O que é a engenharia social? É uma forma de ciberataque que envolve a utilização de manipulação e engano para obter acesso a dados ou informações. O objetivo da engenharia social é enganar as pessoas para que divulguem informações sensíveis, como palavras-passe e detalhes da rede, fazendo-as acreditar que estão a interagir com alguém em quem confiam.
Em alguns casos, os engenheiros sociais também tentarão levá-lo a descarregar malware - software que pode ser utilizado para fins maliciosos - para o seu computador sem que dê por isso.
O que é a Engenharia Social: Definição:
A engenharia social é o acto de manipular pessoas para realizar acções ou divulgar informações confidenciais. É uma forma de hacking, mas em vez de invadir computadores, os engenheiros sociais tentam obter acesso a eles enganando os empregados para que desistam de informação ou descarreguem malware.
Técnicas de Engenharia Social: Como funciona a Engenharia Social?
- A engenharia social pode ser realizada por telefone, por correio electrónico, ou por mensagens de texto. Um engenheiro social pode ligar a uma empresa e pedir acesso a uma área restrita, ou pode fazer-se passar por alguém a fim de conseguir que outra pessoa abra uma conta de correio electrónico em seu nome.
- Os engenheiros sociais utilizam muitas tácticas diferentes para alcançar os seus objectivos. Por exemplo, podem afirmar que estão a telefonar do help desk de uma empresa e solicitar acesso remoto para que possam reparar algo no seu computador ou rede. Ou podem alegar que precisam da sua palavra-chave ou outras informações pessoais, tais como credenciais bancárias, para que possam resolver um problema com a sua conta bancária.
- Em alguns casos, os engenheiros sociais fingirão mesmo ser agentes da lei e ameaçarão com uma acção legal se se recusarem a cumprir as suas exigências de informação. Embora seja importante para as empresas levar estas ameaças a sério, lembrem-se que a polícia nunca irá chamar alguém e pedir-lhes as suas palavras-passe por telefone!
Finalidade da Engenharia Social
A engenharia social é frequentemente utilizada em ataques de phishing, que são e-mails que parecem ser de uma fonte de confiança, mas que na realidade se destinam a roubar a sua informação pessoal. Os e-mails contêm geralmente um anexo com software malicioso (muitas vezes chamado malware) que infectará o seu computador se for aberto.
O objectivo da engenharia social é sempre o mesmo: ter acesso a algo valioso sem ter de trabalhar para ele.
1. Roubo de informação sensível
Assim, os engenheiros sociais podem tentar enganá-lo para que renuncie à sua palavra-chave e credenciais de login (como o seu nome de utilizador/endereço de correio electrónico) para que possam aceder à sua conta de correio electrónico ou perfil de redes sociais onde podem roubar informações pessoais como números de cartões de crédito e informações de contas bancárias de transacções anteriores. Pode saber como vender na Instagram, mas está equipado com conhecimentos suficientes para proteger a sua pequena empresa e conta de engenheiros sociais?
2. Roubo de identidade
Também poderiam utilizar esta informação para assumir a identidade da vítima e levar a cabo actividades maliciosas fazendo-se passar por eles se optassem por não a destruir imediatamente.
Aprenda porque é que os ciberataqueiros usam habitualmente a engenharia social.
Como identificar um Ataque de Engenharia Social?
1. Confie no seu instinto
Se receber quaisquer e-mails ou telefonemas que pareçam suspeitos, não forneça qualquer informação até ter verificado a sua identidade. Pode fazê-lo telefonando directamente para a sua empresa ou confirmando com a pessoa que supostamente enviou o e-mail ou deixou uma mensagem no seu voicemail.
2. Não submeta as suas informações pessoais
Se alguém pedir o seu número de Segurança Social ou outros detalhes privados, é sinal de que está a tentar tirar partido da sua confiança e usá-lo contra si mais tarde. Aconselha-se a não dar qualquer informação, a menos que seja absolutamente necessária.
