A engenharia social é uma técnica de manipulação que explora o erro humano para obter informações privadas, acessos ou objetos de valor.

 

Nos crimes virtuais, o “hacking humano” atraem usuários desavisados para a exposição de dados, espalhar infecções por malware ou fornecer acesso a sistemas restritos – como servidores empresariais. Os ataques podem acontecer online, pessoalmente e por meio de outras interações. Logo, quem se expõe em excesso na web é um alvo fácil para este golpe.

 

Na prática, os invasores criam uma comunicação com a vítima, para que então está informe seus dados inocentemente, sem ser coagida ou ameaçada.

 

O ciclo de ataque oferece aos criminosos um processo confiável para enganar a vítima e podemos defini-lo em 04 etapas:

 

1° Preparação: reunindo informações básicas sobre o alvo ou um grupo maior do qual faça parte;

2° Infiltração: estabelecendo um relacionamento ou iniciando uma interação, começando pela construção de confiança;

3° Exploração: atacar a vítima assim que a confiança e uma fraqueza forem estabelecidas para avançar o processo;

4° Dispersão: sumiço após o alvo realizar a ação desejada;

 

Esse processo pode ocorrer em um único e-mail ou ao longo de meses, com uma série de bate-papos nas redes sociais. No fim das contas, termina com uma ação que a própria vítima executa, como compartilhar informações ou se expor a malware.

 

Conheça alguns comportamentos que podem ser identificados durante um ataque:

 

- Emoções intensas: a manipulação emocional dá vantagem em qualquer interação, pois é muito mais provável que as pessoas tomem atitudes irracionais ou arriscadas quando se está em um estado emocional intensificado.

 

- Falsa urgência: oportunidades ou solicitações urgentes fazem parte do arsenal de um criminoso, como um prêmio ou recompensa que pode desaparecer na falta de decisão rápida.

 

- Confiança: como é um golpe baseado em mentiras, a confiança desempenha um papel importante aqui. O objetivo é criar uma narrativa que seja fácil de acreditar ou improvável de despertar suspeitas.

 

Atualmente, existem 07 métodos que são muito utilizados na engenharia social e, estão entre as principais ameaças à segurança da informação, sendo:

 

Vishing

 

É uma variação do phishing (ameaça amplamente realizada em e-mails). O vishing, em contrapartida, ocorre de forma verbal, por meio de ligações telefônicas.

 

Spear phishing

 

Por meio de e-mails e mensagens, essa tática leva a páginas falsas, que se parecem com páginas reais para coletar informações ou injetar malwares nos dispositivos.

 

Pretexting

 

Como diz o nome, essa tática se baseia na criação de falsos pretextos, aparentemente positivos para fazer com que a vítima passe informações confidenciais.

 

Quid Pro Quo

 

Na cibersegurança, é o nome de uma técnica que finge oferecer algo para a vítima em troca de algo importante para quem aplica o golpe, como informações confidenciais que representam um risco altíssimo para as empresas. Para evitar essas 04 primeiras ameaças é importante usar a boa e velha desconfiança. Se você não conhece quem aborda e vê isso como uma iniciativa não solicitada, desconfie. Além disso, também é importante investir na alfabetização tecnológica dos funcionários, evitando que a ingenuidade seja um pretexto para cair nos golpes.

 

Sextorsion

 

É uma extorsão baseada no vazamento de imagens íntimas, que podem existir ou não. A prática cresce rapidamente em todos os países, pois toca em pontos frágeis, como as noções de autopreservação, privacidade e reputação social. Para evita-la é importante proteger o acesso aos seus dispositivos com senhas, PINs, impressões digitais e reconhecimento facial. Além disso, priorize o suporte e assistência técnica das próprias fabricantes do aparelho, evitando empresas terceiras com baixa reputação e nenhum licenciamento para operar no dispositivo. Também é importante tampar as câmeras dos notebooks, tabletes, celulares e afins.

 

Tailgating

 

É a prática de “andar colado” ao veículo da frente. Na engenharia social, é algo semelhante, pois implica em aproveitar essa mesma proximidade para acessar ambientes restritos em uma empresa. Evite criando uma política de segurança em que o acesso não pode ser concedido de um funcionário a outro, apenas pela identificação pessoal/individual.

 

Dumpster diving

 

Por último, o mergulho na lixeira. Apesar de inusitada, esta prática é altamente eficiente e perigosa, tanto para as empresas como para as pessoas. A técnica consiste em revirar a papelada descartada pelo alvo em busca de informações confidenciais e sigilosas.

 

Para evitar, frise as informações confidenciais com um canetão escuro para que não fique visíveis e despedace os papéis. Para quem precisa fazer isso frequentemente, vale a pena investir em uma fragmentadora de papel que é capaz de fazer isso em segundos.

 

Compartilhe as principais iniciativas de engenharia social com seus amigos e previna-se!