Como reconhecer ataques de engenharia social?

Se você é como a maioria das pessoas, provavelmente não sabe muito sobre engenharia social e acredita que esta é apenas de uma forma de roubar dinheiro de vítimas inocentes. O que talvez você não saiba é que essa prática pode assumir diversas formas diferentes e que o roubo de dinheiro nem sempre é seu o objetivo principal. Na verdade, os ataques de engenharia social podem ser empregados para roubar informações sigilosas ou simplesmente causar discórdia e caos. Como resultado, pode ser bastante difícil (mas não impossível) de detectar e prevenir este tipo de esquema. Confira abaixo como se proteger contra ataques de engenharia social.
O que é engenharia social?
Mas afinal, o que é engenharia social? O termo engenharia social, ou social engineering, se refere a diversas técnicas utilizadas para explorar a natureza humana e induzir comportamentos e erros que podem comprometer ou enfraquecer medidas de segurança. Esta prática permite que cibercriminosos acessem informações e dinheiro alheios ou controlem o que procuram. Não se trata de um único tipo de ataque, mas de um grupo de esquemas diferentes que compartilham várias semelhanças, como:
- Os golpistas tentam obter informações confidenciais ou dinheiro;
- Eles exploram a confiança e comportamentos humanos para manipular as vítimas e alcançar seus objetivos;
- Eles exploram a falta de conhecimento das vítimas e sua incapacidade de implementar medidas de segurança para se proteger;
- Seus esquemas envolvem o uso de informações pessoais (roubo de identidade) para dar mais autenticidade ao golpe.
Lembra do “presente” dos gregos antigos para a cidade de Tróia? É um excelente exemplo real.
Manipulação é essencial
A utilização de força bruta é coisa do passado. Com a engenharia social, invasores usam táticas de manipulação para fazer com que suas vítimas comprometam a si mesmas ou suas medidas de segurança. Os golpistas abordam suas vítimas com autoridade e influenciam suas ações.
Após se familiarizar com as motivações do alvo, os invasores desenvolvem táticas persuasivas para induzir comportamentos potencialmente destrutivos.
E funciona. Diversos incidentes de falha de cibersegurança são, na verdade, esquemas de engenharia social bem-sucedidos executados por agentes externos. Eles exploram fraquezas humanas para que suas vítimas concedam acesso a informações confidenciais e dinheiro de forma voluntária.
Você pode cair em um esquema de engenharia social mesmo que esteja utilizando canais seguros para se comunicar e tomando várias medidas de segurança – como o pacote de email do Mailfence, por exemplo – para proteger sua privacidade online.
Um hacker pode conseguir suas credenciais e contornar todas as suas barreiras de segurança para acessar o seu mundo online. Tudo porque em um breve momento de descuido você permitiu que ele acessasse suas informações pessoais. É por isso que aprender a detectar ataques de engenharia social é crucial.
Se por um lado a fraqueza humana é a chave para os hackers, entender a engenharia social é o caminho para evitá-la.
Como funciona a engenharia social?
Como já mencionamos, a engenharia social implica a manipulação da vítima. Isso pode acontecer de várias formas, pela manipulação de diferentes sentimentos e traços humanos. A seguir explicamos alguns exemplos.
Confiança
O hacker envia uma mensagem fingindo ser uma empresa cujos serviços o alvo utiliza. Ele faz o spoofing, ou falsificação, dos códigos de comunicação da organização (logo, fontes, etc.) para tornar a mensagem mais convincente. Seu objetivo é convencer a vítima a fazer o que faria normalmente ou interagir com a empresa de verdade (clicar em um link, baixar um arquivo, etc.), já que ela confia ou simplesmente não questiona a fonte da mensagem.
Colaboração com autoridades
A obediência diante das autoridades também é uma característica humana comumente explorada durante ataques de engenharia social. Os invasores se fazem passar por indivíduos de alto escalão ou agentes governamentais para induzir seu alvo obediente a fazer algo.
Senso de urgência e medo
As pessoas tendem a agir sem pensar quando se deparam com uma sensação repentina de pânico ou ansiedade. Por este motivo, elas são vulneráveis a golpes de engenharia social que exploram essas emoções. Este tipo de tática enganosa utiliza os seguintes recursos para provocar medo e urgência:
- Alertas bancários falsos;
- Alertas de vírus;
- Notificações sobre oportunidades “imperdíveis”.
A vítima em pânico é induzida a agir sem parar para considerar as consequências ou verificar a legitimidade do pedido. Os resultados podem ser desastrosos para negócios ou mesmo a nível pessoal. Tomar sérias medidas de segurança é especialmente importante para pequenas empresas, consideradas um dos principais alvos deste tipo de ataque.
Ganância
É difícil recusar presentes e coisas grátis, não é mesmo? Os cibercriminosos sabem disso e se aproveitam da ganância humana para atrair suas vítimas com promessas de recompensas em dinheiro, iPhones e outros prêmios cobiçados.
Quem nunca ouviu falar dos “golpes nigerianos”? Este é um tipo de ataque de phishing, onde agentes mal intencionados dizem precisar sacar uma grande soma de dinheiro de um banco Nigeriano. O dinheiro está bloqueado lá por algum motivo obscuro… Felizmente, você só precisa pagar algumas taxas administrativas para sacá-lo.
Este é um exemplo perfeito de um golpe que explora a nossa atração por dinheiro, presentes ou recompensas fáceis.
Generosidade
A generosidade e o desejo de ajudar o próximo também são traços humanos bastante explorados na engenharia social. Primeiramente, os cibercriminosos estudam as redes sociais da vítima à procura de informações que revelem causas que ela pode estar interessada em apoiar.
