Sua empresa pode estar sofrendo um ataque de engenharia social neste exato momento, sabia? E isso pode trazer muita dor de cabeça e prejuízos financeiros para o seu negócio.
Para apoiar você na orientação aos seus colaboradores sobre o tema, na adoção das melhores soluções de segurança e na proteção da sua companhia, nós desenvolvemos este conteúdo. Nele, você encontra insights preciosos que ajudam a evitar que ataques desse tipo de cibercrime sejam bem sucedidos contra sua organização. Boa leitura!
O que é engenharia social
A engenharia social é um conjunto de técnicas para persuadir uma vítima e, por meio dela, obter dados, benefícios ou acesso a locais restritos e informações privadas para fins, na maioria das vezes, criminosos.
Um cibercriminoso que realiza esse tipo de prática tem como características autoconfiança, facilidade de comunicação, aptidão profissional e grande capacidade de persuasão de suas vítimas que acabam, sem querer ou mesmo sem perceber, passando informações que não deviam.
Como funciona um ataque de engenharia social
Os hackers especializados em engenharia social usam a manipulação de artifícios para mexer com sentimentos humanos, como curiosidade e medo, para, assim, realizar ataques cibernéticos. É próprio dessa modalidade de crime cibernético fazer manipulação psicológica para enganar e induzir a vítima a cometer erros de segurança ou revelar informações confidenciais.
A engenharia social funciona da seguinte forma:
Coletar informações → Planejar o ataque → Obter as ferramentas → Ataque → Utilizar as informações obtidas
Quais são os tipos de ataque de engenharia social mais utilizados
Existem vários tipos de ataques de engenharia social e a seguir listamos os três mais comuns:
1. Isca (Baiting)
No Baiting, um hacker usa uma promessa falsa para despertar o interesse, a ganância ou a curiosidade de uma vítima. Assim, eles roubam sem esforço suas informações pessoais ou as expõem a malwares.
Podem acontecer quando um invasor deixa um dispositivo infectado por malware, como um pendrive USB, em um local onde é provável que alguém o encontre. Esses dispositivos costumam ser etiquetados de forma provocativa para atrair a curiosidade.
Para proteger sua empresa desse tipo de ataque de engenharia social, vale ter como política interna proibir a conexão de pendrives e outros dispositivos de origem desconhecida em computadores e outros equipamentos da companhia.
2. Pretexto (Pretexting)
O cibercriminoso que pratica o pretexting finge ser outra pessoa para obter informações privadas. Esse tipo de ataque pode acontecer de forma online e offline, e está entre os mais eficazes, pois são os mais difíceis de identificar.
Não é fácil perceber o golpe de pretexting, mas para reduzir as chances de ações desse tipo serem bem sucedidas contra sua empresa é importante orientar os colaboradores a sempre estudarem bem as credenciais de uma pessoa antes de compartilharem informações pessoais e dados da empresa.
3. Phishing
Talvez a modalidade mais conhecida de engenharia social, no phishing o hacker obtém informações usando comunicações fraudulentas voltadas diretamente para um indivíduo. Isso costuma ser feito por meio de e-mails que são disfarçados como uma fonte legítima, criam um senso de urgência e incluem um link para um site mal-intencionado.
Trata-se de um golpe muito eficaz, já que dificilmente desconfiamos da autenticidade de um e-mail enviado por um amigo, parente ou empresa que conhecemos.
A dica aqui é orientar os colaboradores da companhia a terem cuidado redobrado ao abrir e clicar em links de e-mails. Vale também instruí-los a conferir o endereço do remetente da mensagem, para ter certeza que vem de pessoa ou empresa séria.
Boas práticas que ajudam a prevenir ataques de engenharia social
Quer saber como prevenir ataques de engenharia social na sua empresa, vale a pena seguir as seguintes dicas:
Instale software antivírus confiável
Um antivírus de alta segurança sinaliza mensagens e páginas suspeitas, alertando sobre os perigos ou mesmo impedindo que esses conteúdos sejam acessados a partir das máquinas da empresa.
Altere as configurações de e-mail de spam
Tenha como parte da PSI (Política de Segurança da Informação) da sua companhia ajustar as configurações de e-mail para fortalecer os filtros de spam.
Pesquise a fonte
Também deve ser parte da PSI da empresa regras para a verificação de fontes de e-mail, SMS, ligação e outros contatos. Vale verificar endereço, endereço de e-mail, número de telefone e qualquer outro dado que confirme a procedência.
Esperamos que nosso conteúdo sobre engenharia social ajude a aumentar os níveis de segurança de dados na sua companhia. Para ver outros conteúdos que auxiliam no aperfeiçoamento da área de TI da empresa, acompanhe as publicações aqui, no blog Computécnica.