Conheça 5 formas de ataques de Engenharia Social
Conheça 5 formas de ataques de Engenharia Social e saiba como evitar
Compartilhe:
Assine nossa newsletter

Fique por dentro das melhores notícias, eventos e lançamentos do mercado




    Conheça 5 formas de ataques de Engenharia Social e saiba como evitar

    Publicado em: 28 de agosto de 2023

    Aprenda a se proteger e entenda como essa prática criminosa pode colocar sua empresa e seus dados em risco.

    Mesmo que uma empresa adquira as melhores e mais caras tecnologias de cibersegurança disponíveis no mercado, além de contar com profissionais altamente treinados e qualificados, saiba que a operação continuará vulnerável. Isso porque a Engenharia Social, que acontece quando o atacante se vale de suas habilidades sociais para obter informações privilegiadas ou sigilosas de uma empresa e até mesmo de seus sistemas computacionais, é uma prática criminosa em expansão.

    Em 2022, por exemplo, houve crescimento de 356% no número de ataques avançados de phishing, segundo a empresa de prevenção israelense Perception Point. Ainda de acordo com a instituição, em 2023, o número total de ataques aumentou 87%.

    Além do phishing, conforme listado abaixo, há atualmente mais quatro métodos de Engenharia Social que são considerados como as principais ameaças à Segurança da Informação das empresas. Veja abaixo como detectar e combater essas práticas.

    Phishing

    Phishing ou “pesca”, em português, é talvez o golpe mais comum na internet. Nesta prática, o atacante tenta obter dados pessoais e financeiros se passando por uma pessoa ou empresa confiável, geralmente por meio de e-mails, em que solicita informações como login, senha e número do cartão de crédito entre outros. Uma abordagem muito comum desse ataque é se utilizar de uma URL ou domínio de e-mail semelhantes à de empresas conhecidas. Apesar de ser, talvez, o mais simples dos ataques, é também o mais eficiente. A boa notícia é que ele pode ser combatido com ações simples por parte do usuário, tais como verificação das URLs, não fornecer dados de segurança bancária com base em mensagens, verificar uso de https e não abrir anexos de fontes não confiáveis, entre outros.

    Spear Phishing

    Muito parecido com o Phishing, porém, nessa tática, o atacante forja páginas falsas que se assemelham com as reais de grandes bancos e corporações. Por meio desses sites falsos, o cibercriminoso geralmente injeta malwares nos dispositivos de rede da empresa afim de coletar dados pessoais e sigilosos. A dica para detectar essas páginas é sempre conferir o endereço de e-mail com muito cuidado, principalmente o domínio, além de ativar os softwares antispam e antivírus.

    URL Obfuscation

    É uma técnica de Engenharia Social na qual o atacante esconde um endereço web malicioso de forma a deixá-lo parecido com uma URL legítima. Ao enviar o link malicioso, o usuário, desatento, é comumente enganado, e por fim, acaba fornecendo dados como login e senha de acesso. Hoje em dia, com os sites encurtadores de URL, está bastante fácil disfarçar e divulgar URLs falsas. Embora sejam muito difícil de serem identificadas, existem algumas maneiras de se evitar. Para se prevenir, o recomendado é utilizar um gerenciador para o usuário armazenar suas senhas em local seguro. Esse tipo de recurso também impede que sejam colocadas senhas em sites suspeitos.  Utilizar autenticação multifator (MFA) também é uma boa saída. Isso porque mesmo que o usuário digite o usuário e a senha em determinada URL, o atacante não teria acesso ao dispositivo.

    Baiting

    Baiting ou Isca, em português, se refere a ações do atacante nas quais são disponibilizadas um presente, ou seja, um dispositivo infectado, por exemplo. Geralmente são utilizadas iscas curiosas, ou atraentes, para fazer com que a vítima fique interessada em acessar o dispositivo para obter as informações contidas. É aí que o objeto malicioso infecta a máquina do usuário e, muitas vezes, se alastra para toda a rede da empresa. Para evitar este tipo de ataque, a melhor arma é o conhecimento e a conscientização de todos. Deve-se ter em mente que cada comportamento minimamente suspeito pode ser potencialmente perigoso. Ao detectar tal situação é recomendado comunicar os responsáveis para averiguar a ameaça.

    Quid Pro Quo

    Significa “Dar e Receber” ou “Isto por Aquilo”. São ataques baseados no abuso de confiança e geralmente assumem a forma de um serviço ou pesquisa. Por exemplo, ser contatado por um “funcionário da TI” solicitando login e senha para efetuar uma limpeza no dispositivo. Ou, ainda, um e-mail do “RH” solicitando que seja respondida uma pesquisa de satisfação ou até mesmo o cadastro para um sorteio de brindes. Esses ataques são baseados principalmente no abuso de confiança. Para se proteger, basta ter em mente uma atitude cautelosa e nunca fornecer informações pessoais em algo que não foi iniciado por você. Na suspeita, a recomendação é retornar o contato usando o número de telefone que consta do site oficial da empresa e.  trocar a senha imediatamente. Além disso, utilizar senhas fortes e trocá-las regularmente é uma saída para evitar essas ameaças; os softwares gerenciadores de senhas podem ajudar nessa parte.

    De forma geral, a dica para evitar esses tipos de ataques de engenharia social é suspeitar de e-mails ou mensagens solicitando informações internas e não fornecer informações pessoais, tampouco da organização, a um solicitante desconhecido. Outra dica é jamais enviar informações confidenciais por meio de links não verificados, e, manter sempre atualizados os softwares de firewall, os antivírus e os filtros de e-mail.

    *Renato Mirabili Junior é consultor de Segurança da Informação da Protiviti. A empresa é especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.

    Compartilhe:

    Publicações relacionadas

    Além das senhas: como a autenticação reforça a postura de Segurança Cibernética

    24 de maio de 2024

    É indispensável reconhecer e mitigar os riscos associados à autenticação fraca na proteção das informações e ativos das organizações.

    Leia mais

    SOC: quem são os profissionais super-heróis invisíveis do mundo cibernético?

    2 de fevereiro de 2024

    O cenário de segurança cibernética está em constante evolução e as organizações precisam estar preparadas para enfrentar ameaças cada vez mais sofisticadas. Nesse contexto, o SOC (Security Operations Center) tem desempenhado um papel vital na defesa contra essas ameaças. Nesse contexto, o SOC agora utiliza de ferramentas avançadas de detecção de ameaças emergentes, como ataques […]

    Leia mais

    Gerenciamento de Projetos: o papel do PMO (Project Management Office)

    26 de janeiro de 2024

    Um PMO bem estruturado apoiando o trabalho dos GPs permite projetos mais bem planejados e conduzidos. Saiba mais.

    Leia mais

    Cibersegurança: medidas para empresas e órgãos reguladores atuarem em casos críticos 

    15 de janeiro de 2024

    Ataques cibernéticos, como o ransomware, não são problemas técnicos, mas uma preocupação para os reguladores de cibersegurança do mundo. 

    Leia mais