Estudo comportamental ou técnica de espionagem?
A engenharia social é uma técnica de manipulação que explora o erro humano para obter informações privadas, acessos ou objetos de valor.
Nos crimes virtuais, o “hacking humano” atraem usuários desavisados para a exposição de dados, espalhar infecções por malware ou fornecer acesso a sistemas restritos – como servidores empresariais. Os ataques podem acontecer online, pessoalmente e por meio de outras interações. Logo, quem se expõe em excesso na web é um alvo fácil para este golpe.
Na prática, os invasores criam uma comunicação com a vítima, para que então está informe seus dados inocentemente, sem ser coagida ou ameaçada.
O ciclo de ataque oferece aos criminosos um processo confiável para enganar a vítima e podemos defini-lo em 04 etapas:
1° Preparação: reunindo informações básicas sobre o alvo ou um grupo maior do qual faça parte;
2° Infiltração: estabelecendo um relacionamento ou iniciando uma interação, começando pela construção de confiança;
3° Exploração: atacar a vítima assim que a confiança e uma fraqueza forem estabelecidas para avançar o processo;
4° Dispersão: sumiço após o alvo realizar a ação desejada;
Esse processo pode ocorrer em um único e-mail ou ao longo de meses, com uma série de bate-papos nas redes sociais. No fim das contas, termina com uma ação que a própria vítima executa, como compartilhar informações ou se expor a malware.
Conheça alguns comportamentos que podem ser identificados durante um ataque:
- Emoções intensas: a manipulação emocional dá vantagem em qualquer interação, pois é muito mais provável que as pessoas tomem atitudes irracionais ou arriscadas quando se está em um estado emocional intensificado.
- Falsa urgência: oportunidades ou solicitações urgentes fazem parte do arsenal de um criminoso, como um prêmio ou recompensa que pode desaparecer na falta de decisão rápida.
- Confiança: como é um golpe baseado em mentiras, a confiança desempenha um papel importante aqui. O objetivo é criar uma narrativa que seja fácil de acreditar ou improvável de despertar suspeitas.
Atualmente, existem 07 métodos que são muito utilizados na engenharia social e, estão entre as principais ameaças à segurança da informação, sendo:
Vishing
É uma variação do phishing (ameaça amplamente realizada em e-mails). O vishing, em contrapartida, ocorre de forma verbal, por meio de ligações telefônicas.
Spear phishing
Por meio de e-mails e mensagens, essa tática leva a páginas falsas, que se parecem com páginas reais para coletar informações ou injetar malwares nos dispositivos.
Pretexting
Como diz o nome, essa tática se baseia na criação de falsos pretextos, aparentemente positivos para fazer com que a vítima passe informações confidenciais.
Quid Pro Quo
Na cibersegurança, é o nome de uma técnica que finge oferecer algo para a vítima em troca de algo importante para quem aplica o golpe, como informações confidenciais que representam um risco altíssimo para as empresas. Para evitar essas 04 primeiras ameaças é importante usar a boa e velha desconfiança. Se você não conhece quem aborda e vê isso como uma iniciativa não solicitada, desconfie. Além disso, também é importante investir na alfabetização tecnológica dos funcionários, evitando que a ingenuidade seja um pretexto para cair nos golpes.
Sextorsion
É uma extorsão baseada no vazamento de imagens íntimas, que podem existir ou não. A prática cresce rapidamente em todos os países, pois toca em pontos frágeis, como as noções de autopreservação, privacidade e reputação social. Para evita-la é importante proteger o acesso aos seus dispositivos com senhas, PINs, impressões digitais e reconhecimento facial. Além disso, priorize o suporte e assistência técnica das próprias fabricantes do aparelho, evitando empresas terceiras com baixa reputação e nenhum licenciamento para operar no dispositivo. Também é importante tampar as câmeras dos notebooks, tabletes, celulares e afins.
Tailgating
É a prática de “andar colado” ao veículo da frente. Na engenharia social, é algo semelhante, pois implica em aproveitar essa mesma proximidade para acessar ambientes restritos em uma empresa. Evite criando uma política de segurança em que o acesso não pode ser concedido de um funcionário a outro, apenas pela identificação pessoal/individual.
Dumpster diving
Por último, o mergulho na lixeira. Apesar de inusitada, esta prática é altamente eficiente e perigosa, tanto para as empresas como para as pessoas. A técnica consiste em revirar a papelada descartada pelo alvo em busca de informações confidenciais e sigilosas.
Para evitar, frise as informações confidenciais com um canetão escuro para que não fique visíveis e despedace os papéis. Para quem precisa fazer isso frequentemente, vale a pena investir em uma fragmentadora de papel que é capaz de fazer isso em segundos.
Compartilhe as principais iniciativas de engenharia social com seus amigos e previna-se!