Nos ataques de engenharia social, um atacante tenta obter acesso a dados ou serviços forjando relações com pessoas cuja confiança pode explorar. A primeira linha de defesa é manter-se alerta. O atacante pode atraí-lo para uma conversa que se torna mais um interrogatório. No entanto, a melhor forma de se proteger da engenharia social é saber em quem se pode confiar e ser fiável. É necessário identificar qualquer pessoa que possa ter acesso à sua conta ou que a possa influenciar e garantir que essa pessoa tem um bom motivo para o fazer.
O que é um ataque de engenharia social?
O ataque de engenharia social é uma forma de pirataria informática em que um atacante tenta obter acesso ou informações explorando a confiança. É um ataque muito eficaz porque aproveita o desejo de ajudar as pessoas, a curiosidade e a ingenuidade. Um engenheiro social pode fazer de si um cúmplice involuntário, utilizando a manipulação de alto nível para obter o que o atacante pretende. É uma forma de hacking, mas em vez de invadir computadores, os engenheiros sociais tentam obter acesso a eles enganando os funcionários para que forneçam informações ou descarreguem malware.
Técnicas de Engenharia Social
Os ataques de engenharia social podem ser efectuados por telefone, por correio electrónico ou por mensagens de texto. Um engenheiro social pode telefonar a uma empresa e pedir acesso a uma área restrita, ou pode fazer-se passar por alguém para conseguir que outra pessoa abra uma conta de correio electrónico em seu nome.
Os engenheiros sociais utilizam muitas tácticas diferentes para alcançar os seus objectivos. Por exemplo, podem afirmar que estão a telefonar do help desk de uma empresa e solicitar acesso remoto para que possam reparar algo no seu computador ou rede. Ou podem alegar que precisam da sua palavra-chave ou outras informações pessoais, tais como credenciais bancárias, para que possam resolver um problema com a sua conta bancária.
Nalguns casos, os engenheiros sociais fingem mesmo ser agentes da autoridade e ameaçam com acções legais se o utilizador se recusar a cumprir os seus pedidos de informação. Embora seja importante que as empresas levem estas ameaças a sério, lembre-se de que a polícia nunca telefonará a alguém e pedir-lhe-á as suas palavras-passe por telefone!
Finalidade da Engenharia Social
A engenharia social é frequentemente utilizada em ataques de phishing, que são e-mails que parecem ser de uma fonte de confiança, mas que na realidade se destinam a roubar a sua informação pessoal. Os e-mails contêm geralmente um anexo com software malicioso (muitas vezes chamado malware) que infectará o seu computador se for aberto.
O objectivo da engenharia social é sempre o mesmo: ter acesso a algo valioso sem ter de trabalhar para ele.
1. Roubo de informação sensível
Assim, os engenheiros sociais podem tentar enganá-lo para que forneça a sua palavra-passe e credenciais de início de sessão (como o seu nome de utilizador/endereço de correio electrónico) para que possam aceder à sua conta de correio electrónico ou perfil de redes sociais, onde podem roubar informações pessoais como números de cartões de crédito e informações de contas bancárias de transacções anteriores.
2. Roubo de identidade
Também poderiam utilizar esta informação para assumir a identidade da vítima e levar a cabo actividades maliciosas fazendo-se passar por eles se optassem por não a destruir imediatamente.
Exemplo de um ataque de engenharia social
O uso de enganos e truques para obter uma vantagem estende-se muito antes da disponibilidade generalizada de computadores pessoais e da rede mundial de computadores. Mas podemos olhar mais para trás na história para ver alguns dos mais flagrantes casos de ataque de engenharia social.
No incidente mais recente, que ocorreu em Fevereiro de 2020, um phishing tentativa de usar uma factura falsa de renovação enganou com sucesso Barbara Corcoran da ABC ".Tanque de Tubarão" de quase 400.000 dólares.
Se for vítima de ataques de engenharia social, é essencial saber como se proteger de ser vitimizado. Aprenda os sinais de aviso de uma potencial ameaça e como se proteger a si próprio.
Como identificar um ataque de engenharia social?
1. Confie no seu instinto
Se receber quaisquer e-mails ou telefonemas que pareçam suspeitos, não forneça qualquer informação até ter verificado a sua identidade. Pode fazê-lo telefonando directamente para a sua empresa ou confirmando com a pessoa que supostamente enviou o e-mail ou deixou uma mensagem no seu voicemail.
2. Não submeta as suas informações pessoais
Se alguém pedir o seu número de Segurança Social ou outros dados privados, é sinal de que está a tentar aproveitar-se da sua confiança e usá-la contra si mais tarde. É aconselhável não fornecer qualquer informação, excepto se for necessário.
3. Pedidos inusitados sem contexto
Os engenheiros sociais fazem geralmente grandes pedidos sem darem qualquer contexto. Se alguém pede dinheiro ou outros recursos sem explicar porque é que precisa dele, há provavelmente algo de suspeito a passar-se ali. É melhor ter cuidado quando alguém faz um pedido grande como este - nunca se sabe que tipo de dano pode ser feito com o acesso à sua conta bancária!
