Você sabe o que são ataques de Engenharia Social?

 

Engenharia social, nada mais é que uma tática empregada por cibercriminosos que consiste em manipulação psicológica voltada a obter acesso a informações confidenciais com o objetivo de obter vantagem

Na engenharia social, não é necessário nenhum plano sofisticado com malwares que burlam sistemas corporativos e aplicações de segurança de alto nível, o sucesso da técnica do ataque de engenharia social depende da habilidade do atacante em manipular as vítimas para que executem certas ações ou ofereçam informações.

A maior diferença entre os ataques de engenharia social e o trabalho de invasão tradicional é que os ataques de engenharia social não envolvem o comprometimento ou a exploração de softwares ou sistemas, nessa técnica é explorado o elo mais fraco na cadeia de segurança, os humanos e quando bem-sucedido, esse tipo de ataque permite que os atacantes ganhem acesso legítimo a informações confidenciais.

Esses ataques geralmente aparecem na forma de e-mail, SMS e até mesmo por ligações de voz de uma fonte aparentemente inofensiva e quando um script, programa ou malware é executado pelo próprio usuário, fica muito mais difícil para programas detectar, visto que foi uma ação realizada por alguém com acesso.

 

Principais tipos de ataque de engenharia social

 

Phishing:

Apesar de existir a muito tempo, ainda é o método mais utilizado em ciberataques devido ao seu alto nível de eficiência. Esse método consiste na utilização de email, aplicativos ou sites redirecionados para o roubo de dados.

O cibercriminoso, se passa por uma pessoa ou empresa idônea, solicitando informações através do email, mensagem ou telefone. Nesse caso não existe um alvo específico, a ferramenta utilizada para solicitar os dados é disparada aleatoriamente.

Segundo relatório da Axur, no último trimestre de 2020, a empresa identificou 8.569 casos de phishing, o que representa uma considerável queda de 18,52% em comparação aos 10.517 registrados nos meses entre julho e setembro. Mesmo com a queda acumulada no trimestre, a Black Friday 2020 foi responsável pelo pico do trimestre, com 3.398 casos desta modalidade de golpe, representando um aumento de 16,82% em relação à Black Friday de 2019.

 

Spear Phishing:

Uma forma de phishing mais sofisticado, direcionado a um indivíduo, organização ou empresa. Nesse tipo de ataque o cibercriminoso obtém informações sobre o alvo, através de mídias sociais por exemplo e executa um ataque mais elaborado a fim de roubar dados para fins mal-intencionados ou ainda instalar malware na rede corporativa ou dispositivo do usuário.

Estes ataques estão cada vez mais sendo utilizados de forma direcionada para pequenas e médias empresas, pois geralmente são menos maduras em segurança. Os ataques são cada vez mais efetivos pois são tão tecnicamente convincentes que grande parte dos destinatários não se dá ao trabalho de procurar por pequenos indícios de fraude ou tentar se comunicar com o remetente por outro meio.

 

Baiting:

Por meio dessa técnica, o cibercriminoso deixam à vista em um local público um dispositivo infectado com malware, como exemplo um pen-drive ou um CD, visando despertar a curiosidade do indivíduo para que insira o dispositivo em uma máquina a fim de checar seu conteúdo e assim o malware infecta o dispositivo.

A tática envolve pouco trabalho por parte do atacante. Tudo que ele precisa fazer é infectar um dispositivo e ocasionalmente deixá-lo à vista do alvo, contendo um arquivo com nome “chamativo”, como exemplo “Confidencial”.

Esses são alguns dos tipos mais comuns de ataques de engenharia social usados para acessar as informações pessoais das vítimas. Os cibercriminosos continuam procurando novas maneiras de enganar pessoas e computadores, especialmente com ataques de engenharia social mais antigos, como spamming de e-mail e pretexting.

 

Mas como se proteger?

O primeiro passo é: Simplesmente desconfie, abrace o ceticismo saudável e seja tão vigilante quanto possível. Ataques de engenharia social são particularmente difíceis de se defender porque são expressamente projetados para funcionar com características humanas intrínsecas, como a curiosidade, o respeito pela autoridade, o desejo de ajudar, entre outros.

Outro passo que te ajudará nessa proteção será manter-se atualizado sempre. Especialmente para empresas, treinamento contínuo em conjunto com softwares de proteção avançada voltados para o endpoint proporcionarão aos funcionários as ferramentas necessárias para reconhecer e responder às ameaças de engenharia social. Em paralelo, o apoio da equipe executiva criará uma atitude de apropriação e responsabilidade que incentiva a participação ativa na cultura de segurança.

Use um bom anti-spam – Os bons filtros de spam utilizam vários tipos de informação para determinar quais e-mails são susceptíveis de serem spam. Eles podem detectar arquivos ou links suspeitos ou podem analisar o conteúdo das mensagens para determinar quais são susceptíveis de serem falsas.

Proteja seus dispositivos – Mantenha o seu software antivírus, sistema operacional e firmware regularmente atualizados, não execute o seu telefone com root ou realize jailbreak, não utilize o PC como administrador, não use a mesma senha para contas diferentes e para sempre que possível habilite a autenticação de dois fatores.

 

Não subestime a Engenharia Social, usuários e empresas que agem preventivamente a esse tipo de ataque tornam-se menos vulneráveis a ela, a conscientização é a melhor arma contra esse tipo de ataque.

Ainda restam dúvidas? Converse com um de nossos especialistas e descubra como começar a se proteger ainda hoje.