Proteção contra ataques de engenharia social

Proteção contra ataques de engenharia social

Os usuários são os sujeitos mais vulneráveis quando o assunto é segurança cibernética. A interação humana mudou amplamente, temos um cenário em que as pessoas utilizam bastante serviços em nuvem para armazenar seus documentos e fotos, e realizam diversas tarefas online.  Com isso, os cibercriminosos se aproveitam das brechas deixadas pelos usuários ou pela falta de cuidado para realizar ataques.

Nesse artigo, iremos falar sobre como funciona a proteção contra os ataques de engenharia social.

Mas, afinal, o que é engenharia social? Como funcionam os ataques e como se proteger? Tudo isso e mais é o que você vai aprender ao ler este post até o final.

O que é engenharia social?

Engenharia social é uma técnica de manipulação, para induzir as pessoas a fornecerem informações confidenciais.

Os tipos de informações desejadas pelos criminosos variam, conforme sua finalidade, seja para roubo financeiro, chantagem, entre outros tipos de ameaças e ataques.

Em geral, cibercriminosos tentam enganar os usuários para que os mesmos forneçam suas senhas ou dados financeiros, como número de cartão de crédito, por exemplo.

Outra forma de obter as informações da pessoa, é induzindo-a a instalar secretamente um software malicioso no computador ou dispositivo móvel. E isso se dá por meio de mensagens falsas, nas quais o indivíduo clica em um link suspeito e baixa determinado programa malicioso.

Nos golpes de engenharia social, os invasores ou criminosos ocultam suas identidades verdadeiras, se passando por  indivíduos ou fontes de informação confiáveis.

O objetivo desse tipo de ataque é manipular, influenciar ou induzir os usuários, para que eles forneçam suas informações confidenciais ou acesso em uma empresa, por exemplo, o invasor pode se passar por um colega de trabalho que esteja com algum problema urgente e que precisa de acesso a recursos de rede adicionais.

Perigos da Engenharia social

Os casos de ataques de engenharia social são perigosos porque é mais fácil explorar as pessoas do que identificar vulnerabilidade nos sistemas ou redes de computadores.

Sendo assim, os hackers utilizam táticas que possam servir como uma primeira etapa de um ataque maior para se infiltrar em um sistema ou rede e roubar dados sigilosos.

Portanto, segurança significa saber em quem confiar, nesse sentido, é fundamental identificar quando não acreditar na palavra ou atitude de uma pessoa. Essa mesma dica se aplica às interações online: é preciso saber quando confiar no site que está navegando ou quando confiar em um e-mail ou SMS recebido. Em todos os casos, antes de mais nada, é preciso analisar se aquela interação é segura para fornecer suas informações ou não.

Se perguntar para qualquer profissional de segurança, é certo que ele dirá que a parte mais fraca na etapa de segurança é o ser humano, ou seja, o próprio usuário.

Imagine a seguinte situação: uma pessoa instala as melhores fechaduras nas portas, contrata sistemas de alarme e seguranças armados, mas deixa qualquer pessoa entrar no portão, dizendo que é um instalador da internet ou prestador de algum outro serviço, ficando, assim, exposta a qualquer risco que essa pessoa represente.

Ataques de engenharia social

Os golpes de engenharia social podem ocorrer de diversas formas, sendo executados em qualquer lugar onde exista interação humana. Listamos, a seguir, alguns exemplos mais comuns de ataques de engenharia social digital.

Phishing: É um tipo de ataque quando um criminoso envia algum e-mail disfarçado de e-mail legítimo. O intuito da mensagem é enganar o destinatário, levando-o a compartilhar informações financeiras ou pessoais, ao clicar em algum link que instale um malware.

Vishing: O vishing é uma variação do phishing. O vishing ocorre de forma verbal, como, por exemplo, através de ligações telefônicas, para coletar informações financeiras ou pessoais do alvo.

Whaling: Esse é um tipo específico de ataque de spear phishing, também conhecido como fraude do CEO e utiliza métodos, como, por exemplo, a falsificação de e-mails e sites para enganar o usuário, para que ele realize ações específicas, passando dados confidenciais ou transferindo dinheiro [1].

De um lado os golpes de phishing atingem indivíduos não específicos, por outro lado, os golpes de whaling atingem indivíduos específicos, geralmente, direcionado para funcionários de alto nível ou executivos de alto escalão.

Pretexting: Como o próprio nome sugere, essa tática cria pretextos, que parecem ser positivos, levando a vítima a passar informações confidenciais. No Brasil, esse ataque foi muito utilizado, por golpes que simulavam que a pessoa havia ganhando alguma premiação, indenização ou herança. [1].

Isca: Tipo de ataque no qual o invasor deixa um dispositivo físico infectado por malware, como, por exemplo, esquecer propositalmente um pendrive, em um lugar que será encontrado, em seguida, a vítima pega esse dispositivo e o insere no computador, assim, instala sem saber um malware.