Aqui estão algumas formas de detectar ataques de engenharia social:
- Receber um e-mail de alguém que afirma ser do seu departamento de TI a pedir-lhe para redefinir a sua palavra-passe e fornecê-la numa mensagem de e-mail ou texto
- Receber um e-mail de alguém que afirma ser do seu banco a pedir informações pessoais, tais como o número da sua conta ou código PIN
- Receber um e-mail de alguém que afirma ser do seu banco a pedir informações pessoais, tais como o número da sua conta ou código PIN
- Ser solicitado informações sobre a empresa por alguém que afirma ser do departamento de RH da empresa
Tipos de ataques de engenharia social
Vitimizar pessoas através de ataques de engenharia social é uma óptima forma de perpetrar fraudes. Pode ocorrer de várias formas.
Obter acesso: Os piratas informáticos podem obter acesso à sua conta bancária solicitando crédito em nome de outra pessoa. Esta fraude envolve muitas vezes um telefonema ou um e-mail enviado a amigos e familiares, a quem é pedido que efectuem uma transferência bancária para reembolsar rapidamente o hacker pelo prejuízo que causou à vida da vítima.
Roubar informações pessoais: Outra forma comum de as pessoas serem enganadas para entregarem as suas informações pessoais é acreditarem que ganharam um prémio ou um concurso em que nunca entraram mas em que se inscreveram. E quando recebem essas chamadas para se certificarem de que vão receber o prémio assim que derem os seus dados, é aí que as vítimas se deparam com a armadilha do atacante.
Phishing: neste ataque, os atacantes enviam e-mails que parecem ser de empresas ou organizações legítimas, mas que contêm links ou anexos maliciosos. Além disso, este é um dos ataques de engenharia social mais comuns em todo o mundo.
Pretexting: Outro ataque maciço de engenharia social envolve a criação de uma identidade ou cenário falso para obter acesso a informações pessoais. Um dos exemplos mais proeminentes de engenharia social é quando os atacantes obtêm acesso para manipular pessoas através de mensagens de texto.
Shoulder Surfing: É um ataque em que o atacante olha por cima do ombro de alguém para obter acesso a informações confidenciais. Por vezes, o atacante não é mais do que os seus amigos próximos ou entes queridos que o vão chantagear assim que obtiverem a informação que sempre quiseram ter. Por isso, é essencial estar atento a essas pessoas e nunca fornecer todos os pormenores pessoais.
Acompanhamento: Tailgating é quando um atacante segue alguém autorizado a entrar num edifício ou área segura sem estar realmente autorizado. Não é tão comum como outros ataques de engenharia social, mas ainda assim é perigoso e pode deixar marcas prejudiciais.
5 Maneiras de se proteger de ataques de engenharia social
Aqui reunimos algumas dicas ou ideias úteis que ajudam a proteger-se de ataques sociais ou a prevenir ataques de engenharia social:
1. Remetentes desconhecidos (e-mails vs. mensagens de texto)
Preste muita atenção ao endereço electrónico do remetente e ao conteúdo da mensagem. Saber que não é necessário clicar em quaisquer ligações de documentos suspeitos é essencial.
2. Deixar de partilhar informações pessoais
Pense antes de partilhar informações pessoais, tais como palavras-passe e números de cartão de crédito. Nenhuma empresa ou indivíduo legítimo deve alguma vez solicitar este tipo de informação sensível. Utilize sempre palavras-passe fortes e altere-as regularmente. Evite utilizar as mesmas palavras-passe para múltiplas contas e salve-se de ser vítima de ataques de engenharia social.
3. Camadas de segurança
Utilizar autenticação de dois factores sempre que possível. Pode ainda acrescentar uma camada extra de segurança ao exigir aos utilizadores que introduzam um código enviado para o seu telemóvel e o seu nome de utilizador e palavra-passe. Configure sempre códigos de autenticação com o seu e-mail e número de telefone para que, se alguém obtivesse acesso a qualquer um dos sistemas, não pudesse utilizar directamente a sua conta.
4. Software antivírus
Instalar um programa antimalware e software antivírus em todos os seus dispositivos. Mantenha estes programas actualizados para que o possam proteger das ameaças mais recentes. No entanto, quando tem um antivírus instalado nos seus dispositivos, este pode fornecer um excelente escudo contra ataques de engenharia social.
5. Estar sempre atento aos riscos
Seria útil se considerasse sempre os riscos. Certifique-se de que qualquer pedido de informação é exacto, verificando-o duas e três vezes. Esteja atento às notícias sobre cibersegurança quando for afectado por uma violação recente.
Conclusão
Para se proteger de ataques de engenharia social, deve aprender a usar precauções contra eles. Como já lhe fornecemos alguns métodos padrão de ataques de engenharia social, que têm sido utilizados há várias eras no mundo, certifique-se de começar agora a implementar as precauções. Os ataques de engenharia social podem prejudicar a vida profissional de uma pessoa em segundos. Proteja sempre os seus dispositivos, senhas e outros log-ins com dois códigos de verificação de autenticação de configuração para uma camada exterior de protecção.
Antes de fazer qualquer outra coisa, fale com um profissional de TI de confiança ou especialista em segurança como PowerDMARC. Podem ajudá-lo a compreender os riscos de ataques de engenharia social e a forma de os minimizar.
- Como encontrar o melhor fornecedor de soluções DMARC para a sua empresa? - 25 de abril de 2024
- PowerDMARC e Zendata formam parceria para aprimorar a segurança de domínios - 25 de abril de 2024
- PowerDMARC faz parceria com a CNS para avançar as práticas de segurança de e-mail no Oriente Médio - 24 de abril de 2024