A proteção dos nossos dados é de extrema importância. Ninguém quer informações pessoais ou empresariais circulando nas mãos de pessoas mal-intencionadas que buscam tirar vantagens, certo?
Mas nos últimos anos, especialmente após a pandemia, temos visto crescer o índice de crimes cibernéticos moldados por engenharia social, mesmo em grandes empresas e com alto investimento para combater essa prática.
Um exemplo comum são os “clones” de contatos do WhatsApp, no qual uma pessoa consegue se passar por outra, com foto de perfil e pedindo para adicionar um número novo. Mas como é possível uma empresa como a Meta, dona do WhatsApp, ter essa brecha?
O calcanhar de Aquiles de qualquer sistema: os usuários
O fator humano é o principal risco de qualquer sistema seguro.
Mesmo que você tenha todos os recursos para proteger seu data center, suas implantações na nuvem, a segurança física da sua empresa. Ainda que tenha investido em tecnologias defensivas, possua as políticas e processos de segurança corretos, avalie sua eficácia e melhore continuamente.
Apesar de tudo isso, um engenheiro social pode pôr todo seu investimento a perder com um simples e-mail.
O que é Engenharia Social?
Engenharia social é uma técnica de manipulação que explora erros humanos para obter informações sensíveis. Golpes baseados em engenharia social são construídos em torno de como as pessoas agem e pensam.
No mundo do crime cibernético, esses golpes de “hacking humano” tendem a atrair pessoas desavisadas para expor dados, espalhar malwares ou dar acesso a sistemas. Os ataques podem acontecer online ou presencialmente, por meio de interações humanas.
Ataques de engenharia social são úteis para manipular o comportamento de um usuário. Uma vez que um hacker entende o que motiva as ações de uma pessoa, ele pode enganar e manipular efetivamente.
Além disso, os hackers tentam explorar a falta de conhecimento do usuário. Graças à velocidade da tecnologia, muitos funcionários não estão cientes de certas ameaças. Usuários também podem não perceber o valor real dos dados pessoais, como seu número de telefone. Por conta disso, muitos deles não têm certeza de como proteger melhor a si e suas informações.
Phishing é a principal forma de ataque usando Engenharia Social
Ataques de phishing são mensagens digitais ou de voz que tentam manipular os destinatários para compartilhar informações confidenciais, baixar software malicioso ou transferir dinheiro para as pessoas erradas.
Os golpistas criam mensagens de phishing para parecer ou soar como se viessem de uma organização ou indivíduo confiável, até mesmo de um indivíduo que o destinatário conhece pessoalmente. É aquele e-mail que parece ser do banco, mas, na verdade, não é.
De acordo com um relatório da IBM de 2023, o phishing é o principal vetor de infecção de malware, identificado em 41% de todos os incidentes. Segundo o relatório Cost of a Data Breach 2024, o phishing é o ataque inicial que leva às violações de dados mais graves.
Existem muitos tipos de golpes de phishing:
Spear Phishing
Tem como alvo um usuário específico ou usuários de uma mesma organização. O hacker pesquisará o alvo, geralmente usando informações encontradas no LinkedIn, Facebook ou outras mídias sociais, para criar uma mensagem que pareça vir de alguém que o alvo conhece e confia ou que se refira a situações com as quais o alvo está familiarizado. Ou seja, o golpe é personalizado.
Whale Phishing
É um ataque de spear phishing que tem como alvo um indivíduo de alto perfil, como um CEO, gerente de alto nível ou figura política.
Comprometimento de E-mail Comercial (BEC)
O hacker usa e-mail corporativo para enviar mensagens de uma conta real de uma figura de autoridade, tornando o golpe muito mais difícil de detectar.
Vishing
É o phishing conduzido por meio de chamadas telefônicas. Indivíduos geralmente vivenciam vishing na forma de chamadas nas quais o golpista se passa por alguém de autoridade ou de uma empresa conhecida para ganhar informações privilegiadas.
Smishing
É o phishing por meio de uma mensagem de texto contendo links ou telefones maliciosos. Quando o usuário clica em um dos links ou liga para o número, o ataque continua e informações sigilosas serão requisitadas pelo atacante.
Existem outras formas de engenharia social, tais como: baiting, pretexting, tailgating, entre outros. Se fosse listar todos os tipos, daria para escrever um livro.
Como evitar os golpes de Engenharia Social?
A resposta para essa pergunta parece simples, mas é muito complexa. Sua empresa PRECISA investir em treinamentos.
Treinamentos de conscientização sobre segurança são a principal forma de evitar que seus funcionários se tornem vítimas desse tipo de ataque. Os funcionários devem estar cientes de que a engenharia social existe e familiarizados com suas técnicas.
Algumas dicas para evitar cair em um ataque de engenharia social:
- Resista à vontade de clicar em links: normalmente agimos no automático e clicamos sem ler muito ou tentar identificar do que se trata. Precisamos estar cientes de que quando estamos utilizando a rede da empresa, toda cautela é pouca.
- Verifique o endereço do link: quando colocamos o mouse sobre um link, nos é mostrada a URL de destino. Com isso, poderemos saber se realmente é um site conhecido ou é uma URL totalmente diferente.
- Visite sites diretamente em vez de clicar em links de e-mail: parece trabalhoso, mas se você recebeu uma mensagem do PayPal falando sobre um problema no pagamento, caso a mensagem seja realmente real, ao conectar em sua conta do PayPal você será avisado sobre algum erro em transações.
- Verifique sinais: baixa qualidade de logotipos, erros de gramática e ortografia são bem comuns no meio de ataques de phishing. (Parênteses aqui porque essa dica funcionava muito bem antes do advento da IA Generativa. Com ela, os hackers estão criando textos muito bem construídos e dificilmente esse tipo de erro acontece).
Conclusão
A engenharia social é uma das ameaças mais insidiosas no campo da cibersegurança, explorando a vulnerabilidade humana para comprometer sistemas e roubar informações sensíveis. Mesmo com investimentos robustos em tecnologia e segurança, o fator humano continua sendo o elo mais fraco.
Portanto, a conscientização e o treinamento contínuo são essenciais para mitigar esses riscos. Empresas e indivíduos devem estar sempre vigilantes, adotando práticas seguras e desconfiando de comunicações suspeitas. Somente por uma combinação de tecnologia e educação constante podemos nos proteger efetivamente contra as ameaças de engenharia social.
Entre em contato com os especialistas do Venturus para auxiliarmos você e sua empresa na segurança cibernética.
