Como evitar cair em golpes de engenharia social?
Por Eduardo Santana*
“A Engenharia Social usa a influência, a persuasão e a manipulação para enganar as pessoas e convencê-las de que o engenheiro social é alguém que na verdade não é. Como resultado, o engenheiro social pode aproveitar-se das pessoas para obter as informações com ou sem o uso da tecnologia.” – Referência: Livro A Arte de Enganar – Ataques de Hackers: Controlando o Fator Humano na Segurança da Informação do Kevin D. Mitnick
Diferente de outros cibercriminosos que exploram vulnerabilidades em sistemas, o Engenheiro Social se aproveita da falta de conscientização dos usuários sobre segurança da informação e principalmente, se aproveitam do fator humano, manipulando e enganando as suas vítimas para conseguir obter informações sigilosas.
Devemos sempre lembrar que pessoas tem sentimentos, traços comportamentais e psicológicos parecidos, o que faz com todos os usuários estejam vulneráveis a esse tipo de ataque. O engenheiro social consegue explorar a confiança das pessoas, fazendo com que os usuários façam coisas que normalmente não fariam para um estranho.
Podemos destacar algumas características humanas, exploradas por eles:
Vale ressaltar, que o Engenheiro Social também utiliza de malwares, mas o meio explorado – a porta de entrada – é o usuário. Por exemplo o Phishing, seja ele por voz (Vishing) ou por mensagem de texto (Smishing) e alinhamos a isso as características humanas citadas anteriormente. Imagine um e-mail bem elaborado, se passando por uma promoção (Black Friday – por exemplo), com ótimos descontos em produtos. Consegue imaginar a quantidade de pessoas que clicariam nos links contidos neste e-mail? Por que elas clicariam? Tirando o fato delas não terem participado de palestras de conscientização, elas clicariam, pois, são CURIOSAS, VAIDOSAS.
Imagine agora um e-mail se passando pelo RH da empresa, enviado a um colaborador PREGUIÇOSO, onde ele deveria ler algumas Políticas do RH e clicar em um link para dar a ciência que ele leu e compreendeu as Políticas do RH, mas ele deixou para última hora, e agora está com MEDO pois vai perder o prazo de entrega do RH, mas é IMPACIENTE para ler… Acha mesmo que essa pessoa não iria clicar no link?
E sobre as pessoas que GOSTAM DE AJUDAR e são SIMPÁTICAS; uma conversa em um bar, ou na área do café da própria empresa, acabam falando mais do que deveriam. Obs: não estamos condenando essas pessoas, longe disso! Só estamos alertando da importância de treinamentos voltados a esses temas, para que elas não sejam vítimas. Continuem sendo simpáticas e colaborativas, mas blindadas com CONHECIMENTO. Esse é o objetivo aqui! =D
Lembre-se, uma pessoa que cai em golpe, não está “caindo sozinha”, toda a empresa pode ser prejudicada por um único descuido.
As formas mais comuns, de um Engenheiro Social agir, são:
- Se passam por um fornecedor (empresa parceira)
- Fingem ser um empregado novo que solicita ajuda
- Fingem ser alguém com autoridade
- Fingem ser um fabricante de sistemas que ligam para oferecer um patch ou uma atualização de sistema
- Enviam um vírus anexo por Correio Eletrônico (e-mail)
- Deixam um CD/Pendrive com software malicioso em algum lugar no local de trabalho
- Usam um jargão e terminologia interna para ganhar a confiança
- Surfam sobre os ombros (shoulder surfing), para obter informações
- Mergulham no lixo (dumpster diving) para obter informações que não foram devidamente destruídas corretamente
Como se proteger?
A verdade é que não existe uma tecnologia no mundo que evite o ataque de um Engenheiro Social. É importante Treinamentos de Conscientização sobre o Tema e Testes Regulares de Phishing contratados por empresas especialistas para ajudar.
NOTA: conte com a AuditSafe! Mas bem… algumas dicas, podemos fornecer para ajudar a te proteger, são elas:
Observe os seguintes SINAIS para saber se você está sendo uma vítima de engenharia social:
- Recusa em dar um número ou e-mail de retorno: O engenheiro social, não costuma lhe passar essas informações.
- Solicitação fora do comum: Nunca te pediram isso? Foge do seu dia a dia? Cuidado!
- Alegação de autoridade: “- Eu sou o auditor, preciso dessa informação!”, “- Sabe com quem você está falando?”
- Ênfase na urgência: “- Preciso disso pra ontem!”, “- A sua consulta travou o banco de dados, me passa seu usuário e senha para eu desbloquear, está todo mundo parado!”
- Ameaça de consequências negativas em caso de não atendimento: “- Ok, então vou procurar o seu chefe!”
- Mostra desconforto quando questionado: Importante que você questione, e veja a reação do solicitante.
- Nome falso: Já pesquisou o nome dessa pessoa no Catálogo de Endereços de E-mail? Pesquisou ela no LinkedIn? Perguntou para o seu supervisor se ele já ouviu falar sobre essa pessoa que está te solicitando essa informação?
- Elogios exagerados: “- Nossa, quando você entrou na empresa, melhorou 100% o processo.”, “- Você é o cara!”
- Flerte: “- ‘Tá’ bonita(o), cortou o cabelo?”, “- Roupa nova, ficou bem em você!”, “- Humm, ‘tá’ cheiroso(a).”
Precisamos lembrar do básico: antivírus atualizado, ativo e com varreduras periódicas, alinhado a uma solução de firewall, é o básico do básico, assim como as atualizações do sistema operacional.
A Engenharia Social não é utilizada apenas para roubar informações, mas também é utilizada em outros contextos, muitas vezes é usada involuntariamente até com nossos amigos e familiares, para que eles nos apoiem nas tarefas do dia a dia, mas o que difere, é que um criminoso utiliza Engenharia Social com o objetivo claro de aplicar um golpe.
Dica de leitura sobre engenharia social: A leitura do livro A Arte de Enganar – Ataques de Hackers: Controlando o Fator Humano na Segurança da Informação do Kevin D. Mitnick
Consulte a AuditSafe para obter mais informações, dicas, palestras, treinamentos e soluções de segurança para a sua empresa.
(*) Eduardo Santana é Consultor da AuditSafe especializado em Segurança Cibernética, Gestão de Riscos e Privacidade.
