Engenharia social: como os hackers a utilizam para roubar seus dados

Quando pensamos em vírus infectando os computadores geralmente associamos isso à ataques online e sem interação do usuário. No entanto, quando se trata da engenharia social, os criminosos podem utilizar artimanhas persuasivas de dar inveja.

Se olharmos o passo a passo de um ciberataque, os hackers começam nivelando as informações, identificando a rede informática que desejam infectar, explorando as vulnerabilidades e, com isso, realizando a ação em si. Por ser algo muito rápido, o investimento em segurança da informação se torna algo primordial nos dias de hoje.

A seguir, veja o que há de mais importante sobre o assunto, desde o conceito até dicas de como lidar com a engenharia social nas empresas. Confira!

Afinal, o que é a engenharia social?

Entre os crimes cibernéticos, a engenharia social é considerada quase uma obra de arte no que se refere às técnicas, tendo em vista que os hackers se interessam não somente pela parte informatizada, mas também pelo lado humano. Por meio de alguns métodos, observando os traços comportamentais dos colaboradores, muitos criminosos atacam vulnerabilidades que seriam dignas de um filme de Hollywood.

Normalmente, os hackers, que são especialistas em engenharia social, sabem se comunicar com maestria, apresentam autoconfiança e são muito persuasivos de modo a conseguirem qualquer dado relevante. São inúmeras as abordagens no intuito de obter informações confidenciais e acesso privilegiado às máquinas das vítimas, o que pode representar uma ameaça imensa para empresas que atuam com inovações frequentes.

Quais são os principais ataques de engenharia social?

Esse é um assunto que merece bastante a atenção de quem trabalha com TI, isso porque existem quatro elementos que norteiam a engenharia social:

  • coleta de informações — processo de observação e captura do máximo de dados sobre uma pessoa ou empresa;
  • pretexto — criar uma história para conquistar a vítima;
  • elicitação — tirar informações com perguntas indiretas;
  • manipulação — exercer uma influência social para mudar um comportamento.

Dentro desses conceitos existem vários tipos de ataques que fazem um verdadeiro terror psicológico, intelectual e virtual. A seguir, veja aqueles que são mais frequentes nas organizações.

Phishing 

Embora seja um dos golpes mais manjados de todos os tempos, o ataque por meio de e-mail malicioso ainda tem alto nível de eficiência para adquirir dados preciosos, e existem até outras versões desse truque realizadas via telefone, redes sociais e SMS. Basicamente, esse tipo de ataque acontece quando o hacker desenvolve comunicações enganosas que podem ludibriar as vítimas a tomarem uma ação, tal como clicar em um link. 

Spear Phishing 

Sendo uma espécie de primo do phishing, esse ataque é direcionado aos funcionários de organizações específicas, em que o hacker se passa por algum executivo de muita importância e tenta obter informações confidenciais. Mediante a uma pesquisa online minuciosa, o(a) criminoso(a) envia e-mails se passando por alguém relevante e, caso a pessoa acredite no pretexto e confie que o e-mail é realmente de quem o diz estar enviando, pode ter a máquina infectada por um malware.

Vishing 

É o método que mais envolve interações das pessoas. O vishing trabalha a persuasão em sua essência, pois consiste em uma ligação para um determinado funcionário no intuito de obter dados, principalmente financeiros. Pode acontecer de alguém se passar por gerente do banco ou representante de instituição financeira e, com isso, tentar manipular sua confiança para conseguir o que deseja.

Baiting 

Você há de convir que a raça humana é curiosa desde o tempo do homo sapiens e, por decorrência dessa característica, os hackers se aproveitam. Basta apenas deixar um pen drive em local público, com algum nome chamativo e alguém terá a curiosidade de acessar, seja no próprio computador, seja no da empresa, permitindo a entrada massiva de vírus.

Farming

Sabe aquele tipo de contato que dá impressão que você deveria ter conhecido aquela pessoa antes e o destino fez com que se encontrassem agora? Pois bem, às vezes, quem chega em você com um papo muito envolvente e persuasivo, perguntando várias coisas entre uma conversa e outra pode ser um criminoso cibernético, tendo em vista que a intenção é obter o máximo de dados a partir da lábia e do pretexto.

Quais são os casos mais famosos?

Sabendo dos ataques mais perigosos de engenharia social, fica mais simples perceber o número de perigos que podemos correr no dia a dia organizacional e, dependendo do golpe, isso pode influenciar nos investimentos em CAPEX e OPEX. Para ter uma ideia, acompanhe abaixo os principais casos de engenharia social que ocorreram nos últimos anos.

Sony Pictures (2014)

De autoria do governo norte-coreano, assim como divulgou a investigação do FBI, o ataque cibernético à Sony Pictures foi algo que deixou um verdadeiro estrago. Por meio do método de spear phishing, os funcionários da Sony foram atraídos por falsos e-mails da Apple, onde surgiu a brecha para que arquivos de acordos comerciais, informações hierárquicas e relatórios financeiros fossem roubados.

Partido Democrático Americano (2016)

Para quem tinha como certa a vitória de Hillary Clinton nas últimas eleições norte-americanas, deve saber bem o quanto esse ciberataque abalou a estrutura mundial e deu a vitória ao polêmico Donald Trump. Ataques organizados levaram ao vazamento de informações confidenciais do partido de Hillary, em que os hackers tiveram acesso aos segredos de campanha e os tornaram públicos

Ethereum Classic (2017)

Já o caso mais recente coloca o site da Ethereum Classic em cheque, em que milhares de pessoas perderam muito dinheiro em criptomoedas — a sensação do momento naquela época. Ao se utilizarem de engenharia social, os hackers conseguiram ter acesso ao registro e ao domínio que queriam e, com isso, roubaram o equivalente a mais de 10 milhões de dólares das contas.

Como se proteger de fato de ciberataques? 

Se você parar para analisar, podemos ser manipulados de diversas maneiras na engenharia social, sendo que muitas delas se confundem com artifícios utilizados pela publicidade e pelo marketing. Somos direcionados para ataques que trabalham gatilhos mentais de urgência, por exemplo, de modo a influenciar uma tomada de decisão em poucos segundos.

Sendo assim, para coibir ataques cibernéticos e uma possível evolução da engenharia social, torna-se de suma importância investir no treinamento dos colaboradores, criar processos de segurança e modificar o modus operandi da rotina de trabalho. Além disso, você deve escolher um bom antivírus para a empresa, manter sigilo quanto às informações organizacionais e jamais resolver assuntos privados em locais públicos.

Portanto, perceba que a engenharia social pode ser nociva à estrutura da companhia, seja ela de pequeno, médio ou grande porte. Então, não deixe de tomar os devidos cuidados para assegurar uma rotina tranquila de trabalho.

Caso queira saber mais sobre segurança da informação, aproveite a oportunidade e solicite um orçamento agora mesmo!

Mauricio Incelli
Mauricio Incelli
Diretor de TI na AIM7. Profissional com mais de 25 anos de experiência no setor de tecnologia e segurança da informação.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *