Blog ClearSale Brasil

Engenharia Social: o que é, tipos de ataque, técnicas e como se proteger

Escrito por ClearSale | 28/09/2022 05:00:00

Quando se trata de combate a fraudes e proteção de dados, o termo Engenharia Social aparece com muita frequência. Isso acontece porque essa é uma habilidade fundamental para fraudadores e cibercriminosos terem sucesso com seus ataques.

A técnica é empregada com o objetivo de induzir os usuários a enviarem dados confidenciais, infectar seus computadores com malware ou abrir links para sites infectados. Ou seja, a engenharia social é a capacidade de conseguir acesso a informações confidenciais e dados sigilosos por meio de técnicas de persuasão, trabalhando a partir da manipulação psicológica.

Quer saber como proteger sua empresa contra essa técnica tão comum? Então, acompanhe o artigo e entenda como funciona a engenharia social e quais os principais tipos de ataque. Boa leitura!

O que é Engenharia Social?

Engenharia Social é o nome utilizado para definir o método mais habitual de se obter informações confidenciais de acesso a sistemas restritos a usuários autorizados.

É o caso em que uma pessoa de má-fé abusa da ingenuidade ou da confiança de um usuário para persuadi-lo a fornecer informações sensíveis, como números de cartões de crédito, senhas, documentos pessoais, entre outros.

Essa categoria de fraude ou de crime digital também pode acontecer dentro das empresas. O criminoso começa a ter contato com um colaborador, ou então utiliza artimanhas para induzir essa pessoa a realizar uma ação que favoreça o ataque.

Tudo é baseado na interação humana e conduzido por criminosos que usam o engano das pessoas para violar os procedimentos de segurança que elas deveriam ter seguido. Assim, os criminosos utilizam a manipulação psicológica para convencer os usuários a cometerem erros de segurança ou divulgarem informações confidenciais.

A Engenharia Social explora emocionalmente as vítimas em potencial, testando diversas iscas até ativar o gatilho que deixa o alvo vulnerável. Geralmente, são aproveitados temas atuais, promoções atrativas ou falsos anúncios de premiações para realizar essa persuasão.

 

Como um engenheiro social atua?

O engenheiro social não é exatamente um profissional da área de engenharia exata. Na verdade, é apenas uma pessoa com habilidades e conhecimentos para praticar o crime característico da Engenharia Social.

Esse tipo de criminoso costuma ser alguém com boa comunicação, simpático e com poucas resistências. Também apresenta um bom domínio de técnicas de persuasão e inteligência analítica, habilidades essenciais para estudar o alvo com precisão.

Assim, o engenheiro social aplica suas artimanhas de manipulação e faz com que pessoas quebrem procedimentos e normas de segurança, seja por meio de ligações, e-mails, sites ou por contato pessoal.

O criminoso envia várias mensagens diárias e spams na esperança de encontrar usuários inexperientes que possam ser vítimas do ataque. Essa tática também visa alcançar um número maior de vítimas.

As vítimas em potencial costumam ter características e padrões de comportamento específicos. O engenheiro social observa e identifica esses aspectos para obter o que precisa para atuar.

Assim, os colaboradores, tanto da área técnica quanto dos setores mais humanizados ficam sujeitos a falhar na proteção contra um ataque desse tipo, porque têm vulnerabilidades humanas e cometem erros em algum momento.

Quais são os tipos de ataques de Engenharia Social?

Apesar de o nome Engenharia Social sugerir técnicas sofisticadas ou mirabolantes, a maioria dos ataques é feita de forma simples. Não é preciso nem mesmo encontrar e explorar falhas em sistemas de segurança, além de não acontecer apenas em ambientes digitais, conforme explicamos.

De modo geral, esses ataques acontecem de diversas formas e podem ser realizados em qualquer lugar em que a interação humana esteja envolvida. Confira a seguir os principais tipos de ataque cometidos na Engenharia Social.

