Conteúdo relevante e atual para MSP’s

Logo Datasafer

| Blog

O que é engenharia social? Entenda as técnicas e como evitar

A engenharia social é um tipo de golpe que não tem como foco as vulnerabilidades de hardwares e sistemas, mas sim os usuários que estão por trás deles. 

São ações criminosas, que podem causar uma série de danos e prejuízos a indivíduos e corporações. Por isso, preparamos este conteúdo explicando o que é engenharia social e separamos dicas para te ajudar a se proteger. Confira a seguir!


Engenharia social: o que é?

Engenharia social é uma técnica utilizada por criminosos para estimular usuários a entregar dados pessoais e informações confidenciais, abrir links maliciosos e infectar seus dispositivos com malwares

Nesse tipo de ataque cibernético, a principal arma dos hackers é a persuasão, já que os indivíduos são levados pela confiança de que estão realmente lidando com uma instituição ou falando com alguém conhecido.

hacker aplicando técnicas de engenharia social
A engenharia social é caracterizada pela exploração de erros humanos para conseguir dados pessoais.

Mesmo nos casos nos quais não há interação direta com o usuário, ciberataques são considerados como de engenharia social quando há abuso em relação à ingenuidade, exploração emocional e dissuasão de indivíduos para fazê-los cometer erros e se expor.

Os gatilhos podem ser vários, desde manipulação psicológica até anúncios superatrativos. Normalmente, os golpes buscam explorar a falta de conhecimento de usuários, por isso, muitos deles visam usuários mais vulneráveis nesse aspecto, como as pessoas idosas.

Como funciona

Como dito anteriormente, as táticas de engenharia social são muitas. De modo geral, essas técnicas são utilizadas em quase todos os golpes aplicados no ambiente digital ou que visam induzir pessoas ao erro para conseguir dados. 

Isso porque o apelo emocional é muito difundido em comunicações que visam captar a atenção do usuário e elas acabam tendo um resultado efetivo, já que os indivíduos tendem a agir sem pensar em situações nas quais estão com sentimentos, como a angústia, aflorados.

A metodologia já citada de se passar por alguém conhecido, como um amigo ou parente, e instituições, como o banco ou o governo, muito presente nos ataques cibernéticos, é uma tática de engenharia social. 

Mensagens e comunicações de hackers se passando por pessoas conhecidas são exemplos de ataques de engenharia social.

Outras técnicas mencionadas, que são importantes para o funcionamento e efetividade desse tipo de crime, são promessas milagrosas, premiações falsas e oportunidades irrecusáveis, como preços de produtos muito abaixo do mercado, que visam também gerar uma ação sem grande reflexão nos indivíduos. 

Além das que buscam gerar erros humanos ao utilizar dispositivos no contexto digital, as práticas presenciais de engenharia social são muito relevantes. Há, por exemplo, criminosos que se passam por funcionários de empresas e tentam entrar em ambientes controlados para conseguir informações confidenciais ou solicitar demandas financeiras urgentes. 

Outra possibilidade é a bisbilhotagem em lugares públicos, como praças de alimentação e espaços de descanso, de colaboradores de corporações das quais se quer obter dados. Caso tenham êxito em conseguir informações, como nomes ou credenciais, a partir da observação, os criminosos podem partir para técnicas mais elaboradas. 

É importante lembrar que vazamentos de dados são um aspecto muito importante para essas investidas. Informações sobre usuários ou empresas roubadas e disponibilizadas na internet ajudam os criminosos a elevar o nível de confiabilidade de suas comunicações e abordagens.

Tipos de engenharia social

Como pôde-se observar, a engenharia social envolve diversas técnicas e tentativas de dissuadir indivíduos para tirar proveito de informações as quais os criminosos não deveriam ter acesso. Confira a seguir alguns de seus tipos:

Phishing

Ataques de phishing podem ser realizados de formas distintas, mas têm em comum o intuito de “fisgar” usuários para conquistar suas informações confidenciais ou dados pessoais.

ilustração de hacker fisgando dados no computador
O phishing é um tipo de ataque no qual o criminoso tenta fisgar a vítima de várias formas.

Golpes desse tipo podem ser enviados por e-mail, fingindo ser uma instituição bancária, por exemplo. Eles ocorrem com links falsos que, quando clicados, contam com formulários solicitando informações. Além disso, podem ser realizados por telefone, nomeados de vishing, e também por SMS, chamados de smishing.

Baiting

O baiting é uma tática que busca atrair vítimas por conta da curiosidade. O criminoso deixa um dispositivo, geralmente um pendrive, com um malware em um lugar público e espera que alguém conecte-o a um computador. Após a conexão, o dispositivo é infectado, e o criminoso tem acesso ao sistema e arquivos pessoais da vítima.

