Como evitar cair em golpes de engenharia social?

• outubro 27, 2021
• Ricardo Aguilar
• Artigo
• Sem comentários

Por Eduardo Santana*

“A Engenharia Social usa a influência, a persuasão e a manipulação para enganar as pessoas e convencê-las de que o engenheiro social é alguém que na verdade não é. Como resultado, o engenheiro social pode aproveitar-se das pessoas para obter as informações com ou sem o uso da tecnologia.” – Referência: Livro A Arte de Enganar – Ataques de Hackers: Controlando o Fator Humano na Segurança da Informação do Kevin D. Mitnick

Diferente de outros cibercriminosos que exploram vulnerabilidades em sistemas, o Engenheiro Social se aproveita da falta de conscientização dos usuários sobre segurança da informação e principalmente, se aproveitam do fator humano, manipulando e enganando as suas vítimas para conseguir obter informações sigilosas.

Devemos sempre lembrar que pessoas tem sentimentos, traços comportamentais e psicológicos parecidos, o que faz com todos os usuários estejam vulneráveis a esse tipo de ataque. O engenheiro social consegue explorar a confiança das pessoas, fazendo com que os usuários façam coisas que normalmente não fariam para um estranho.

Podemos destacar algumas características humanas, exploradas por eles:

Vale ressaltar, que o Engenheiro Social também utiliza de malwares, mas o meio explorado – a porta de entrada – é o usuário. Por exemplo o Phishing, seja ele por voz (Vishing) ou por mensagem de texto (Smishing) e alinhamos a isso as características humanas citadas anteriormente. Imagine um e-mail bem elaborado, se passando por uma promoção (Black Friday – por exemplo), com ótimos descontos em produtos. Consegue imaginar a quantidade de pessoas que clicariam nos links contidos neste e-mail? Por que elas clicariam? Tirando o fato delas não terem participado de palestras de conscientização, elas clicariam, pois, são CURIOSAS, VAIDOSAS.

Imagine agora um e-mail se passando pelo RH da empresa, enviado a um colaborador PREGUIÇOSO, onde ele deveria ler algumas Políticas do RH e clicar em um link para dar a ciência que ele leu e compreendeu as Políticas do RH, mas ele deixou para última hora, e agora está com MEDO pois vai perder o prazo de entrega do RH, mas é IMPACIENTE para ler… Acha mesmo que essa pessoa não iria clicar no link?

E sobre as pessoas que GOSTAM DE AJUDAR e são SIMPÁTICAS; uma conversa em um bar, ou na área do café da própria empresa, acabam falando mais do que deveriam. Obs: não estamos condenando essas pessoas, longe disso! Só estamos alertando da importância de treinamentos voltados a esses temas, para que elas não sejam vítimas. Continuem sendo simpáticas e colaborativas, mas blindadas com CONHECIMENTO. Esse é o objetivo aqui! =D

Lembre-se, uma pessoa que cai em golpe, não está “caindo sozinha”, toda a empresa pode ser prejudicada por um único descuido.

As formas mais comuns, de um Engenheiro Social agir, são:

• Se passam por um fornecedor (empresa parceira)
• Fingem ser um empregado novo que solicita ajuda
• Fingem ser alguém com autoridade
• Fingem ser um fabricante de sistemas que ligam para oferecer um patch ou uma atualização de sistema
• Enviam um vírus anexo por Correio Eletrônico (e-mail)
• Deixam um CD/Pendrive com software malicioso em algum lugar no local de trabalho
• Usam um jargão e terminologia interna para ganhar a confiança
• Surfam sobre os ombros (shoulder surfing), para obter informações
• Mergulham no lixo (dumpster diving) para obter informações que não foram devidamente destruídas corretamente

Como se proteger?

A verdade é que não existe uma tecnologia no mundo que evite o ataque de um Engenheiro Social. É importante Treinamentos de Conscientização sobre o Tema e Testes Regulares de Phishing contratados por empresas especialistas para ajudar.

NOTA: conte com a AuditSafe! Mas bem… algumas dicas, podemos fornecer para ajudar a te proteger, são elas:

Observe os seguintes SINAIS para saber se você está sendo uma vítima de engenharia social:

• Recusa em dar um número ou e-mail de retorno: O engenheiro social, não costuma lhe passar essas informações.
• Solicitação fora do comum: Nunca te pediram isso? Foge do seu dia a dia? Cuidado!
• Alegação de autoridade: “- Eu sou o auditor, preciso dessa informação!”, “- Sabe com quem você está falando?”
• Ênfase na urgência: “- Preciso disso pra ontem!”, “- A sua consulta travou o banco de dados, me passa seu usuário e senha para eu desbloquear, está todo mundo parado!”
• Ameaça de consequências negativas em caso de não atendimento: “- Ok, então vou procurar o seu chefe!”
• Mostra desconforto quando questionado: Importante que você questione, e veja a reação do solicitante.
• Nome falso: Já pesquisou o nome dessa pessoa no Catálogo de Endereços de E-mail? Pesquisou ela no LinkedIn? Perguntou para o seu supervisor se ele já ouviu falar sobre essa pessoa que está te solicitando essa informação?
• Elogios exagerados: “- Nossa, quando você entrou na empresa, melhorou 100% o processo.”, “- Você é o cara!”
• Flerte: “- ‘Tá’ bonita(o), cortou o cabelo?”, “- Roupa nova, ficou bem em você!”, “- Humm, ‘tá’ cheiroso(a).”

Precisamos lembrar do básico: antivírus atualizado, ativo e com varreduras periódicas, alinhado a uma solução de firewall, é o básico do básico, assim como as atualizações do sistema operacional.

A Engenharia Social não é utilizada apenas para roubar informações, mas também é utilizada em outros contextos, muitas vezes é usada involuntariamente até com nossos amigos e familiares, para que eles nos apoiem nas tarefas do dia a dia, mas o que difere, é que um criminoso utiliza Engenharia Social com o objetivo claro de aplicar um golpe.

Dica de leitura sobre engenharia social: A leitura do livro A Arte de Enganar – Ataques de Hackers: Controlando o Fator Humano na Segurança da Informação do Kevin D. Mitnick

Consulte a AuditSafe para obter mais informações, dicas, palestras, treinamentos e soluções de segurança para a sua empresa.

(*) Eduardo Santana é Consultor da AuditSafe especializado em Segurança Cibernética, Gestão de Riscos e Privacidade.