Engenharia social é uma técnica utilizada por criminosos que se aproveitam da ingenuidade ou falta de conhecimento das pessoas. Assim, por meio da manipulação psicológica, o atacante consegue a cooperação da vítima para realizar golpes, seja para obter ganhos financeiros ou para acessar informações sigilosas.
Este termo, engenharia social, foi relacionado à Segurança da Informação nos anos 90 pelo programador e hacker estado-unidense, Kevin Mitnick. Há quase 30 anos existe conhecimento sobre esse assunto, porém, o número de usuários de equipamentos eletrônicos, computadores e celulares, que é vítima de golpes envolvendo engenharia social, ainda é muito grande. Um dos motivos é que o engenheiro social sabe como se aproveitar da falta de conhecimento de suas vítimas.
Como se proteger de ataques de engenharia social?
A melhor proteção contra o ataque de um engenheiro social é o conhecimento. Saber como o atacante age é o jeito mais eficaz de se proteger. Quando você entende os métodos utilizados, é mais fácil identificar esta situação e, então, agir para prevenir o ataque.
Tenha responsabilidade com seus dados pessoais
O primeiro passo é entender que dados pessoais são ativos que possuem valor e precisam de proteção. Você deixaria sua carteira com seus documentos e cartões nas mãos de um desconhecido? No ambiente online, temos que ter os mesmos cuidados com a segurança de nossos dados. Seu nome, CPF, endereço, telefone, e-mail, número do cartão e senha, são alguns exemplos de dados pessoais que devem ser protegidos. Por isso, pense muito bem antes de fornecer seus dados para uma pessoa ou empresa.
Um bom jeito de avaliar se você deve ou não fornecer um dado pessoal é se perguntar “para que esse indivíduo ou organização precisa dessa informação a meu respeito?”. Por exemplo, para participar de um sorteio online em uma rede social e receber um produto, será que você precisa enviar seu CPF, telefone e endereço de e-mail ou apenas o nome de usuário dessa rede social já não seria suficiente?
Outro ponto é estar atento aos benefícios oferecidos em sorteios e promoções. Uma maneira fácil de incentivar o usuário a fornecer seus dados pessoais é oferecer uma recompensa muito atrativa. Então fique atento, se a oferta parece boa demais, desconfie.
Cuidado com o que você divulga nas redes sociais. Muitos usuários disponibilizam nas redes informações pessoais sobre eles, sua família, seu trabalho e seu estilo de vida. Assim, pessoas mal-intencionadas utilizam essas informações para conhecer melhor a vítima e traçar um perfil detalhado sobre ela.
Atenção a e-mails, mensagens e ligações falsas
Uma das técnicas utilizadas por criminosos online é o scareware ou fraudware. Este método é chamado assim, pois cria uma ameaça inexistente e faz com que a vítima, assustada, aja de forma precipitada. Este golpe utiliza banners, mensagens com avisos, e-mail e SMS informando, por exemplo, que o sistema do aparelho da vítima foi infectado e um antivírus precisa ser executado imediatamente. Se o usuário não souber como funciona um antivírus, há grande chance de cair no golpe, clicar no link da mensagem e instalar um programa malicioso que, de fato, infectará seu aparelho.
Outra técnica muito comum que faz uso de e-mails e mensagens falsas é o phishing. O atacante envia e-mail ou SMS falso para enganar as vítimas com uma mensagem convincente fingindo ser de uma instituição financeira ou prestadora de serviço. De maneira geral, a mensagem tenta convencer o usuário de passar alguma informação referente a sua conta bancária, senha do cartão ou transferir dinheiro ao criminoso.
Outra forma de um engenheiro social agir é por meio de ligações telefônicas. Um golpe que tem sido muito recorrente atualmente, é o atacante se identificar como funcionário do Ministério da Saúde que precisa realizar uma pesquisa sobre a Covid-19. Identificar-se como uma autoridade dá credibilidade ao atacante e deixa a vítima mais propensa a realizar a pesquisa e fornecer informações.
Assim, o atacante faz várias perguntas sem levantar suspeitas e, ao final, diz que para validar a pesquisa é necessário que a vítima passe um código enviado por SMS. Na realidade, este código é o código de segurança que dá acesso ao whatsapp da vítima. Se a pessoa, ingenuamente, fornece este número, ela libera o seu whatsapp ao atacante que terá acesso a todas as mensagens e, inclusive, poderá se passar pela vítima para aplicar golpes financeiros a seus contatos.
Uma medida para se prevenir desse tipo de ataque é optar pela verificação em duas etapas dos aplicativos. Com isso, além de ser necessário o código do SMS, também é preciso fornecer uma senha, dificultando o acesso de terceiros a seus aplicativos.
Ao receber uma ligação, certifique-se que você está falando com a pessoa correta. O engenheiro social recorre a técnicas de convencimento baseadas na prestação de auxílio, intimidação ou despertando a curiosidade da vítima. Portanto, tenha certeza de que você está falando com a pessoa certa, antes de fornecer qualquer tipo de informação. Além do mais, preste atenção ao tipo de informação que lhe é solicitada. Senhas são pessoais e servem para proteger a informação, por isso, nunca devem ser informadas a terceiros.
No ambiente de trabalho
Engenheiros sociais também aplicam golpes a empresas para obter informações sigilosas sobre os negócios ou instalar programas maliciosos que irão comprometer as operações.
Como esse tipo de golpe se beneficia da ingenuidade da vítima, é muito importante que os colaboradores da empresa tenham conhecimento e estejam atentos a possíveis ataques. Afinal, o criminoso só terá sucesso se o colaborador, a vítima, cooperar. Por isso, além de uma boa Política de Segurança da Informação, a organização deve implantar medidas preventivas como, manter os sistemas e antivírus atualizados, conscientizar e treinar os seus funcionários sobre possíveis ameaças à informação.
Fique atento
Informação é um bem muito precioso, tanto para as organizações como para as pessoas, portanto, não deve ser negligenciada. O engenheiro social sabe muito bem como agir para enganar e obter o que deseja de suas vítimas. Portanto, ter conhecimento sobre este tipo de ataque e estar atento a forma como você divulga as informações, sejam pessoais ou do negócio, são a melhor forma de prevenção.
Para as empresas, é importante garantir que todos os colaboradores estejam conscientes de sua responsabilidade e saibam como agir caso percebem algum problema. Por isso, treinar os funcionários sobre segurança da informação é fundamental e deve fazer parte da rotina de trabalho.
Caso, tenha interesse de saber mais sobre este assunto, você pode entrar em contato conosco. Um dos treinamentos corporativos desenvolvidos pela Total Privacy, introdução à Segurança da Informação, aborda o tema engenharia social e facilita o entendimento sobre Segurança da Informação para profissionais que não possuem conhecimento sobre o assunto. Envie um e-mail para contato@totalprivacy.com.br e um de nossos consultores, entrará em contato.
Andressa Segantini
Consultora de Privacidade e Proteção de Dados Pessoais