Falamos muito sobre as ameaças cibernéticas, que através de brechas buscam as vulnerabilidades dos sistemas para invadir as redes e roubar os dados dos usuários. E se te contarmos que além das falhas virtuais, precisamos também nos preocupar com as falhas humanas que podem acontecer e causar grandes problemas, comprometendo informações importantes? Pois bem, é isso que a engenharia social tenta causar.
O termo Engenharia Social aparece com frequência quando o assunto é proteção de dados e combate a fraudes, por ser uma habilidade bastante utilizada por cibercriminosos e fraudadores. É um conjunto de técnicas que envolvem persuasão e manipulação psicológicas, utilizadas por engenheiros sociais, que tem como objetivo induzir o usuário a enviar dados e informações sigilosas, além de infectar seus computadores com malware ou abrir links para sites infectados.
Durante todo esse artigo vamos te mostrar como a engenharia social funciona, seus impactos na segurança da informação, principais ataques e como se proteger.
O que é Engenharia Social?
A engenharia social não está baseada somente no uso da tecnologia. Mas sim em explorar o ponto mais fraco e vulnerável da cadeia de segurança: o ser humano. Através de um conjunto de técnicas psicológicas utilizadas por crackers e organizações criminosas para enganar e induzir a vítima.
Autoconfiança, facilidade de comunicação, aptidão profissional e grande capacidade de persuasão são características de um engenheiro social.
O uso tradicional da engenharia social é a conversa. Através dela é possível obter dados, informações privadas ou até mesmo acessos a locais restritos. Um exemplo de casos mais conhecidos são de ligações, onde o criminoso finge ser da área de TI e pede diversas informações para uma auditoria.
Embora desde sua origem tenha sido utilizada para fins negativos, as técnicas de Engenharia Social podem e já são incorporadas em muitas situações benéficas.
Quem é e como atua o engenheiro social?
O engenheiro social é uma pessoa que possui como perfil uma boa comunicação, com poucas resistências. Além de ser simpático e ter um bom domínio sobre técnicas de persuasão e inteligência analítica para estudar a vítima alvo com precisão. Muitas vezes não é um profissional formado ou com especialização em engenharia exata como se pensa. Mas sim uma pessoa capacitada que apresenta habilidades e conhecimentos que o qualificam para praticar a engenharia social.
O engenheiro social através da sua habilidade faz com que a vítima acabe quebrando procedimentos e normas de segurança, através de ligações, e-mails, sites ou até mesmo fazendo o contato pessoalmente. Enviam centenas de mensagens e spams diariamente com o intuito de encontrar usuários inexperientes, um alvo fácil, que possam virar vítimas do ataque fraudulento. As vítimas em sua maioria apresentam uma padrão de características de comportamento, que são observadas pelo engenheiro social, o suficiente e necessário para que ele atue com suas técnicas e coloque em prática o plano de ataque.
Hacker e Cracker qual a diferença?
Cracker e Hacker palavras bem parecidas, mas com um significado completamente diferente uma da outra. São vistos como o lado bom e mau da força tecnológica.
Hacker: O termo ficou conhecido em meados de 1960. Diferente do que muitos pensam, o hacker é o responsável por elaborar e modificar softwares e hardwares de dispositivos, desenvolvendo funcionalidades novas ou adaptando antigas de forma legal, sem a intenção de prejudicar terceiros.
Cracker: O cracker usa seu conhecimento de forma ilegal, praticando a quebra ou cracking de um sistema de segurança, burlando a segurança eletrônica para obter vantagens e prejudicar pessoas ou empresas, por essa razão são vistos como criminosos. O termo cracker apareceu pela primeira vez na mídia em 1985 e foi criado por hackers para se defenderem.
Há quem acredite que um hacker por ser habilidoso pode fazer a mesma coisa que um cracker.
Engenharia Social na Segurança da Informação
A Engenharia Social na Segurança da Informação tem como finalidade a persuasão, onde através da argumentação o engenheiro social com habilidade, recorre a meios emocionais e convence a vítima a realizar algum tipo de atividade por vontade própria da ação desejada.
A protagonista da engenharia social é a persuasão, pois tem relação direta com a habilidade do criminoso, a de persuadir.
