O que Significa Engenharia Social e Como Se Proteger
M&A – Como o Advogado Pode Ajudar nos Processos de Fusões e Aquisições
25 de novembro de 2021
Cláusulas de Tag Along e Drag Along – Quando Usar Esses Mecanismos de Proteção Societária?
9 de dezembro de 2021
Engenharia Social. Apesar de a modernização estar presente em diversos setores do mundo, ela é igualmente passível de erros e de ter brechas que acabam resultando em complicações para os responsáveis e a população de um modo geral, e em diferentes proporções.
Imagina envolvendo um equívoco humano. Neste artigo vamos abordar sobre uma técnica utilizada para induzir o erro das pessoas com o intuito de cibercriminosos (criminosos do mundo virtual) conseguirem roubar seus dados, seja você uma pessoa física ou jurídica.
Como Funciona a Engenharia Social?
A técnica em questão é aplicada por criminosos do ambiente virtual que induzem os usuários a enviarem informações confidenciais para conseguirem infectar os seus aparelhos eletrônicos, ou seja, eles fazem uma manipulação psicológica para alcançar o seu objetivo.
E com esse golpe, que também pode ocorrer por meio de ligação ou demais formas de comunicação, as vítimas têm seus dados roubados e seus dispositivos infectados. Porém, os ataques on-line podem acontecer de formas diferentes, com público variado (desde cidadãos a empresas).
Com isso, explicamos a seguir quais são os golpes mais aplicados para induzir alguém ao erro:
- Quid pro quo: traduzindo do Latim, significa algo semelhante a “trocar uma coisa por outra” e é feito quando uma pessoa recebe uma mensagem prometendo uma vantagem, como receber dinheiro ao enviar o CPF ou algum dado, alertando sobre a necessidade de atualização urgente para garantir a segurança de uma ameaça ou oferecendo um serviço que coincide com o que está sendo aguardado pela vítima, por exemplo;
- Phishing: é o tipo mais comum de engenharia social e caracterizado por ter criminosos se passando por uma instituição confiável (copiando o layout de e-mail corporativo utilizado pela empresa), sugerindo que a vítima baixe o anexo enviado, mas o remetente possui um endereço de e-mail diferente;
- Vishing: ainda se passando por uma empresa confiável, o contato é feito pelo telefone;
- Smishing: o golpe é aplicado da mesma forma, mas os criminosos utilizam mensagens SMS para contatar as possíveis vítimas;
- Spear phishing: também é semelhante ao phishing, porém a prática é focada em empresas ou pessoas específicas;
- Isca ou Baiting: tal como o nome sugere, a pessoa encontra ou adquire um pen drive USB infectado que acaba comprometendo o sistema do aparelho plugado e roubando os dados, ou mesmo a intenção é danificar a máquina com um pico de energia intenso provocado pelo acessório;
- Spamming de contatos e hacking de e-mail: nesse caso, se aproveitam de e-mails vazados (existem exceções) para invadi-los com o intuito de enviar mensagens com arquivos maliciosos para a lista de contatos das contas em questão;
- Pretexto / Pretexting: usam histórias (que costumam sensibilizar a população de um modo geral) ou se passam por pessoas ou empresas de confiança para atrair as vítimas e fazer com que acessem o link enviado por e-mail, o que acaba autorizando a entrada de vírus no computador ou tablet;
- Cultivo: nesse tipo de engenharia social, a vítima e o invasor têm um contato mais próximo, com o objetivo de apelar para as emoções e conseguir que vaze informações sensíveis de seu interesse;
- Tailgating: os indivíduos mal-intencionados se aproveitam da ajuda alheia para acessarem os dados da maneira que quiserem ou causar os danos planejados.
Formas de se Proteger da Engenharia Social
Essas fraudes são feitas para que a população aja por impulso e cometa erros que nem sempre são fáceis de corrigir com atualização do sistema e de se evitar, mas existem dicas que podem ajudar a pessoa a identificar e se proteger de possíveis golpes como os citados acima.
Uma delas é, além de verificar se as informações recebidas são verdadeiras, evitar clicar em links e navegar em sites suspeitos, checar a origem de uma unidade USB antes de conectar ao computador e se atentar ao remetente, como uma letra trocada e erros ortográficos.
Se for uma empresa, é fundamental alertar e treinar todos os funcionários sobre as possibilidades de golpes e atualizarem os termos de uso sobre as novidades nos golpes que têm sido aplicados no dia a dia.
Ao receber uma ligação de uma instituição financeira, atentar se a atendente fez perguntas de segurança (conferir as informações combinadas e passadas por você no momento do contrato) em vez de questionar o seu nome ou outro dado pessoal. Se o contato foi feito por e-mail, observar se as informações condizem com o acordado com a empresa.
Permaneça tranquila mesmo diante da situação de urgência imposta pelo contato, seja um telefonema, e-mail ou mensagem, ou depois de ser informada sobre um prêmio a resgatar, por exemplo. E após receber a notícia e antes de tomar qualquer providência, confira se ela é verídica.
Outra maneira de se proteger da engenharia social é solicitar a identificação do indivíduo que está pedindo informações suas ou prontamente encerrar a ligação e contatar os canais oficiais para confirmar a veracidade da primeira chamada.
Confirme se o seu e-mail possui um bom filtro de spam, porque é ele que determina quais mensagens podem ser maliciosas ou não, como links e remetentes suspeitos, e anexos perigosos.
Sempre que disponível, mantenha seus aparelhos eletrônicos e ferramentas de segurança atualizadas, porque as chances de conseguirem impedir a ação de vírus, por exemplo, são maiores. E aplicar a autenticação de dois fatores como forma de proteção em conjunto com o uso de senhas também é aconselhável.
Principalmente, porque as pessoas podem ter o costume de anotar senhas e dados pessoais em seus aparelhos por causa da praticidade, como número de telefone, CPF, RG, data de nascimento, e-mail e senhas de instituições financeiras – o que acaba facilitando a prática dos criminosos.
Por último e não menos importante, é válido considerar a sua presença digital, principalmente ao compartilhar informações que costumam ser utilizadas por empresas como forma de perguntas de segurança. Assim como as pessoas que utilizam a engenharia social podem conquistar a confiança da vítima por meio de dados compartilhados por ela no ambiente digital.