Baiting

Essa técnica costuma acontecer com mais recorrência em ambientes de trabalho. Nela, o criminoso infecta um dispositivo — geralmente um pendrive — com um malware e o deixa em algum lugar aleatório.

Um colaborador encontra o dispositivo e o conecta, por curiosidade, em algum PC ou notebook para conferir o conteúdo. Geralmente, a vítima também instala os arquivos do pendrive em seu dispositivo para saber do que se trata. Fazendo isso, o criminoso passa a ter acesso a praticamente todos os sistemas do dispositivo infectado.

Phishing

Apesar de ser uma técnica antiga da Engenharia Social, o e-mail de phishing ainda é muito eficiente. Ele ocorre quando um cibercriminoso forja comunicações com a vítima, que acredita estar diante de um e-mail legítimo.

Os fraudadores costumam se passar por bancos ou empresas de cartão de crédito, por exemplo. Eles solicitam informações sensíveis, como senhas e dados de cadastro, ou mesmo pedem para a pessoa fazer a instalação de falsos softwares de segurança, por exemplo.

Vale dizer que um ataque de phishing nem sempre vem por e-mail. Alguns fraudadores tentam esse tipo de contato também via telefone e redes sociais. Muitas vezes, apesar de fraudulentos, esses contatos podem ser bem realistas e convincentes.

Pretexting

Essa técnica é aquela na qual os fraudadores se passam por pessoas ou empresas de confiança da vítima para obter dados. O criminoso faz uma pesquisa básica na internet para colher informações sobre a vítima e solicita a confirmação de dados e atualizações de cadastro, inclusive de senhas.

A pessoa pensa que está em contato com alguém conhecido e fornece os dados solicitados tranquilamente, sem saber que se trata de um golpe.

Quid pro quo

O ataque de quid pro quo acontece quando um hacker solicita informações confidenciais de alguém em troca de algo. O próprio termo é traduzido como “isso por aquilo”, pois o cibercriminoso oferece à vítima algo em troca desses dados sensíveis.

Isso pode acontecer, por exemplo, com o criminoso se passando por alguém do setor de tecnologia para abordar vítimas que tenham problemas relacionados aos seus sistemas ou equipamentos.

Conforme as instruções do criminoso, a vítima fornece acesso aos códigos, desabilita programas importantes e instala malwares, acreditando que está recebendo um suporte legítimo e conseguirá solucionar seu problema.

Spear-phishing

O spear-phishing é uma versão mais direcionada do phishing, focada em indivíduos e empresas específicas. Nesse tipo de ataque, o criminoso se passa por algum executivo ou membro da organização para cometer a fraude.

Ele se aproxima dos colaboradores com o objetivo de obter informações sensíveis. Pode fazer isso por meio de uma demanda urgente, por exemplo, exigindo uma transação financeira imediata para uma conta específica.

Em geral, o spear-phishing exige muito mais esforço do criminoso e pode levar semanas ou meses para acontecer. Isso porque costuma ser mais difícil de detectar, mas têm melhores taxas de sucesso quando tudo é realizado com habilidade.

Presencial

Como dito, os ataques de Engenharia Social não acontecem somente em ambientes digitais. Aliás, eles são muito comuns no mundo físico. Criminosos que se passam por autoridades, por exemplo, entram na casa ou no trabalho das pessoas e coletam dados importantes para a efetivação de fraudes.

São muitos os exemplos de fraudadores que se passam por bombeiros, técnicos e até mesmo pessoal de limpeza, para entrar em prédios, principalmente os corporativos. Eles podem roubar segredos, objetos de valor financeiro considerável ou smartphones, que são armas valiosas para cometer fraudes.

Como funciona e como se dá o ciclo da Engenharia Social?

De modo geral, os ataques de engenharia social acontecem em uma ou mais etapas. Primeiramente, o criminoso investiga a vítima em potencial para obter as informações necessárias para o ataque, como pontos de entrada e protocolos de segurança fracos, essenciais para prosseguir com a prática.