É comum confundir persuasão com manipulação, mas é importante deixar claro que o ato de persuadir ocorre somente quando é preciso entender o que é necessário para convencer a vítima a fazer algo, diferente da manipulação que utiliza técnicas psicológicas diferentes e que tem como objetivo a mudança de comportamento da vítima.
Uma outra habilidade é o convencimento, embora semelhante às citadas acima, este visa convencer a vítima a mudar de idéia, porém não faz com que a pessoa acredite que aquilo que esteja fazendo faz parte da sua própria vontade, apenas a persuasão é capaz de fazer com que a vítima faça uma ação involuntária.
Como funciona o ciclo da Engenharia Social na Segurança da Informação?
Primeiro, o engenheiro social estuda a vítima e faz toda uma investigação para obter as informações essenciais para o ataque, como por exemplo, pontos fracos e protocolos de segurança, necessárias para iniciar a prática.
O segundo passo é conquistar a confiança da vítima e fornecer os estímulos para ações seguintes que violam as práticas de segurança, como informar dados sigilosos, por exemplo.
Os ataques de engenharia social respeitam um ciclo, que pode acontecer com uma ou mais etapas. Geralmente se inicia na coleta de informações, passa para o planejamento de ataque, em seguida obtém as ferramentas necessárias para o ataque e utiliza as informações coletadas em sua investigação sobre a vítima para chegar mais perto de uma situação verídica.
É importante lembrar que um ataque de engenharia social é baseado no erro humano e funciona através da tentativa e erro, e não se baseia em brechas de vulnerabilidade de sistemas operacionais. Desse modo faz com que a engenharia social esteja entre os maiores riscos cibernéticos da atualidade, por não envolver questões técnicas que possam ser reconhecidas por um sistema de segurança tradicional.
Sentimentos explorados pela Engenharia Social
Sabemos que o ser humano e suas falhas são o ponto fraco para a engenharia social acontecer, e isso se dá por ela explorar sentimentos, ativando gatilhos emocionais que vulnerabilizam a vítima.
Muitas vezes a vítima até se dá conta que a comunicação é suspeita, porém pode acontecer de ser tarde demais e o criminoso já ter obtido os dados e informações necessárias para tentar o ataque.
Os 4 sentimentos explorados:
Curiosidade: a grande maioria dos ataques de engenharia social se inicia explorando a curiosidade da vítima. Como por exemplo, uma oferta de um produto que a vítima queria muito comprar. Com isso a vítima curiosa para saber o preço, adquirir o tão sonhado produto e saber mais sobre essa oferta, vai seguir as instruções, podendo clicar no link malicioso ou até mesmo preencher um formulário;
Vaidade: a vaidade é utilizada na engenharia social para seduzir a vítima através do consumo. Afinal, status é algo que atrai qualquer pessoa, como por exemplo, aquele modelo recente de TV, ou aquele carro super confortável, ou até mesmo um aparelho de celular. O luxo é uma característica que envolve a vaidade da vítima. E é nessa fragilidade que o engenheiro social vai atuar sobre a vítima, oferecendo por exemplo, uma oferta de empréstimo onde os juros são baixíssimos e tem pré-aprovado um valor consideravelmente bom e vantajoso para a vítima;
Ansiedade: a ansiedade vem sendo um dos maiores fantasmas da sociedade e com isso das empresas também e adivinha quem se aproveita desse fato? Sim, a engenharia social. A sensação de urgência faz com que a ansiedade da vítima que é surpreendida na pressa do momento em resolver certa situação, se torne aliada do engenheiro social que está colocando em prática as suas habilidades. Dessa forma, a vítima não terá tempo de criar suspeitas sobre o que está acontecendo;
Preguiça: o ser humano ama uma praticidade, então pode ter certeza que tem atalho para tudo em seu dispositivo, tudo para ganhar tempo. Como salvar senhas automaticamente para não ter que digitá-las quando precisar logar, e com esses tipos de atalhos práticos que as vulnerabilidades da vítima são exploradas.
Tipos de ataques mais usados na Engenharia Social
Existem alguns tipos principais de ataques usados na engenharia social, e é preciso estar atento quais são.
