Engenharia social: Fique atento e proteja a sua empresa desses ataques
Cesar Poppi, executivo sênior de TI da TE Connectivity
Você abre o seu e-mail na empresa e tem uma mensagem supostamente enviada pelo seu time de TI informando que ocorreu um problema com a sua conta de rede e, para corrigir, você deve acessar um aplicativo que vem anexado ao e-mail e informar o seu usuário e senha para revalidar. Ao acessá-lo o estrago está feito e o suposto time de TI invade o seu computador, a sua conta de rede e os sistemas que você tem acesso.
Imagine agora que você esteja na sua casa e alguém liga se identificando como o seu provedor de Internet. A pessoa explica que está fazendo uma renovação na rede e precisa reconfigurar o seu decodificador e para isso agenda um horário de visita. No dia e horário marcados você autoriza o acesso na sua residência e é surpreendido por um bandido.
Esses casos são comuns e é bem provável que algo parecido já tenha acontecido com você ou com alguém que você conhece. Esse tipo de ataque é chamado de Engenharia social.
O termo “Engenharia social” se refere à prática de manipular pessoas, a fim de obter acesso não autorizado às instalações de uma empresa ou informações confidenciais. Este conceito não se utiliza necessariamente de meios tecnológicos avançados para obter essas vantagens. Este tipo de ataque pode ser aplicado em uma simples conversa. Pessoas habilidosas se aproveitam de falhas humanas, uma vez que a grande maioria não está preparada para esse tipo de ataques.
Não adianta as empresas investirem milhares de dólares em tecnologias de segurança, se uma simples ligação telefônica pode burlar toda essa estrutura por meio das pessoas. O elemento mais vulnerável de qualquer sistema de segurança, digital ou física, é sem dúvida o ser humano.
A ideia deste artigo é conscientizar sobre algumas das técnicas comuns que os engenheiros sociais usam, e o que fazer se você fosse um alvo.
Técnicas e abordagens
Os engenheiros sociais usam várias técnicas sociais para conseguir o que querem, incluindo manipulação, sedução, disfarce e truques psicológicos.
Os engenheiros sociais abordam os seus alvos de várias maneiras (telefone, pessoalmente, e-mail, mensagens de texto, mensagens instantâneas ou qualquer outra tecnologia de comunicação que atenda a seus propósitos).
Técnicas para enganar seus alvos
Os engenheiros sociais empregam uma variedade de técnicas para enganar os alvos inocentes. Eles podem atacar com uma conversa amigável, usando o humor, a bajulação ou o flerte para distrair os seus alvos de pensar na segurança. Eles também podem tentar se passar por figuras de autoridade e intimidar as vítimas a revelarem informações confidenciais.
Se questionado ou desafiado, um engenheiro social pode se tornar irritado ou aflito. Muitas pessoas cedem a essa pressão e param de fazer perguntas, em vez de prolongar em uma situação social desconfortável.
Os engenheiros sociais, frequentemente, tentam se aproveitar do instinto natural do ser humano de ajudar, apresentando-se como alguém que precisa de ajuda ou enfatizando a urgência de sua situação. Eles também obtêm acesso às instalações da empresa se fazendo passar por visitantes legítimos, como membros da equipe de manutenção, funcionários temporários, bombeiros ou agentes sanitários.
Os engenheiros sociais, geralmente, enviam e-mails enganosos, pedindo que as pessoas revelem informações confidenciais. Muitas vezes, essas mensagens são bastante realistas na aparência. A pista de que há algo de errado está na solicitação para fornecer informações confidenciais.
Phishing: A técnica mais comum
Os engenheiros sociais muitas vezes empregam uma tática chamada de “phishing”, que envolve o envio de e-mails enganosos pedindo aos usuários que revelem informações pessoais, como IDs de usuário e senhas.
E-mails de “phishing” aparentam ser autênticos e parecem vir de uma fonte confiável, como o departamento de TI ou o suporte técnico da empresa, um gerente sênior, banco pessoal ou sistema de pagamento on-line ou um site de rede social.
Alguns e-mails de “phishing” pedem que você siga um link, geralmente para atualizar os detalhes da sua ID de usuário e senha ou informações sobre a conta. Esses e-mails com frequência são enviados a milhares de destinatários na esperança de que alguém caia no golpe. Muitas pessoas seguirão automaticamente uma instrução “oficial” sem questionar sua autenticidade.
Você pode evitar ser enganado por tentativas de “phishing”, lembrando-se destas dicas:
- Não siga nenhuma instrução que lhe peça para divulgar informações confidenciais, não importa o quão oficial pareça, sem confirmar que a instrução é legítima.
- Nunca divulgue informações confidenciais para uma fonte desconhecida e nunca forneça mais informações do que o necessário.
- Desconfie de e-mails ou sites que peçam para você confirmar as informações confidenciais que a empresa já tenha ou deveria ter.
- Se você tiver qualquer suspeita sobre um e-mail, não tome nenhuma iniciativa como seguir links.
- Informe qualquer e-mail suspeito ao recurso apropriado da sua empresa imediatamente (TI, RH ou jurídico).
Proteja-se ao telefone
Engenheiros sociais podem ser muito convincentes ao telefone. Eis algumas orientações que você pode usar para proteger a si mesmo e as informações confidenciais:
- Seja cético em relação a pessoas que se apresentam como figuras de autoridade e exigem informações confidenciais, como senhas.
- Se você tiver qualquer suspeita sobre alguém ao telefone, faça perguntas sobre a identidade da pessoa. Não forneça informações confidenciais para chamadores que você não pode identificar.
- Se você estiver sendo assediado ou estiver se sentindo manipulado, não dê informações. Faça primeiro as verificações apropriadas.
- Se o chamador se tornar agressivo, simplesmente desligue. Nenhuma autoridade legítima deve usar este tipo de comportamento. Portanto a agressividade é uma dica de que o chamador é um engenheiro social.
Engenheiros sociais se aproveitam das inclinações humanas naturais, como o desejo de ajudar alguém que esteja necessitando ou a propensão em aceitar instruções de figuras de autoridade. Eles usam uma variedade de técnicas para convencer as pessoas a violar os procedimentos de segurança estabelecidos. Nem sempre é fácil reconhecer ou se defender de uma tentativa de engenharia social, mas sabendo no que prestar atenção e não se permitindo ser manipulado para revelar informações confidenciais, você pode desempenhar um papel essencial em manter as informações das nossas empresas seguras.
Se você gostou deste artigo, compartilhe e ajude mais pessoas a se protegerem destes criminosos.
É executivo sênior de TI na TE Connectivity desde 2010. É responsável pelas área de aplicações na região Américas. Formado em processamento de dados pelo Mackenzie, o executivo possui ainda especialização em gestão de projetos e SAP. São 24 anos de experiência no mercado de TI com passagem por empresas como Grupo Accor, Ericsson, Voith, Folha de São Paulo, Unisys e Citibank.