Em seguida, ele busca conquistar a confiança da vítima e fornecer estímulos para atividades subsequentes que violam as práticas de segurança, como revelar dados confidenciais ou conceder acesso a recursos críticos, por exemplo. Nesse sentido, o ataque de engenharia social é baseado no erro humano e não na vulnerabilidade de softwares ou sistemas operacionais. 

Por isso, como não envolve nenhuma questão técnica que possa ser reconhecida pelos dispositivos de segurança tradicionais, esses ataques estão entre os maiores riscos cibernéticos às empresas atualmente e requer diversos cuidados básicos para prevenção contra os golpes

Como os usuários podem se proteger?

Você viu que a Engenharia Social explora a confiança e as emoções das vítimas. Sendo assim, é essencial treinar os colaboradores e os clientes nas melhores práticas de segurança da informação, para que conheçam e adotem cuidados indispensáveis no dia a dia. A seguir, listamos algumas práticas e ações importantes para saber como se proteger dos engenheiros sociais.

Desconfie, antes de tudo

O primeiro ponto é adotar certa desconfiança e manter-se vigilante em relação a tudo que possa oferecer algum risco. Saber que esse tipo de ataque pode acontecer é o jeito mais eficaz de garantir segurança, principalmente quando informações sensíveis fazem parte de determinado assunto.

Dizem que toda pessoa é inocente até que se prove o contrário, mas, quando se trata de cibersegurança, devemos ter o pensamento contrário. Tudo é suspeito até que tenhamos certeza de que se trata de algo legítimo.

Sendo assim, sempre desconfie de interações que solicitem a divulgação de dados pessoais ou confidenciais, de cunho sigiloso ou de acesso à rede corporativa. Quando se trata de uma interação indireta, via mensagem de e-mail, por exemplo, é fundamental verificar o endereço do remetente para confirmar se é um canal oficial da pessoa ou da empresa que está entrando em contato.

Se acontecer uma interação direta por telefone, é interessante não realizar a ação no momento. Basta pegar o contato dessa pessoa e se informar a respeito da solicitação recorrendo a uma fonte de confiança, para saber se é legítimo ou uma tentativa de golpe.

Evite compartilhar informações

Quanto menos divulgar informações, ainda que elas não pareçam tão confidenciais assim, melhor. Detalhes que parecem sem importância podem ser a última peça do quebra-cabeça que faltava para o cibercriminoso cometer o seu ataque.

As informações confidenciais, seja sobre você ou a sua empresa, não podem ser divulgadas para pessoas desconhecidas, seja por telefone, seja online ou pessoalmente. É fundamental sempre verificar a identidade do interlocutor.

Procure descobrir se a pessoa realmente é quem ela diz ser. Analise a procedência das credenciais e, se não for possível realizar essas análises, solicite o auxílio de outra pessoa. Enfim, evite tomar decisões duvidosas por conta própria.

Compreenda o sistema de trabalho dos parceiros

As empresas parceiras, as terceirizadas e também os fornecedores têm o seu próprio sistema de trabalho. É verdade que, muitas vezes, pode ser necessário fazer atualizações de dados ou obter informações, mas existe um protocolo e um limite para fazer isso.

É muito importante compreender o sistema de trabalho desses parceiros para ficar a par dos canais que eles utilizam ao realizar essas interações. Dessa forma, fica mais fácil desconfiar de contatos com risco em potencial.

Não se esqueça de que grandes instituições não solicitam senhas ou outras informações sensíveis por telefone e e-mail. Aliás, isso geralmente nem mesmo acontece, pois são dados que cabem apenas ao usuário.

Você e seus colaboradores devem estar cientes de como esses protocolos funcionam. Sempre que houver dúvidas, vale encerrar a comunicação e entrar em contato por meio de um canal de confiança para entender o que está acontecendo e se aquela solicitação é legítima.

Não se subestime à pressão

Nunca se deixe levar pela pressão que criminosos tentam impor quando querem informações. Lembre-se de que a estratégia na Engenharia Social é justamente aproveitar a vulnerabilidade da vítima em potencial.

O criminoso tende a fazer pressão psicológica para despertar um senso de urgência e de necessidade, causar ansiedade, medo ou apreensão na pessoa.

Portanto, não se deve acreditar que coisas do tipo “sua conta será encerrada” ou “houve um acesso desconhecido à sua conta” são verdadeiras. Manter a calma e procurar informações em fontes confiáveis é sempre o mais indicado.

Procure não se engajar com contatos suspeitos

Tudo que um engenheiro social precisa é de tempo para ganhar a confiança das suas vítimas em potencial. Ele também pode aproveitar qualquer detalhe ou pequena brecha para dar andamento aos seus planos, então, evite dar essa chance.

Sempre que você receber uma ligação desconhecida ou suspeita, ou mesmo uma mensagem de e-mail, procure não engajar com essa comunicação. A melhor alternativa é buscar informações ou suporte por canais e pessoas de confiança, caso você tenha dúvidas quanto às solicitações feitas.

Evite cliques com risco potencial

Sites falsos entram e saem do ar com uma rapidez muito grande. São páginas criadas para atrair vítimas, e isso pode funcionar, já que esses sites muitas vezes tem uma aparência muito similar às páginas das grandes empresas — algo que costuma acontecer com frequência no e-commerce.

Evite navegar por essas páginas com procedência suspeita e também evite clicar em links recebidos por mensagem de texto (SMS) ou por e-mail. Prefira fazer pesquisas por conta própria quando se trata de oportunidades de negócios ou de promoções.

Analise os sites em que você navega verificando os recursos de segurança e páginas institucionais. Tenha atenção a cada detalhe e, como aconselhamos, antes de tudo, desconfie.

Tenha cuidado com anexos

Os anexos são um problema muito grande porque, para acessar, muitas vezes precisamos fazer o download para dentro do nosso dispositivo.

Essa ação favorece acessos não autorizados e infecções, facilitando bastante o trabalho do criminoso. Por meio de programas maliciosos escondidos, ele conseguirá acesso a todos os dados e informações contidos na máquina e no sistema.

Só podemos baixar anexos provenientes de fontes conhecidas e de confiança. Mesmo assim, se for possível, vale apenas solicitar a visualização do arquivo ou documento, evitando fazer o download direto para a máquina.

Desconfie de pedidos urgentes

O engenheiro social pode fazer uma solicitação de urgência para sua vítima em potencial pedindo, por exemplo, uma informação sensível, confidencial ou então a transferência ou liberação de determinado valor em dinheiro.

O gatilho da urgência é utilizado para causar tensão e ansiedade na pessoa. É a manipulação do seu estado psicológico, que não dá tempo para raciocinar a respeito daquela situação e leva a ações e decisões impulsivas. Desconfie dos pedidos urgentes, em especial vindos de pessoas que não costumam manter contato com você.

Proteja as máquinas e equipamentos

A proteção, nesse caso, deve acontecer tanto em relação ao mundo físico quanto ao meio digital. Você viu que os criminosos podem acessar as dependências da empresa para fazer a extração de máquinas que possam conter dados e informações valiosos. Assim, deve ser estabelecido um bom protocolo de segurança para evitar os acessos indevidos.

Em relação ao digital, precisa existir um bom sistema de segurança para prevenir as invasões. As atualizações devem ser mantidas em dia, inclusive, observando os tipos de crime que estão acontecendo agora para colocar uma barreira de proteção eficiente.

Como investir na segurança das empresas?

Os ataques de Engenharia Social podem ser poderosos e conseguem causar grandes problemas às empresas. Portanto, precisam ser tratados com seriedade e devem estar dentro da estratégia geral de gestão de risco de uma organização. Basicamente, três fatores são fundamentais para manter sua empresa segura — veja quais são eles.

Ferramentas de segurança

Existem diversas ferramentas e ações que podem garantir que as informações e os dados de uma empresa estejam seguros, como Firewall, Antivírus, Webfilter, VPN, Antiphishing, como o Threat X da ClearSale, entre outros.

