No mundo moderno, onde a tecnologia está presente em praticamente todos os ambientes de trabalho, a Engenharia Social passou a ser uma preocupação para as organizações em geral.

Pois, se antes os dados e informações, ficavam apenas restritos aos arquivos físicos, hoje podem estar em um acervo digital, e até em nuvem! Deste modo, os criminosos virtuais não medem esforços para acessá-los.

Neste texto, iremos fazer uma breve abordagem sobre o tema “Engenharia Social” e daremos algumas dicas sobre como se proteger de suas técnicas persuasivas, que muitas vezes se mostram sedutoras, convincentes, mas na verdade podem ser muito perigosas e prejudiciais.

Confira!

O que é Engenharia Social?

No contexto de Segurança da Informação, a Engenharia Social pode ser resumida como uma técnica utilizada por criminosos para terem acesso às informações confidenciais de uma organização ou de uma pessoa física, que pode ser  você, que está lendo este post.

O objetivo desses criativos golpistas é conseguir acesso a sistemas, roubar senhas de bancos e arquivos confidenciais, que sejam capazes de gerar lucratividade para o criminoso, que para atingir seus objetivos estão indo cada vez mais longe nas estratégias. 

Mas, também existem casos em que essas investidas são usadas para tirar proveito de familiares de pacientes internados em hospitais. Por exemplo, de posse dos dados clínicos de um paciente na UTI, um criminoso faz contato com sua família. Durante a conversa, ele solicita determinado valor para um suposto “exame de urgência que o hospital não oferece” ou “o plano de saúde não cobre”. No limite da ansiedade, preocupação e estresse, a família deposita o valor do suposto exame, e só depois de ser lesada, descobre que foi enganada.

Em resumo, a diferença da Engenharia Social para um ataque convencional de Hackers é que a primeira utiliza técnicas emocionais para fazer com que a vítima informe dados pessoais ou forneça informações confidenciais ou então clique em algo que faça isso pelo criminoso, ou seja, é baseada em “falha humana”!

Surpreendentemente, por mais robustos que sejam os controles físicos e digitais em um ambiente corporativo, a técnica chamada de Engenharia Social têm a real capacidade de rompê-los, pois o criminoso utiliza formas variadas de persuasão que atingem as pessoas em suas questões ou fragilidades emocionais ou psicológicas, e não o sistema computacional diretamente.

Dito tudo isso, vale a pena conhecer algumas dessas formas de abordagem usadas pelos atacantes:

Intimidação

Mesmo sendo menos comum comparada às demais técnicas de Engenharia Social, a “intimidação” é bastante perigosa, pois esta técnica tem o objetivo de fazer com que o usuário sinta medo do atacante. Desta forma, há uma conexão direta entre o criminoso e a vítima, seja através de e-mail ou telefone, uma ameaça leva a vítima a informar seus próprios dados pessoais ou de terceiros, ou até transferir dinheiro para o criminoso.

Por ser uma técnica que vem sendo muito divulgada na mídia, a intimidação tem se tornado mais rara. Porém, ainda é preciso se precaver e sempre analisar com calma se a ameaça, de fato, faz sentido.

Para ilustrar, um exemplo comum de “intimidação” é o golpe do falso sequestro, onde o criminoso liga para a vítima informando estar com um familiar seu e passa ameaçar, dizendo que tomará atitudes violentas contra a suposta vítima sequestrada, caso não seja pago um resgate.

Se acaso você venha a estar em uma situação como essa, antes de tomar qualquer atitude, encontre meios de verificar se a ameaça é verdadeira, como por exemplo, ligar para a própria pessoa que estaria em poder dos sequestradores. Se for verdade, informe a polícia imediatamente. Mas, jamais transfira dinheiro ou informe dados a quem quer que seja, movido por intensa emoção.

Bajulação

Sabe aquela expressão “hum, está me elogiando muito, este santo quer reza”? Pois é, o atacante bajulador está sempre elogiando o seu “alvo” por sua beleza, performance, inteligência e outros predicados, tudo para tornar-se próximo e conquistar a sua confiança, pois, ele sabe que a partir daí, fica fácil aplicar o golpe e ter êxito, quando a vítima se sente supervalorizada, sente-se confiante e  solícita para atender o bajulador mal-intencionado.

Portanto, tenha cuidado! Esteja sempre atento (a) ao fato de que qualquer pedido de informações deve ser considerado suspeito, mesmo quando existe um vínculo ou uma “amizade virtual”, pois você vítima da Engenharia Social.

Persuasão

A técnica da “persuasão”, requer que o criminoso utilize táticas variadas para convencer uma pessoa a fazer o que ele quer. Para isso, ele pode citar, por exemplo, o nome de alguém influente na organização, justificando que a sua ação é a pedido dele (como um diretor da vítima, uma autoridade, etc.)

A “persuasão” também pode se apresentar em forma de “spam”, afinal, quem nunca se deparou com aquelas “janelas” na tela do computador que promete ganhos milionários a quem clicar nelas? Logo, é importante evitar clicar em e-mails ou janelas suspeitas, independentemente do quão incrível a oferta possa parecer.

Assistência

Na “assistência”, o criminoso se mostra prestativo e se coloca à disposição da vítima. Um exemplo é a ligação de alguém que se identifica como um técnico do provedor de internet, que pede a senha do Wi-fi para “realizar ajustes”, e, então, de posse da senha, estando próximo do local, invade a rede, causando sérios danos ao sistema, além do risco de ter acesso a dados sensíveis.

O que aprendemos com isso?

Em resumo, para evitar o golpe é preciso identificar os “gatilhos” psicológicos que envolvem as técnicas de Engenharia Social e sempre confirmar a autenticidade do contato.

Se estiver na empresa, fale com o chefe do seu setor, com o pessoal da TI ou até mesmo com um colega de trabalho. Em todo caso, só forneça os dados e informações, se for autorizado (a) a fazê-lo.

Você sabia que a TothBe oferece um treinamento animado e gamificado sobre Engenharia Social, que pode ajudar (e muito!) a prevenir que seus colaboradores caiam em armadilhas?

Assista uma amostra do treinamento clicando no link https://www.tothbe.com.br/treinamento-engenharia-social/

Quer saber mais? Mande um e-mail para contato@tothbe.com.br