A engenharia social é uma técnica de manipulação que explora o erro humano para obter informações privadas, acessos ou objetos de valor.

Nos crimes virtuais, esses golpes de “hacking humano” atraem usuários desavisados para a exposição de dados, espalhar infecções por malware ou fornecer acesso a sistemas restritos – como servidores empresariais. Os ataques podem acontecer online, pessoalmente e por meio de outras interações. Logo, quem se expõe em excesso na web é um alvo mais fácil para a técnica.

Como funciona?

Os invasores criam uma comunicação com a vítima, para que então a vítima passe seus dados da inocência, sem ser coagida ou ameaçada.

Ciclo operacional

O ciclo de ataque oferece aos criminosos um processo confiável para enganar a vítima. Podemos definir as etapas para o ataque serem:

1. Preparação: reunindo informações básicas sobre o alvo ou um grupo maior do qual faça parte;

2. Infiltração: estabelecendo um relacionamento ou iniciando uma interação, começando pela construção de confiança;

3. Exploração: atacar a vítima assim que a confiança e uma fraqueza forem estabelecidas para avançar o processo;

4. Dispersão: sumiço após o alvo realizar a ação desejada.

Conheça alguns comportamentos que podem ser identificados durante o ataque:

Emoções intensas

A manipulação emocional dá vantagem em qualquer interação. É muito mais provável que tome atitudes irracionais ou arriscadas quando está em um estado emocional intensificado.

Falsa urgência

Oportunidades ou solicitações urgentes fazem parte do arsenal de um criminoso, como um prêmio ou recompensa que pode desaparecer se na falta de cisão rápida.

Confiança

Como é um golpe baseado em mentiras, a confiança desempenha um papel importante aqui. O objetivo é criar uma narrativa que seja fácil de acreditar ou improvável de despertar suspeitas.

Quais os tipos de ataques?

Atualmente, existem sete métodos que são muito utilizados na engenharia social e, portanto, estão entre as principais ameaças à segurança da informação. Confira abaixo!

1. Vishing

É uma variação do phishing, que é uma ameaça amplamente realizada nos e-mails. O vishing, em contrapartida, ocorre de forma verbal, por meio de ligações telefônicas.

2. Spear Phishing

Por meio de e-mails e mensagens, essa tática leva a páginas falsas, que se parecem com as reais, para coletar informações ou injetar malwares nos dispositivos.

3. Pretexting

Como diz o nome, essa tática se baseia na criação de falsos pretextos, aparentemente positivos, para fazer com que a vítima passe informações confidenciais.

4. Quid Pro Quo

Na cibersegurança, é o nome de uma técnica que finge oferecer algo para a vítima, em troca de algo importante para quem aplica o golpe, como informações confidenciais, o que representa um risco altíssimo para as empresas.

Como evitar esses 4 tipos de ataques?

É importante usar a boa e velha desconfiança. Se não conhece quem aborda e vê isso como uma iniciativa não solicitada, desconfie. Além disso, também é importante investir na alfabetização tecnológica dos funcionários, evitando que a ingenuidade seja um pretexto para cair nos golpes.

5. Sextorsion

É uma extorsão baseada no vazamento de imagens íntimas, que podem existir ou não. A prática cresce rapidamente em todos os países, pois toca em pontos frágeis, como as noções de autopreservação, privacidade e reputação social.

Como evitar sextorsion?

É importante proteger o acesso aos seus dispositivos com senhas, PINs, impressões digitais e reconhecimento facial. Além disso, priorize o suporte e assistência técnica das próprias fabricantes do aparelho, evitando empresas terceiras com baixa reputação e nenhum licenciamento para operar no dispositivo. Também é importante tampar as câmeras dos notebooks, tablets, celulares e afins.

6. Tailgating

É a prática de “andar colado” ao veículo da frente. Na engenharia social, é algo semelhante, pois implica em aproveitar essa mesma proximidade para acessar ambientes restritos em uma empresa.

Como evitar o Tailgating?

Crie uma política de segurança, em que o acesso não pode ser concedido de um funcionário a outro, apenas pela identificação pessoal individua.

7. Dumpster Diving

Por último, o mergulho na lixeira. Apesar de inusitada, a prática é altamente eficiente e perigosa, tanto para as empresas como para as pessoas. A técnica consiste em revirar a papelada descartada pelo alvo em busca de informações confidenciais e sigilosas.

Como evitar o Dumpster Diving?

Basta frisar as informações confidenciais com um canetão e despedaçar os papéis. Para quem precisa fazer isso frequentemente, vale investir em uma fragmentadora de papel, que é capaz de fazer isso em segundos.

Agora que você conhece as principais iniciativas de engenharia social, compartilhe com seus amigos e previna-se!