O que é engenharia social?
Engenharia social é uma técnica de manipulação que explora erro humano para obter informações privadas, acesso ou objetos de valor. No contexto da segurança cibernética, a engenharia social é usada para enganar indivíduos a divulgar informações confidenciais ou pessoais que podem ser usadas para fins fraudulentos. Ao contrário do hacking tradicional, que depende de vulnerabilidades técnicas, a engenharia social depende da psicologia humana e da confiança inerente que depositamos nos outros.
Tipos comuns de ataques de engenharia social
1. Phishing
Phishing é uma das formas mais prevalentes de engenharia social. Os invasores enviam e-mails ou mensagens fraudulentas que parecem vir de uma fonte confiável, como um banco, um serviço popular ou até mesmo um amigo. Essas mensagens geralmente contêm um senso de urgência, solicitando que você clique em um link ou baixe um anexo, levando ao comprometimento de informações pessoais.
- Exemplo: Um e-mail que parece ser do seu banco, solicitando que você verifique as informações da sua conta clicando em um link que o leva a um site falso.
2. Pretexto
No pretexting, um invasor cria um cenário fabricado para obter informações. Eles geralmente se passam por alguém em autoridade ou alguém que tem o direito de acessar certas informações. Esse método é comumente usado para roubar dados confidenciais, como números de previdência social, detalhes bancários ou outras informações pessoais.
- Exemplo: Um chamador fingindo ser do departamento de TI pedindo suas credenciais de login para “consertar” um problema com sua conta.
3. Isca
Baiting envolve oferecer algo atraente para atrair as vítimas para uma armadilha. A “isca” pode ser qualquer coisa, desde downloads gratuitos de música até drives USB deixados em locais públicos. Quando a vítima morde a isca, um malware é instalado em seu dispositivo, dando acesso ao invasor.
- Exemplo: Um drive USB rotulado como “Confidencial” deixado em um local público. Quando conectado a um computador, ele instala software malicioso.
4. Quid Pro Quo
Ataques quid pro quo envolvem uma promessa de benefício em troca de informações. Os invasores geralmente se passam por pessoal de suporte técnico oferecendo ajuda com um problema, mas em troca, eles pedem credenciais de login ou outras informações confidenciais.
- Exemplo: Um interlocutor se oferecendo para consertar o problema do seu computador em troca dos seus dados de login.
5. Utilização não autorizada
Tailgating, ou piggybacking, ocorre quando uma pessoa não autorizada segue uma pessoa autorizada para uma área restrita. Esse tipo de ataque depende da tendência humana de segurar portas abertas para outros ou permitir que outros os sigam por pontos de acesso seguros.
- Exemplo:Um agressor segue um funcionário até um prédio seguro fingindo estar com pressa e pedindo para o funcionário segurar a porta.
Medidas preventivas
1. Seja cético em relação a solicitações não solicitadas
Esteja sempre atento a comunicações não solicitadas, especialmente aquelas que pedem informações pessoais ou credenciais. Verifique a identidade do solicitante por meio de canais oficiais antes de fornecer qualquer informação.
2. Eduque a si mesmo e aos outros
A conscientização é a primeira linha de defesa contra a engenharia social. Eduque a si mesmo e aqueles ao seu redor sobre os tipos comuns de ataques de engenharia social e como reconhecê-los.
3. Verifique as fontes
Antes de clicar em links ou baixar anexos, verifique a fonte. Passe o mouse sobre os links para ver a URL real e tenha cuidado com e-mails que criam uma sensação de urgência.
4. Implementar políticas de segurança fortes
As organizações devem implementar e aplicar políticas de segurança fortes. Isso inclui sessões regulares de treinamento, controles de acesso rigorosos e procedimentos claros para verificar a identidade de indivíduos que solicitam informações confidenciais.
5. Use autenticação de dois fatores (2FA)
A autenticação de dois fatores adiciona uma camada extra de segurança ao exigir uma segunda forma de verificação além da sua senha. Mesmo que suas credenciais sejam comprometidas, a 2FA pode impedir acesso não autorizado.
6. Relatar atividades suspeitas
Se você encontrar comunicações suspeitas ou acreditar que foi alvo de um ataque de engenharia social, denuncie imediatamente ao seu departamento de TI ou às autoridades competentes.
Respondendo a um ataque de engenharia social
1. Reconheça os sinais
Entender as táticas comuns usadas na engenharia social pode ajudar você a reconhecer quando um ataque está ocorrendo. Fique atento a solicitações não solicitadas de informações, ofertas que parecem boas demais para ser verdade e comunicações que criam um senso de urgência.
2. Não forneça informações
Se você suspeitar que está sendo alvo de um ataque de engenharia social, não forneça nenhuma informação. Em vez disso, desligue o telefone, apague o e-mail ou saia da conversa.
3. Verifique as solicitações por meio de canais oficiais
Se você receber uma solicitação de informação que pareça legítima, verifique-a por meio de canais oficiais. Entre em contato com a organização diretamente usando um método conhecido e confiável em vez de usar informações de contato fornecidas na comunicação suspeita.
4. Alterar credenciais comprometidas
Se você forneceu informações confidenciais durante um ataque de engenharia social, altere imediatamente suas credenciais para quaisquer contas afetadas. Use senhas únicas e fortes para cada conta.
5. Reportar o Incidente
Relate o incidente ao departamento de TI da sua organização ou às autoridades apropriadas. Forneça o máximo de informações possível sobre o ataque, incluindo a natureza da comunicação e quaisquer detalhes que você forneceu.
Conclusão
Ataques de engenharia social exploram a psicologia humana e a confiança para obter acesso a informações confidenciais. Ao entender os tipos comuns de engenharia social, educar a si mesmo e aos outros e implementar medidas preventivas, você pode proteger a si mesmo e suas informações dessas táticas manipuladoras. Fique vigilante, verifique as fontes e denuncie atividades suspeitas para garantir sua segurança no mundo digital.