Depois disso, eles abordam a vítima se passando por instituições de caridades para pedir doações. Durante o processo, poderão ser solicitadas informações bancárias, para que os hackers possam roubar ainda mais dinheiro.
Os vários exemplos de ataque de engenharia social
Existem vários tipos de ataque de engenharia social com diferenças bem sutis.
Os golpes de phishing são uma das técnicas de engenharia social mais usadas. Este tipo de esquema se baseia no envio de emails para abordar a vítima. Os esquemas de smishing e vishing são parecidos, mas os canais de comunicação utilizados são SMSs e chamadas telefônicas, respectivamente.
O spearfishing tem como alvo indivíduos específicos. A técnica utiliza informações pessoais para fazer com que a abordagem pareça legítima. De forma semelhante, o whaling tem como alvo executivos de alto escalão.
No pretexting, invasores se concentram em criar um pretexto plausível, ou cenário fabricado, para induzir suas vítimas a compartilhar informações pessoais. Já o baiting, se diferencia pela promessa de brindes ou recompensas para atrair alvos curiosos.
Da mesma forma, os ataques de quid pro quo prometem uma troca mutuamente vantajosa de informações. Neste caso, a vantagem oferecida é geralmente um serviço.
Outro tipo de ataque de engenharia social é o tailgating, em que agentes maliciosos buscam entrada física em áreas restritas.
Por fim, o scareware tem o objetivo de fazer as vítimas acreditarem que seu dispositivo foi infectado por vírus e que a única forma de resolver o problema é baixar e instalar um software específico.
A maioria desses exemplos de engenharia social apresentam as seguintes características:
- Seu objetivo é conseguir informações pessoais, como nomes, endereços e números de CPF;
- Links encurtados ou incorporados são utilizados para levar o usuário a sites suspeitos;
- Malwares são utilizados para comprometer o dispositivo do usuário;
- Ameaças são utilizadas para causar medo e manipular o usuário a agir prontamente.
Como identificar e se proteger contra a engenharia social?
Pare para avaliar a situação
Pare para avaliar a situação e examine a mensagem com cuidado, mesmo que seu conteúdo seja preocupante.
- A mensagem é totalmente inesperada?
- Sua origem é realmente legítima?
- Este contato é confiável e pode ter sua identidade confirmada? Sempre que possível, entre em contato direto com o remetente para confirmar sua identidade.
- É assim que esta empresa ou pessoa costuma se comunicar? Procure por erros de ortografia, diferenças no logotipo usado e quaisquer detalhes suspeitos.
- Novamente, em caso de dúvida, pegue no seu telefone e ligue para um número que você já conhece (e não para o número fornecido na mensagem) para obter mais informações.
Verifique URLs e arquivos antes de clicar
Todo anexo pode conter um vírus ou qualquer tipo de malware, como o ransomware. Todo link pode levar a um site falso programado para roubar informações ou infectar seu dispositivo.
Por isso, antes de clicar em qualquer link ou anexo, inspecione-os com cuidado:
- Existe alguma mensagem indicando a ocultação de macros?
- Você estava esperando por este link ou arquivo?
- Na dúvida, não hesite em questionar diretamente o remetente (de preferência utilizando outro canal de contato) sobre a sua procedência.
- E se você não conhece o remetente, apenas não clique em nada. Especialmente se o título do arquivo ou link for particularmente atraente sem motivo algum.
Fique de olho nos seus pertences
Mesmo que você não seja um milionário, seus pertences podem despertar a ganância dos cibercriminosos:
- Seu dados (que podem ser vendidos na dark web);
- O acesso a softwares utilizados pela empresa para a qual você trabalha;
- Perfis digitais detalhados, com inúmeras fotos e comentários revelando o que você gosta, as causas que apoia, etc. Estas informações permitem que os cibercriminosos tracem o seu perfil e determinem a melhor estratégia para atingi-lo com mais facilidade.
Tenha cuidado com o que você compartilha nas redes sociais e pare para analisar seus privilégios. Procure entender as oportunidades que os golpistas online podem perceber em você. Ser consciente ajuda muito na hora de evitar esquemas de engenharia social.
Mantenha se informado sobre técnicas de engenharia social
A engenharia social explora as fraquezas humanas. Por este motivo, a chave para evitá-la é a educação. Confira os links abaixo para saber ainda mais sobre como evitar ataques de engenharia social:
- Proteger sua conta de e-mail
- 6 dicas importantes para proteger sua privacidade on-line
- Curso de segurança de e-mail e conscientização sobre privacidade, uma ótima escolha para quem quer aprender mais sobre cibersegurança.
Utilize um software de segurança para evitar spams e phishing
Para proteger seu dispositivo contra ameaças cibernéticas e tentativas de invasão, utilize um antivírus atualizado e faça o backup dos seus dados com regularidade.
Você também pode utilizar uma solução de email mais segura para garantir que as mensagens que chegam a sua caixa de entrada não incluam atividades maliciosas. Com esse tipo de software você pode até mesmo bloquear mensagens suspeitas, se necessário.
Outra medida importante é proteger a sua conta de email com criptografia, assinaturas digitais e 2FA (autenticação de dois fatores). As contas de email são uma porta de entrada perfeita para os hackers, por isso medidas extra de segurança nunca são demais.
E por que não abrir uma conta gratuita agora para experimentar toda a praticidade do pacote Mailfence?
Salman trabalha como analista de segurança da informação no Mailfence. Seus interesses incluem criptografia, arquitetura e design de segurança, controle de acesso e segurança operacional. Você pode segui-lo no LinkedIn em @mohammadsalmannadeem.