Como se proteger da engenharia social

Os engenheiros sociais buscam manipular os sentimentos humanos, aguçando a curiosidade ou medo, visando atrair as vítimas para suas armadilhas. Portanto, é necessário cuidado sempre que se sentir alarmado por algum e-mail, por alguma oferta de um site suspeito ou, até mesmo, quando se deparar com algum pendrive perdido.

Outras dicas são úteis para se proteger da engenharia social:

Não abrir e-mails e anexos de fontes desconhecidas

Caso não conheça o remetente em questão, não é indicado abrir ou responder o e-mail, ainda que você os conheça o conteúdo da mensagem. Além do mais, confirme as notícias por meio de outras fontes, como por telefone ou pelo site de um provedor de serviços. É importante ressaltar que vários endereços de e-mails são falsificados o tempo todo, até mesmo um e-mail que supostamente veio de uma fonte confiável.

Use autenticação multifator

As credenciais dos usuários são informações mais desejadas por cibercriminosos, nesse sentido, utilizar a autenticação multifator garante a proteção da conta no caso de comprometimento do sistema. A autenticação multifator (MFA) é um método de autenticação que exige que o usuário utilize dois ou mais fatores de verificação, para obter acesso a um sistema ou aplicativo, conta online ou VPN.

Em vez de solicitar somente um nome de usuário e senha, a autenticação multifator precisa que um ou mais fatores de verificação adicionais sejam informados, isso reduz a probabilidade de um ataque cibernético. Um exemplo, é quando o usuário vai acessar um aplicativo, e ele precisa, além da senha, fornecer sua biometria ou alguma outra informação adicional.

Desconfie de ofertas ‘fáceis’

Aquelas ofertas tentadoras, que informam que a pessoa ganhou algo de valor, ou seja, aquela oferta atraente, requer muito cuidado por parte do usuário. Antes de mais nada, é válido pesquisar a fonte da oferta, se for o caso, ligar para um telefone oficial da empresa que supostamente enviou tal oferta, para verificar a sua autenticidade.

Esse é um tipo de ataque muito utilizado atualmente. Pessoas recebem em seus aplicativos de mensagens instantâneas diversas ofertas, que, a princípio, parecem ser verídicas, levando o usuário a pagar alguma taxa ou fornecer informações pessoais relevantes.

Mantenha o antivírus e antimalware atualizados

Um porto importante: verificar periodicamente as atualizações foram aplicadas, ou seja, se os programas antivírus e antimalware estão devidamente atualizados. É ideal realizar uma varredura em seu sistema buscando possíveis infecções.

Casos Mídiaticos

A seguir, iremos mostrar exemplos de casos de ataques por engenharia social, passando uma ideia de como eles funcionam e como eles podem prejudicar empresas e indivíduos [2].

Shark Tank: Barbara Corcoran, juíza do programa de televisão Shark Tank, foi enganada via esquema de phishing e engenharia social, com prejuízo de US$ 400 mil em 2020. Um cibercriminoso se passou por sua assistente, enviando um e-mail para o contador pedindo para fazer a renovação de um pagamento relacionado a investimentos imobiliários. O criminoso recorreu a um endereço de e-mail similar ao legítimo. A fraude foi somente descoberta após o contador enviar um e-mail para o endereço correto do assistente, indagando o mesmo sobre a referida transação.

COVID-19: Mediante o surto da COVID-19, houve aumento nos esquemas de phishing. Nesse período de pandemia, pessoas mal-intencionadas se passaram por representantes do Ministério da Saúde ou da Organização Mundial da Saúde (OMS).

Eram enviados diversos e-mails para enganar e induzir os destinatários a uma ação, como, por exemplo, clicar em um link infectado ou abrir um anexo contendo vírus.

Toyota: A Toyota Boshoku Corporation, uma das maiores fornecedoras de peças automotivas, foi mais uma das vítimas de ataque de engenharia social em 2019. O prejuízo passou de US$ 37 milhões [2]. Os cibercriminosos persuadiram um executivo financeiro, fazendo-o alterar informações da conta bancária do destinatário em uma transferência eletrônica.

Conclusão

Como podemos perceber, a engenharia social usa a falta de cuidado ou atenção do próprio usuário, para roubar informações ou instalar programas maliciosos em seus dispositivos. Dessa forma, é necessário que o usuário fique atento a qualquer mensagem ou atitude suspeitas.

Enfim, para evitar ataques desse tipo, é preciso ser criterioso ao abrir anexos ou clicar em links. Assim, é possível combater a engenharia social.

Se você deseja saber mais questões sobre cibersegurança, acesse a lista de treinamentos disponibilizados pela Academia de Forense Digital, que traz para você diversos cursos na área de segurança e computação forense.


Referências

Conheça nossos treinamentos

Investigação de Crimes Eletrônicos [Exclusivo para Agentes de Segurança Pública]

Cyber Kill Chain

Bootcamp de Avilla Forensics

ABNT ISO/27037

Fundamentos de Compliance

Fundamentos de GRC