3. Pedidos inusitados sem contexto
Os engenheiros sociais fazem geralmente grandes pedidos sem darem qualquer contexto. Se alguém pede dinheiro ou outros recursos sem explicar porque é que precisa dele, há provavelmente algo de suspeito a passar-se ali. É melhor ter cuidado quando alguém faz um pedido grande como este - nunca se sabe que tipo de dano pode ser feito com o acesso à sua conta bancária!
Aqui estão algumas formas de detectar ataques de engenharia social:
- Receber um e-mail de alguém que afirma ser do seu departamento de TI a pedir-lhe para redefinir a sua palavra-passe e fornecê-la numa mensagem de e-mail ou texto
- Receber um e-mail de alguém que afirma ser do seu banco a pedir informações pessoais, tais como o número da sua conta ou código PIN
- Receber um e-mail de alguém que afirma ser do seu banco a pedir informações pessoais, tais como o número da sua conta ou código PIN
- Ser solicitado informações sobre a empresa por alguém que afirma ser do departamento de RH da empresa
Ataques de Engenharia Social baseados em Email
E-mails de phishing - Parecem ser de uma fonte legítima, mas na realidade estão a tentar induzi-lo a abrir um anexo ou a visitar um sítio Web malicioso
Spear phishing - Spear phishing os ataques são mais direccionados do que os e-mails de phishing e utilizam a informação sobre si para os tornar mais credíveis
Fraude do CEO - Fraude do CEO é um tipo de esquema de phishing que envolve a imitação de um CEO ou executivo de alto nível para ter acesso a informação sensível. Isto pode incluir números de contas bancárias, detalhes de transferências bancárias, ou mesmo informação sobre a folha de pagamentos dos funcionários.
Saiba mais sobre outros tipos de engenharia social ataques.
Como Prevenir a Engenharia Social?
Temos algumas dicas sobre como prevenir ataques de engenharia social e proteger-se deles.
- Certifique-se de que tem um bom software antivírus instalado nos seus dispositivos e computadores.
- Não abra emails suspeitos ou anexos de pessoas que não estejam no seu círculo de confiança (isto inclui emails de qualquer pessoa que afirme ser o seu banco ou empresa de cartões de crédito).
- Não clique nos links dos e-mails a menos que tenha a certeza de que estão seguros - mesmo que venham de alguém que conheça! Se alguma vez houver alguma dúvida sobre a legitimidade de um e-mail, ligue directamente ao remetente através de telefone ou mensagem de texto em vez de procurar mais informações online primeiro.
- Tenha cuidado com chamadas telefónicas ou mensagens de texto não solicitadas que ofereçam algo "demasiado bom para ser verdade" (isto poderia incluir prémios gratuitos e outras ofertas para se inscrever em coisas como testes gratuitos).
- Utilização autenticação de dois factores sempre que possível - isto significa que mesmo que alguém tenha a sua palavra-passe, continuará a precisar de outra informação (como um código único) para aceder à sua conta.
- Configurar protocolos de autenticação de correio eletrónico como DMARC para proteger os seus canais de correio eletrónico contra ataques de phishing, engenharia social e abuso de domínio.
Para resumir
É importante proteger contra a engenharia social porque pode resultar na perda de dinheiro e outras informações pessoais, bem como comprometer os sistemas de segurança e as violações de dados.
Por muito boa que seja a sua equipa de TI a proteger a sua empresa de ciberataques, nunca poderá eliminar completamente o risco de alguém tentar entrar no seu sistema através de métodos de engenharia social. É por isso que é tão importante formar empregados sobre a identificação de e-mails de phishing e outros tipos de ataques de engenharia social.
- Estudo de caso de MSP: Hubelia simplificou o gerenciamento de segurança do domínio do cliente com o PowerDMARC - 31 de janeiro de 2025
- As 6 principais soluções DMARC para MSPs em 2025 - 30 de janeiro de 2025
- O papel dos protocolos de autenticação na manutenção da exatidão dos dados - 29 de janeiro de 2025