Baiting:
O cracker usa como arma uma promessa que desperta o interesse e a curiosidade da vítima, a fim de atraí-las e prendê-las, roubando as informações pessoais sem esforços, além de deixá-las expostas a malwares;
Quid Pro Quo:
O cracker se passa por um indivíduo que procura ajudar a vítima com determinado problema em seu dispositivo. Com o login e senha, o cracker assumirá o controle total do dispositivo, roubando as informações da vítima e deixando o dispositivo cheio de vírus;
Phishing:
Presente desde sempre em ataques cibercriminosos. Sua finalidade é roubar dados como contas e senhas de bancos. O criminoso se passa por empresas confiáveis e chega até copiar o layout do e-mail, dessa forma é importante checar sempre o remetente, afinal as empresas possuem credenciais específicas. Um colaborador não orientado corretamente, pode ser um alvo fácil dessa prática. Ocorre geralmente através de links de e-mails falsos, mensagens instantâneas e até mesmo por uma ligação de telefone;
Vishing:
É a versão de voz do Phishing (que usa de comunicações fraudulentas). Ao invés de usar e-mail ou mensagens de textos, o golpista usa o telefone para enganar a vítima e roubar as informações;
Scareware:
Conhecido como software de fraude ou software de varredura. Nesse ataque a vítima recebe alarmes e ameaças falsas feitas para parecer que o sistema de um usuário foi infectado por um malware. Isso faz com que a vítima instale o software para resolver o problema. Scareware podem aparecer também como banners ou pop-ups quando determinado site é acessado e aparece a mensagem de que o dispositivo foi infectado por programas maliciosos e deve ser feita a instalação de uma ferramenta para limpar o dispositivo;
Isca:
Aqui o engenheiro se aproveita do sentimento de curiosidade do seu alvo. Utilizando uma tática de armadilha, a vítima acaba colocando em seu computador um pendrive infectado com algum tipo de malware, resultando no comprometimento do dispositivo. Às vezes os dados nem são roubados, mas acaba comprometendo todo o sistema e danificando a máquina;
Pretesting:
Alguns engenheiros sociais contam uma história na tentativa de prender a atenção da vítima. Se passam por pessoas ou associações (ONGs) e contam a história mais convincente e comovente que se pode ouvir. A vítima por sua vez se compadece para ajudar e acaba clicando no link falso ou baixando arquivos maliciosos em seu dispositivo. Assim, suas informações ficarão expostas e serão roubadas posteriormente. É quase a mesma ideia do phishing;
Spear Phishing:
Foca em empresas e colaboradores específicos, onde o criminoso se passa por algum executivo ou membro da empresa (caso ela seja grande) com o objetivo de obter informações específicas e sensíveis. O spear phishing é uma versão do phishing, só que mais direcionada e pode levar semanas e até meses para ter êxito;
Presencial:
Os ataques da engenharia social não acontecem apenas no ambiente virtual, são comuns em ambientes físicos também. E podem ocorrer através de criminosos que passam por empresas informando que precisam entrar em sua casa para realizar um serviço que está acontecendo no bairro. Ou até mesmo se passam por autoridades informando que estão fazendo buscas na região atrás de uma determinada pessoa fazendo a limpa na casa da vítima.
Como proteger sua empresa da Engenharia Social?
É um pouco complicado se defender da engenharia social. Uma vez que ela explora a vulnerabilidade e falha humana e não utiliza tanto dos sistemas operacionais da empresa.
Existem algumas práticas e procedimentos necessariamente importantes. Como, por exemplo, checar a veracidade das informações que podem ajudar a vítima a identificar e se prevenir dessas tentativas de ataques fraudulentos.
