Tática maliciosa que prejudica milhares de pessoas em todo o mundo, a engenharia social manipula, através da psicologia humana, utilizadores da internet para que estes revelem informações confidenciais – que vão desde passwords ou informações bancárias até ao acesso remoto do seu computador, para nele instalar software malicioso que poderá comprometer a segurança.
Importante referir que a engenharia social é um crime cibernético passível de punição no mundo real. Se quer saber mais detalhes sobre esta prática, bem como aprender algumas dicas para não ser mais uma vítima de “golpes” virtuais, então não deixe de ler este artigo!
A engenharia social é uma técnica de manipulação que se aproveita do erro humano para obter informações privadas, sendo considerada um cibercrime, cujo propósito é “fisgar” utilizadores vulneráveis para expor dados, espalhar malware (programas informáticos maliciosos) ou conceder acesso a sistemas restritos.
O termo foi popularizado pelo famoso hacker Kevin Mitnick, preso em 1995 e libertado em 2000, ano em que colocou termo às atividades ilegais, passando a ajudar grandes empresas a se defenderem contra ataques de engenharia social.
Via de regra, os golpes da engenharia social são articulados em torno da forma como as pessoas pensam e agem, por isso se diz que a engenharia social é capaz de manipular o comportamento de um utilizador da internet. A partir do momento em que o hacker compreende o que motiva as ações da sua vítima, passa-a a enganar e manipular de uma forma eficiente, aproveitando-se da sua falta de conhecimento e boa-fé.
Por exemplo, em vez de tentar encontrar uma vulnerabilidade de software, o que seria muito mais trabalhoso – além de exigir mais tempo -, um “engenheiro social” pode ligar para um funcionário de uma empresa-alvo e fazer-se passar por um colega da equipa de informática, tentando-o induzir a divulgar passwords do sistema interno.
Facto é que, em razão da velocidade da tecnologia, a maioria dos utilizadores da internet não se apercebem de determinados riscos e ameaças, tais como downloads drive-by, que são programas maliciosos instalados nos seus dispositivos — sem o seu consentimento.
Conheça infra as técnicas mais utilizadas pelos engenheiros sociais para manipular usuários:
1. Phishing, smishing e vishing
Ataques de baixo esforço, que atingem indivíduos não específicos, o phishing é amplamente disseminado em razão de sua alta convergência. Um phisher pode enviar milhares de e-mails similares, esperando que alguém seja ingénuo o suficiente para clicar num anexo malicioso. O smishing e o vishing funcionam de forma muito semelhante ao do phishing, no entanto, baseiam-se em texto e em voz, respetivamente.
2. Spear phishing ou whaling
Trata-se de uma variação de phishing para alvos de alto valor. Os criminosos investem o seu tempo pesquisando sobre a vítima – que via de regra é uma pessoa que goza de estatuto diferenciado no local de trabalho, como um diretor-geral ou diretor financeiro – a fim de criar comunicações fraudulentas exclusivas e personalizadas.
Os funcionários impactados por este e-mail, ou mensagens no LinkedIn, por exemplo, dificilmente recusarão uma solicitação de alguém que consideram importante. Desta forma, influenciados e até mesmo intimidados, poderão realizar ações específicas, como revelar dados confidenciais ou transferir dinheiro.
3. Pretexting
Esta forma de engenharia social envolve a criação de uma história, pretexto ou argumento, cuja finalidade é convencer alguém a fornecer informações valiosas ou o acesso a algum sistema ou conta.
Na posse de dados de identificação pessoal, o criminoso poderá usá-las para enganar as vítimas – por exemplo, se souber que é cliente de uma determinada instituição bancária, então poderá ligar-lhe e fazer-se passar por um membro do suporte ao cliente que precisa saber o número da sua conta para o ajudar com um pagamento atrasado.
4. Fraudes através de endereços de email empresariais
As fraudes através de endereços de email empresariais combinam várias das técnicas referidas. Regra geral, o hacker obtém o controlo do endereço de e-mail de um funcionário, geralmente um colaborador com um cargo de chefia – ou cria um endereço de e-mail similar com o intuito de confundir o destinatário – para, em seguida, enviar mensagens para subordinados desse chefe, solicitando a transferência de fundos para contas que controlam.
As vítimas, temendo represálias e até mesmo perder o emprego caso se neguem a prestar o favor financeiro, acabam por cair no “golpe”, sofrendo prejuízos consideráveis.
Identificar e combater técnicas de engenharia social requer muita atenção e uma postura de alguma desconfiança. Sabendo disso, fique atento às dicas que partilharemos infra:
1. Não clique em links em e-mails ou mensagens
Independentemente do remetente, sempre que se tornar necessário clicar num link de um email, por exemplo, sugerimos que o escreva manualmente no seu navegador de internet, não devendo confiar num site do qual não verificou a sua legitimidade.
2. Sempre que possível ative a autenticação multifator
Esta é uma forma de adicionar camadas extras para verificar a sua identidade no login da sua conta bancária, por exemplo, ajudando-o a proteger-se de ataques de engenharia social. Uma autenticação multifator pode incluir biometria, impressão digital, reconhecimento facial ou passwords temporárias enviadas através de SMS ou email.
3. Use passwords fortes
As suas passwords devem ser, preferencialmente, únicas e complexas, para isso, procure usar diversos tipos de caracteres, incluindo letras maiúsculas, números e símbolos. Ademais, opte por passwords mais longas. Para o ajudar a gerir as inúmeras passwords que tem, poderá utilizar um gerenciador de passwords para as armazenar com segurança.
4. Tenha cuidado com as amizades no ambiente virtual
Bem sabemos das vantagens e desvantagens das redes sociais no que respeita à construção de novas amizades, por isso, fique atento a possíveis sinais de manipulação ou abuso de confiança. Afinal de contas, poderá não saber quais as verdadeiras intenções de quem está por detrás do ecrã.
5. Cuidado com quem se liga à sua rede Wi-Fi
Seja em sua casa ou no seu local de trabalho, se houver necessidade de alguém se ter de ligar à sua rede Wi-Fi, o ideal será disponibilizar uma rede para convidados. Este cuidado permitirá que a sua conexão criptografada e protegida por password continue segura e livre de interceptação.
6. Use uma VPN
Uma rede privada virtual (VPN) pode manter os hackers afastados, pois oferece maior segurança à sua ligação da internet ao manter os seus dados anónimos e à prova de rastreamento por meio de cookies ou outros meios.
7. Não deixe os seus dispositivos desprotegidos em público
Especialmente no trabalho, bloqueie sempre o seu computador e demais dispositivos móveis. Se estiver num espaço público, como cafés e aeroportos, deverá manter sempre os seus dispositivos consigo.
Lembre-se: a proteção contra a engenharia social começa com a conscientização, pois se todos os utilizadores da internet estiverem cientes das possíveis ameaças, a segurança coletiva aumentará. Partilhe este artigo com seus colegas de trabalho, familiares e amigos, para que também aprendam a proteger-se de ataques cibernéticos que podem ser potencialmente danosos.