Entretanto não basta escolher qualquer uma. É preciso fazer uma análise dos riscos em potencial relacionados às atividades da sua empresa, pois ela pode estar mais suscetível a esse ou àquele tipo de ataque.

Também pode exigir camadas de proteção de acordo com as suas próprias demandas. Sendo assim, o ideal é fazer essa análise das necessidades do negócio e, então, estabelecer um bom sistema de segurança com as ferramentas mais adequadas, para minimizar os riscos aos quais ela está exposta.

Assim, será criado um sistema totalmente personalizado, que vai evitar os acessos externos, provenientes dos criminosos, e estabelecer uma hierarquização dentro da própria empresa. Afinal, nem todos os dados e informações precisam estar disponíveis a todos os usuários.

Estabelecer essas camadas de segurança e essa hierarquia ajuda a ampliar a proteção. Não se trata de uma desconfiança em relação aos colaboradores, mas de minimizar o contato com os dados sensíveis, restringindo o acesso a quem realmente precisa trabalhar com eles para reduzir a exposição.

 

Cultura de segurança

Não podemos nos esquecer de que as pequenas ações por parte das pessoas que atuam nas empresas são imprescindíveis para evitar os ataques da Engenharia Social. Portanto, estabelecer uma cultura de segurança como compromisso dentro da organização ainda é a maneira mais eficiente de garantir boas práticas entre colaboradores e prestadores de serviços.

Para fazer isso, todo tipo de ação de educação, de treinamento, de aprimoramento e de conscientização é válido. O objetivo é possibilitar aos colaboradores conhecer os riscos e saber quais ações tomar para evitar e reportar golpes e ciberataques.

Porém, não podemos limitar a cultura de segurança aos treinamentos. Isso porque essa prevenção de riscos precisa ser algo que faz parte da própria organização, um dos pilares que sustentam suas atividades e operações — algo que está enraizado nelas e é praticado por todos.

Quando a segurança passa a fazer parte da cultura da empresa, todas as decisões e estratégias adotadas visam alcançar e manter a proteção do negócio. Tudo é feito com foco em manter ao máximo os dados e informações seguros, protegendo também cada um dos colaboradores para que eles não caiam em golpes.

Política de segurança

O terceiro fator fundamental para manter sua empresa segura contra os ataques de engenharia social é a criação de uma política de segurança muito bem estabelecida. Ela precisa envolver tanto aspectos do meio físico quanto do meio digital.

A política de segurança é criada com o objetivo de estabelecer protocolos e definir um padrão para os processos, ações e atividades que podem afetar a segurança da empresa, dos seus dados e das suas informações.

Os processos de segurança física, por exemplo, envolvem o controle de acesso às dependências da organização, como deve-se proceder no dia a dia, ao receber visitantes, parceiros, fornecedores, clientes e outras pessoas. Também deve ser estabelecido o modo como o lixo será descartado, porque ele pode conter dados e informações da empresa.

Precisa ainda existir um protocolo de segurança para os acessos online, estabelecer as medidas que devem ser adotadas em caso de suspeita de fraude, entre outros detalhes. E é interessante que essa política vise parcerias com empresas especializadas em gestão de riscos.

Essa estratégia é fundamental para a criação de um sistema de segurança completo e conforme as demandas e os riscos aos quais o seu negócio está exposto. Assim, é possível direcionar os investimentos de forma inteligente e estratégica.

Cada uma dessas ações, dicas e alertas que deixamos aqui é muito importante para que você tenha atenção às ameaças oferecidas pela Engenharia Social. Dessa maneira, você pode definir a melhor forma de proteger a sua empresa. Não se esqueça de contar com a tecnologia e com empresas especializadas para personalizar a proteção e garantir maior eficiência com seu sistema de segurança.

Aproveite e entre em contato com a ClearSale por meio do formulário abaixo. Temos um time de especialistas focado em caçar e identificar phishing, perfis falsos em redes sociais e outras vulnerabilidades.