21/10/2019 •
2 min. de leitura

Engenharia Social: o que é, tipos de ataque, técnicas e como se proteger

Saiba como os fraudadores e cibercriminosos usam este tipo de habilidade para conseguir dados, cometer crimes e causar inúmeros prejuízos

 

No vasto ecossistema que envolve o combate a fraudes e a proteção de dados, o termo Engenharia Social aparece com certa recorrência, principalmente por ser uma habilidade bastante efetiva para fraudadores e cibercriminosos.

O que é Engenharia Social?

Engenharia Social é o nome utilizado para definir o método mais comum de se obter informações confidenciais de acesso a sistemas restritos a usuários autorizados. É o caso no qual uma pessoa, dotada de má fé, abusa da ingenuidade ou da confiança de um usuário para persuadi-lo, ainda que de forma velada, a fornecer informações como números de cartões de crédito, senhas, documentos pessoais, etc.

Tipos de ataques de Engenharia Social

Apesar do nome Engenharia Social sugerir técnicas sofisticadas ou mirabolantes, a maioria dos ataques é feita de forma simples, sem que seja preciso achar e explorar falhas em sistemas de segurança, e não necessariamente acontece apenas em ambientes digitais. Veja os principais tipos:

Baiting

Nessa técnica, que acontece mais em ambientes de trabalho, o criminoso infecta um dispositivo – geralmente um pen drive – com um malware e o deixa em algum lugar aleatório. A pessoa que encontra o dispositivo o conecta, por curiosidade, em um algum PC ou notebook para tomar conhecimento do conteúdo que está ali. Não raras as vezes, essa pessoa instala os arquivos que ali estão para saber do que se tratam. Feito isso, o criminoso passa a ter acesso a praticamente todos os sistemas do dispositivo infectado.

Phishing

Apesar de ser uma técnica antiga da Engenharia Social, o e-mail de phishing ainda é muito eficiente. Ele ocorre quando um cibercriminoso forja comunicações com a vítima, que acredita estar diante de um e-mail legítimo. O mais comum é que fraudadores se passem por bancos ou empresas de cartão de crédito solicitando informações sensíveis, como senhas e dados de cadastro, ou mesmo solicitando a instalação de falsos softwares de segurança, etc.

Vale dizer que um ataque de phishing nem sempre vem por e-mail. Alguns fraudadores tentam este tipo de contato também via telefone e redes sociais. Muitas vezes, apesar de fraudulentos, estes contatos podem parecer muito realistas e convincentes.

Pretexting

Essa técnica é aquela na qual fraudadores se passam por pessoas ou empresas de confiança da vítima. De posse de informações básicas, dessas que ficam disponíveis em uma breve pesquisa na internet, o criminoso solicita confirmação de dados e atualizações de cadastro, inclusive de senhas. A vítima, achando que está em contato com alguém de confiança, fornece os dados tranquilamente, sem saber que se trata de um golpe.

Presencial

Como dito anteriormente, os ataques de Engenharia Social não acontecem somente em ambientes digitais. Aliás, eles são muito comuns no mundo físico. Criminosos que se passam por autoridades, por exemplo, entram na casa ou no trabalho das pessoas e coletam um vasto leque de dados importantes para a efetivação de fraudes.

São muitos os exemplos de fraudadores que se passam por bombeiros, técnicos, e até mesmo pessoal de limpeza, para entrar em prédios, principalmente os corporativos, para roubar segredos e objetos de valor financeiro considerável.

Além disso, os próprios furtos de smartphones são armas valiosas de criminosos que estão interessados, entre outras coisas, em cometer fraudes.

Como usuários podem se proteger

O primeiro ponto é adotar uma certa desconfiança e manter-se vigilante. Saber que este tipo de ataque pode acontecer é o jeito mais eficaz de garantir segurança, principalmente quando informações sensíveis fazem parte de um determinado assunto.

Quanto menos divulgar informações, ainda que elas não pareçam tão confidenciais assim, melhor. Se não for possível verificar identidade do interlocutor e procedência das credenciais, todo cuidado ainda é pouco.

Ter em mente que grandes instituições não solicitam senhas ou outras informações sensíveis por telefone e e-mail também é importante.

Por fim, nunca se deixar levar pela pressão que criminosos tentam impor quando querem informações também uma boa dica. Portanto, não se deve acreditar que coisas do tipo “sua conta será encerrada” e “seu nome será negativado” são verdadeiras. Manter a calma e procurar informações em fontes confiáveis é sempre o mais indicado.

Segurança para empresas

Os ataques de Engenharia Social podem ser poderosos e conseguem causar problemas grandiosos às empresas. Portanto, precisam ser tratados com seriedade e devem estar dentro da estratégia geral de gestão de risco de uma organização.

Estabelecer uma cultura de segurança como compromisso dentro da organização ainda é a maneira mais eficiente de garantir boas práticas dentre colaboradores e prestadores de serviços. Para fazer isso, todo o tipo de ação de educação, treinamento, aprimoramento e conscientização é válida.

Além disso, uma política clara e bem acabada de segurança da informação, processos de segurança física, controles de acessos online e off-line, cuidados com descarte de lixo, controle e acompanhamento de visitantes e parcerias com empresas especializadas em gestão de risco são práticas fundamentais para evitar que a Engenharia Social faça mais uma vítima.

Conteúdo relacionado

Veja como o Data Lake da ClearSale ajuda a combater fraudes

Conheça o Data Trust, a solução da ClearSale para validação inteligente de cadastros

ClearCast: fraudes causam prejuízos no mercado financeiro

Métodos de Autenticação: conheça os principais e sua importância

Título

Escrito por

Jornalista responsável pela produção de conteúdo da ClearSale, é graduado pela Universidade São Judas Tadeu e pós-graduado em Comunicação Multimídia pela FAAP. Tem 10 anos de experiência em redação e edição de reportagens, tendo participado da cobertura dos principais acontecimentos do Brasil e do mundo. Renovado após seis meses de estudo e vivência no Canadá, aplica agora seus conhecimentos às necessidades do mundo corporativo na era do Big Data.