Quid pro quo

Quid pro quo é uma expressão em latim que significa “uma coisa por outra” em português. Essa estratégia de engenharia social solicita informações para os usuários oferecendo soluções para problemas ou, então, brindes

Geralmente são aplicados em indivíduos que estão precisando de algum tipo de suporte técnico, solicitando dados que permitem ao criminoso ter acesso a dispositivos, ou, então, são ofertados prêmios falsos em troca de informações pessoais e/ou credenciais.

Cultivo

A tática de engenharia social de cultivo consiste em uma aproximação do criminoso com a vítima para fazer com que ela forneça seus dados. O golpista pode se fingir apaixonado, por exemplo, e induzir a outra pessoa a entregar suas informações por conta da emoção.

ilustração de mulher preocupada com ataque phishing
As táticas de cultivo focam em estabelecer uma relação com a vítima para conseguir seus dados.

Pretexto

Essa técnica visa tornar a vítima mais vulnerável ao fornecimento de informações. Nela, uma mentira é criada pelo criminoso, muitas vezes com base em pesquisas prévias sobre o indivíduo, envolvendo seus dados ou, então, temáticas que causem sua comoção, deixando-o mais suscetível ao golpe.

Spamming

A tática de spamming consiste no envio de mensagens por e-mails ou aplicativos de mensagens hackeados para vários destinatários da lista de contatos do indivíduo que teve o acesso violado. 

Os criminosos se passam por essa pessoa e iniciam conversas pedindo informações ou dinheiro para familiares e amigos. Outra possibilidade é o encaminhamento de links maliciosos ou arquivos para esses indivíduos, a fim de infectar seus dispositivos. 

Worms

O envio de worms é uma artimanha de engenharia social que também merece ser mencionada, já que causou grandes prejuízos na primeira década de 2000 e ainda ocorre em aplicativos de mensagens. 

Normalmente, esse tipo de malware é enviado em conjunto com uma mensagem instigante, como uma declaração de amor ou uma comunicação falsa do servidor.

Quando acionados pelo clique, os worms têm capacidade de se multiplicar, sendo enviados para toda a lista de contatos do e-mail ou aplicativo. Com isso, eles causam a sobrecarga desses serviços.

ilustração hacker
Os vários tipos de engenharia social mostram como os hackers estão sempre criando novas técnicas para enganar usuários.

Como se proteger

A engenharia social conta com táticas sofisticadas, com foco na desatenção ou descuido dos usuários para conseguir efetivar seus objetivos. Por isso, conferir sempre a fonte das comunicações recebidas é um ponto muito importante para evitar cair em golpes do tipo. 

Isso porque muitas vezes os criminosos conseguem montar e-mails, mensagens e até ligações realmente semelhantes aos autênticos, mas observando o remetente e outros pequenos detalhes, como erros gramaticais ou falta de coesão, é possível descobrir que não se trata de uma comunicação verdadeira. 

No caso de telefonemas, é válido sempre desligar se estiver desconfiado de um golpe e retornar em um número oficial da instituição ou pessoa, de preferência de outro telefone para evitar interceptações da ligação. 

Outro ponto relevante para se proteger dos ataques de engenharia social é não agir sem reflexão. A maioria das táticas desse golpe trabalha com um senso de urgência e visa gerar uma ação imediata da vítima. Por isso, conseguir manter a calma e ponderar a respeito do teor e da veracidade do contato é fundamental. 

Desconfiar de ofertas muito tentadoras e de premiações que surgem “do nada” também é uma maneira de evitar esse tipo de armadilha. Refletir se a situação faz realmente sentido ou se uma promoção é de fato viável é um bom norte para perceber se está caindo em um golpe ou não.

Se manter desconfiado frente a oportunidades muito tentadoras é um modo de evitar cair em fraudes de engenharia social.

Contar com soluções de segurança em dispositivos e mantê-las sempre atualizadas, como o antivírus, é outra maneira de adicionar camadas de proteção contra esse tipo de ataque. Ativar recursos nativos de ferramentas, como a autenticação de dois fatores, também é um modo de garantir menos vulnerabilidade.  

Manter cópias de backup de dados que podem comprometer a continuidade do negócio se não estiverem disponíveis e implementar uma cultura de proteção das informações são ainda modos de corporações diminuírem as chances de serem prejudicadas por essas investidas. 

A engenharia social compreende inúmeras táticas de convencimento e persuasão de usuários para conquistar dados. Conhecer essas técnicas e saber como elas funcionam é fundamental para evitá-las. 

Se você se interessa pelas temáticas de proteção de dados e segurança da informação, conheça mais sobre as soluções da Datasafer acessando o link.