várias etapas que você deve seguir para identificar ataques de engenharia social e se proteger de futuros ataques.
#Nº 1: Pare para avaliar a situação
Pare para avaliar a situação e examine a mensagem com cuidado, mesmo que seu conteúdo seja preocupante.
- Essa mensagem é inesperada?
- Ela se origina de onde deveria se originar?
- Este contato é confiável e pode ter sua identidade confirmada? Sempre que possível, entre em contato direto com o remetente para confirmar sua identidade.
- Além disso, verifique se há erros de ortografia, estranhezas no logotipo ou outros detalhes reveladores. Essa organização costuma se comunicar dessa maneira?
- Novamente, em caso de dúvida, pegue no seu telefone e ligue para um número que você já conhece (e não para o número fornecido na mensagem) para obter mais informações.
#Nº 2: Verifique URLs e arquivos antes de clicar
Nunca, em hipotese alguma, clique em um anexo ou link em um e-mail sem verificá-lo duas vezes.
Todo anexo pode ocultar um vírus ou algum outro tipo de malware, como o ransomware.
Todo link pode levar a um site falso programado para roubar informações ou infectar seu dispositivo com malware.
Antes de clicar, inspecione URLs e arquivos cuidadosamente:
- Existe alguma mensagem indicando a ocultação de macros? Se sim, certifique-se de não habilitar macros para visualizar o arquivo.
- Você estava esperando esse arquivo ou link?
- Na dúvida, não hesite em questionar diretamente o remetente (de preferência utilizando outro canal de contato) sobre a sua procedência.
- Se você ainda estiver em dúvida, NÃO clique! Pergunte a um colega, amigo ou membro da família se você não tiver certeza. Ou consulte um especialista em TI se você não se sentir à vontade para avaliar a situação.
#Nº 3: Fique de olho nos seus pertences
Mesmo que você não seja um milionário, seus pertences podem despertar a ganância dos cibercriminosos:
- Seus dados (que podem ser vendidos na dark net);
- O acesso a softwares utilizados pela empresa para a qual você trabalha;
- Perfis digitais detalhados, com inúmeras fotos e comentários revelando o que você gosta, causas que apoia, etc. Estas informações permitem que os cibercriminosos tracem o seu perfil e determinem a melhor estratégia para atingi-lo com mais facilidade. Tenha cuidado com o que você compartilha nas redes sociais.
Pare para analisar seus privilégios e o quanto deles você compartilha na web. Procure entender as oportunidades que você pode oferecer a golpistas online. Ser consciente ajuda muito na hora de evitar esquemas de engenharia social.
#Nº 4: Aprenda sobre golpes de engenharia social
Parabéns! Só de ler este guia, você já se tornou menos vulnerável a ataques de engenharia social.
A educação é fundamental para evitar ataques de engenharia social.
Como indivíduos, na maioria dos casos, podemos ser alvos de possíveis ataques devido à nossa falta de conscientização e conhecimento.
Se quiser saber ainda mais, você pode conferir este guia sobre os 7 maiores erros de segurança de e-mail a serem evitados. Você também pode consultar este guia sobre dicas para proteger seu computador ou seguir nosso curso gratuito de conscientização sobre segurança e privacidade de e-mail.
#Nº 5: Use um software de segurança para evitar e-mails de spam e phishing
Para proteger seu dispositivo contra ameaças cibernéticas e tentativas de invasão, utilize um antivírus atualizado e faça backups periódicos.
Você também pode utilizar uma solução de email mais segura para garantir que as mensagens que chegam a sua caixa de entrada não incluam atividades maliciosas. Com esse tipo de software você pode até mesmo bloquear mensagens suspeitas, se necessário.
Outra medida importante é proteger a sua conta de email com criptografia, assinaturas digitais e 2FA (autenticação de dois fatores). As contas de email são a porta de entrada perfeita para hackers, por isso medidas extra de segurança nunca são demais.
#Nº 6: Evite pontos únicos de falha
O ponto único de falha é um termo comum usado para descrever o fato de você ter todos os ovos em uma única cesta. Se esse ponto for violado, todos os seus dados serão comprometidos. É por isso que você deve evitar conectar todas as suas contas ao Facebook ou ao Gmail.
Quanto mais interligadas e dependentes forem suas contas, mais danos uma violação de segurança poderá causar a você.
#Nº 7: Logins exclusivos e senhas seguras
Juntamente ao item 6, use logins diferentes para cada serviço e senhas fortes e exclusivas. Considere o uso de aliases de e-mail e gerenciadores de senhas para gerenciar suas credenciais.
#Nº 8: Seja criativo com as perguntas de segurança
Pode parecer trivial. Mas as perguntas de segurança adicionais que os sites fazem a você são, geralmente, para configurar uma medida de segurança de verificação em duas etapas (2SV).
Portanto, seja criativo e evite respostas fáceis de adivinhar, como sua data ou local de nascimento. Um hacker os encontrará em poucos minutos. Além disso, não confunda 2SV com autenticação multifator (2FA) ou TFA, que sugerimos enfaticamente que você configure de qualquer forma.
#Nº 9: Use os cartões de crédito com sabedoria
Se você usar um cartão de crédito e um hacker obtiver acesso ao número, toda a sua conta bancária poderá ser drenada. Você pode proteger ainda mais seu cartão de crédito não armazenando números de cartão em sites ou usando números de cartão descartáveis ou virtuais (oferecidos pela maioria dos bancos atualmente).
#Nº 10: Monitore suas contas com frequência
Fique atento ao roubo de identidade e à fraude de cartão de crédito. Verifique regularmente os saldos de suas contas e a fatura de crédito.
Conclusão sobre ataques de engenharia social
Isso conclui nosso guia sobre ataques de engenharia social. Esperamos que agora você tenha uma melhor compreensão do que é engenharia social e de como detectá-la.
Não deixe de enviar este guia para seus amigos e familiares também! Quanto mais pessoas estiverem cientes das táticas de engenharia social, menor será o número de vítimas. Por fim, se você tiver alguma dúvida, sinta-se à vontade para entrar em contato conosco pelo e-mail support@mailfence.com
