Normalmente, podemos supor que quando um cibercriminoso quer assumir um computador a primeira coisa que ele fará é procurar uma vulnerabilidade de software no dispositivo de alguém. Então, manter seu software atualizado e ter um poderoso antivírus que protege seus dispositivos contra vírus é provavelmente suficiente, certo? Infelizmente, não. Aqui está outro tipo de ameaça cibernética em ascensão que nenhum firewall ou proteção contra vírus pode bloquear: engenharia social.
Os engenheiros sociais aprenderam que, às vezes, a melhor – e muitas vezes mais fácil – forma de alcançar seus objetivos não é através do dispositivo, mas do usuário. Isso significa que uma vez que você entende o que é engenharia social e como funciona você pode usar esse conhecimento para não ser ser vítima dos tipos mais populares de ataques de engenharia social online.
O que é engenharia social?
Engenharia social é a arte de enganar alguém para que roubar informações confidenciais. Jogando sobre as emoções das pessoas, os engenheiros sociais são capazes de manipulá-las para divulgar informações confidenciais, como senhas e dados bancários. Além disso, ataques de engenharia social são frequentemente feitos para convencer as pessoas a clicar e/ou abrir e baixar anexos infectados por malware.
Técnicas comuns usadas por engenheiros sociais
Em um ataque de engenharia social, um criminoso primeiro coletará o máximo de informações possíveis sobre a pessoa-alvo ou empresa. Quanto mais detalhes souberem sobre seu alvo, mais fácil será fazer contato e ganhar rapidamente confiança. Os atacantes usam vários métodos para coletar as informações de que precisam. Eles podem pesquisar seu alvo no Google ou espioná-los nas redes sociais.
Uma vez que esses golpistas saibam quais grupos do Facebook um alvo frequenta, quais vídeos eles assistem no YouTube, quais fotos eles se conectam no Instagram e o que eles alfinetam no Pinterest, eles podem construir histórias mais críveis para enganar seus alvos.
Se forem as informações de negócios que eles estão atrás, vão olhar para os seus contatos do LinkedIn ou seu site corporativo para saber sobre a estrutura da sua empresa. Dessa forma, eles podem mais tarde entrar no papel de um funcionário da empresa ou contato alguém confiável ao fazer contato.
Ataques de engenharia social online mais comuns
Uma vez que os ataques de engenharia social são bastante convincentes é importante saber como eles podem ser para evitar se tornar uma vítima. Abaixo estão alguns dos ataques de engenharia social online mais comuns.
Phishing
O phishing é responsável por 90% de todas as violações de dados. Neste cenário, o golpista se coloca como uma pessoa ou empresa real e normalmente realiza seu ataque por e-mail, chats, publicidade ou sites. Por exemplo, criar um site falso que peça aos usuários para redefinir sua senha ou inserir informações confidenciais, como cartão de crédito ou número de telefone.
Spear Phishing
Spear phishing é uma variante de phishing particularmente sofisticada voltada para o nível superior de gerenciamento das empresas. O objetivo é explorar dados, informações internas e ter acesso às ferramentas da empresa. Aqui, os fraudadores buscam contato direto com a vítima. Às vezes eles fingem ser administradores de sistemas por e-mail, às vezes eles se passam por um colega no Facebook. Às vezes até se atrevem a fazer contato por telefone.
Baiting
Ataques de isca são semelhantes a ataques de phishing, mas em vez de se oferecer para resolver um problema, oferecem algo atraente. Por exemplo, um alvo pode ser seduzido por um prêmio gratuito e para recebê-lo eles seriam obrigados a inserir informações pessoais confidenciais úteis ao golpista.
Quid pro quo
Quid pro quo vem do latim, significa "tomar uma coisa por outra" e descreve uma manobra de engenharia social que atrai as vítimas com uma promessa específica se elas revelarem informações em troca. Os atacantes Quid pro quo geralmente se passam por funcionários de TI. Por exemplo, você pode ligar para todos os funcionários de uma empresa e prometer-lhes uma solução rápida e descomplicada. Tudo o que a vítima desprevenida tem que fazer é desligar seu programa antivírus, e executar uma determinada "solução", o malware é então instalado no computador.
Como se defender contra ataques de engenharia social
A melhor defesa contra uma engenharia social não é técnica – é você. Uma dose saudável de ceticismo emparelhado com prestar mais atenção ao que você está fazendo online pode ajudá-lo a evitar cometer erros.
Veja alguns conselhos para se proteger de ataques sociais:
- Não abra e-mails, clique em links e/ou baixe anexos de fontes questionáveis.
- Não acredite em ofertas tentadoras. Se você acha que um acordo é bom demais para ser verdade, provavelmente é.
- Use autenticação multifatorial. Juntamente com senhas fortes e únicas, ou seja, não utilize a mesma senha para todos os serviços.
- Certifique-se de que está usando um software antivírus atualizado.
- Mantenha-se informado sobre novos tipos de malware que estão circulando.
- Não responda a nenhuma solicitação de informações pessoais ou senhas.
- Rejeite qualquer conselho ou ajuda não solicitado. Os engenheiros sociais podem e solicitarão sua ajuda com informações ou se oferecem para ajudá-lo, muitas vezes se passando por suporte técnico.
Fique atento! Engenheiros sociais são chamados de vigaristas por uma razão – eles podem fazer qualquer um acreditar em quase tudo.