Confira a Fonte:
Se receber um e-mail de uma determinada empresa, é de extrema importância checar quem enviou. Um pendrive apareceu em seu local de trabalho, não o conecte diretamente em seu dispositivo, busque internamente quem o deixou ali e para qual finalidade. Fique atento a pequenos erros ortográficos em uma suposta comunicação de uma instituição (bancos, ONGs, órgãos governamentais). E mesmo se não achar erros, mas estiver desconfiado, ligue para checar a veracidade da informação. Esses pequenos detalhes fazem toda a diferença e poupa a empresa de um estresse futuro;
Respire, Pense e Mantenha a Calma:
Muitas vezes a engenharia social utiliza o senso de urgência e coloca a vítima em pânico para que resolva tudo emocionalmente. Quando se respira, pensa e mantém a calma, ao invés de ficar em desespero, o criminoso fica em desvantagem. Afinal o que o criminoso menos quer é que você pense, e isso faz com que a ação fraudulenta perca a força e quebra todo objetivo do criminoso;
Atente-se para quais informações eles têm sobre você:
Se porventura você receber um telefone e esse telefone se iniciar com a atendente fazendo perguntas como qual seu CPF, nome da mãe, RG, ou qualquer outro dado pessoal ao invés de fazer as perguntas de segurança, desconfie imediatamente. Quase certeza que se trata de um golpe. Fique de olho nos detalhes, eles são importantes para que você e sua empresa não sejam vítimas da engenharia social;
Proteja seu Dispositivo:
Se proteger de ataques na engenharia social é complicado. Mas se o seu dispositivo estiver com antivírus e com todas as atualizações de software e segurança atualizadas, caso você caia em um golpe, o impacto do ataque pode ser menor. Vale lembrar que é importante usar senhas diferentes para o acesso das contas que você utiliza, além de alterar a senha de tempos em tempos e usar a autenticação de dois fatores. Dessa forma, caso um vazamento de dados aconteça, menos informações serão vazadas;
Utilize Filtro de Spam:
Confira se o seu e-mail possui bom filtro de spam. Esses filtros utilizam alguns tipos de informações para determinar quais mensagens podem ser ou não maliciosas. Os filtros contam também com um banco de dados que permite a identificação de links ou anexos suspeitos. Além disso, possuem uma lista de IP de remetentes suspeitos, que são automaticamente bloqueados ao chegar em sua caixa de entrada do e-mail.
Vale lembrar que a engenharia social usa dos sentimentos das vítimas. Então, oriente seu colaborador sobre esses pequenos detalhes e prática da segurança da informação que fazem toda a diferença no dia a dia.
Sabe aquela frase “menos é mais”? Então ela faz total jus aqui, evite divulgar informações da empresa, mesmo que elas pareçam não ser tão sigilosas. Caso não consiga identificar o remetente ou interlocutor, fique atento ainda mais sobre a procedência das informações.
Lembre-se sempre de não criar engajamento com e-mails e ligações desconhecidas. Não clicar em links ou navegar em sites que desperte suspeitas, em hipótese alguma baixe ou abra anexos de fontes desconhecidas. Desconfie das interações que solicitam a divulgação de dados pessoais ou confidenciais que sejam de cunho confidencial ou que dêem acesso à rede corporativa. Jamais confie em pedidos urgentes que incluam dinheiro ou informações sensíveis. Tenha soluções de segurança e mantenha todo e qualquer dispositivo com as atualizações de segurança em dia e sempre verifique a veracidade e procedência dos e-mails, telefones e qualquer outra oferta que chegue até você e que faça te passar informações ou acessar algum link da web.
Invista na segurança da sua empresa
A Engenharia Social com seus ataques pode causar problemas e impactos grandiosos na sua empresa. Com isso, tratá-la com seriedade e colocar em prática um plano estratégico de segurança é fundamental para evitar risco de qualquer ataque criminoso.
Estabelecer uma cultura de segurança dentro da empresa, é uma das maneiras mais eficientes para garantir boas práticas entre colaboradores e prestadores de serviços. Os gestores da empresa precisam ter a conscientização sobre ataques e riscos da engenharia social. Isso para poder entender quais ações devem ser tomadas para evitar e reportar possíveis ciberataques.
Uma política de segurança da informação deve ser bem estruturada e clara. Os processos de segurança física, controles de acessos online ou offline, descarte de lixo com informações consideradas confidenciais (documentos, contratos, hd’s), controle e acompanhamento de pessoas, são alguns exemplos que precisam estar claro para que a sua empresa não seja mais uma vítima Engenharia Social.
Diversas soluções de segurança podem garantir que as informações e os dados da sua empresa estejam seguros, como soluções de Cybersecurity, Cloud Security, Threat Defense, EndPoint Security, Web Security entre outras que são oferecidas pela Contacta. Porém, pequenos detalhes por parte dos colaboradores são imprescindíveis para evitar um ataque de engenharia social.
Esperamos que tenha entendido os impactos da Engenharia Social na Segurança da Informação. E percebido o quão importante é contar com soluções e uma política de segurança.