Engenharia Social: entenda como não cair no golpe

Você já ouviu falar em engenharia social?

Hoje vamos trazer pra vocês algumas informações sobre essa técnica de espionagem que está crescendo a cada dia. Os cibercriminosos utilizam de estratégias para executar fraudes e aplicar golpes nos usuário, entenda um pouco mais sobre esse assunto para conseguir se proteger.

O que é engenharia social?

Basicamente, existem vários tipos de ataques que visam enganar usuários na internet a fim de roubar dados e aplicar golpes, todos esses ataques utilizam de algum método da engenharia social. Aqui no blog, você pode saber mais sobre o Spoofing, o Phishing e outras ameaças no mundo online e você vai perceber que essas tentativas de golpe utilizam inúmeras estratégias para te convencer a realizar alguma ação que acaba te prejudicando.

Vários recursos de copywri

ter para vender produtos, são utilizados também nos sites e e-mails maliciosos para te convencer a clicar em algum link, abrir algum anexo, ou ceder informações. Jogar com as emoções, raiva, culpa, tristeza, euforia, e animação podem ser oferecidos para que você se distraia e não analise bem as opções.

Para se proteger, a primeira coisa que você precisa fazer é se informar! A partir do momento que você conseguir identificar um ataque de Engenharia Social você consegue entender o que fazer para não cair nesse golpe.

Caindo nesse tipo de golpe, você vai ser infectado por algum malware, você pode ler mais sobre malwares aqui.

Dito isso, Engenharia Social pode ser utilizada como um conjunto de técnicas adotadas pelos web criminosos para fazer com que você caia nos golpes e acabe sendo infectado por um malware ou cedendo dados, inclusive por meio de cookies maliciosos. Assim, é explorada a falha do ser humano.

A engenharia social é um meio de criar o caos e gerar confusões internas em empresas, bisbilhoteiras informações (muitas vezes pela concorrência ou pessoas mal intencionadas). O alvo desses ataques costuma ser objetivo e dá ao criminoso acesso à uma rede de informações.

Lembrando que o conjunto de técnicas utilizadas costuma levar o usuário a fazer coisas que em outras situações ele não faria.

 

Forma de atuação

Podemos separar a forma de ação em um ciclo, com algumas etapas que podemos identificar em comum nos ataques, são eles:

Infiltração: quando o criminoso começa a reunir informações sobre a pessoa ou empresa a fim de montar o golpe.
Relacionamento: quando inicia o contato/interação para avançar no processo.
Confiança: estabelecimento de confiança, quando a vítima começa a acreditar na veracidade da proposta.
Golpe: quando a pessoa está com guarda baixa e uma fraqueza identificada que o golpe acontece.
Fuga: logo após o golpe ser aplicado, o criminoso “some” normalmente aplica golpes que façam a pessoa se sentir constrangida para denunciar, como veremos a seguir.
Parece um processo longo, mas pode ocorrer todas essas fases em um único email/interação.

Como identificar

O primeiro passo é DESCONFIAR, enquanto estamos atentos e analisando, facilmente conseguimos identificar o modo de ação desses criminosos nos resguardar quanto a isso.

Durante o ciclo operacional podemos perceber alguns comportamentos comuns que identificamos a seguir:

Urgência

As mensagens costumam denotar um tom de urgência exagerado, com chamados do tipo “clique no link abaixo para atualizar o seu e-mail, se não ele para de funcionar”. Assim, cria-se um pretexto de necessidade, onde as pessoas são induzidas ao erro. Além disso, é bem comum a exposição a um prêmio, por exemplo “você ganhou 500 reais, clique no link para receber, a oferta expira em 10 minutos”.

Intensidade nas emoções

Qualquer interação é favorecida pelo envolvimento emocional. Nossa percepção e razão são afetadas pelas emoções. Por exemplo, quando você está com medo, fica em estado de vigília, e passa a ver “ameaças” em situações que antes não viam, isso mostra como as emoções afetam a percepção. Dessa forma, esses criminosos usam a favor deles essas emoções para induzir ações. Medo, excitação, tristeza, raiva, curiosidade, culpa, alegria, ganância (no caso de boas notícias), etc. Forçar esses sentimentos é algo bem comum.

Confiança

Normalmente, quando confiamos em alguém (ou numa empresa) tomamos atitudes sem antes conferir a fonte ou a veracidade da informação (pois confiamos que aquilo é real e certeiro). Mas fique atento, a prática de se passar por outras pessoas, em contas fake, perfis hackeados, e-mail de phishing e outras alternativas são bem comuns.

Claro que nem tudo se resume a essas características, existem muitas outras, mas destacamos essas como as mais comuns.

As técnicas

Trazemos aqui um pouco mais sobre o modo de operação desses criminosos a fim de te ajudar na identificação desses golpes para não cair neles, a melhor forma de se proteger é conhecendo.

Phishing

Já falamos mais a fundo sobre esse método, você pode ler mais AQUI. Em resumo, se trata de um disfarce, onde o atacante se passa por outra pessoa ou instituição para ganhar sua confiança e conseguir seus dados. Há duas maneiras principais de se aplicar esse ataque, são elas: Spam Phishing (modelo generalizado que é encaminhado para muitas pessoas, são despersonalizados) e Spear Phishing (Tem um alvo específico, com um e-mail personalizado com estudo prévio sobre o alvo).

Link com Malware

Com certeza você já recebeu em algum momento um e-mail, SMS ou até mesmo uma mensagem de Whatsapp com um link para um site. Em qualquer forma de envio, a mensagem tem palavras que te convidam a clicar, que instigam curiosidade e podem pegar algum usuário mal avisado. Os links são repletos de malwares que se instalam no dispositivo.

Garantir que não haja denúncia

Os engenheiros sociais perspicazes nas armadilhas, que contém gatilhos ilícitos ou despertam a sensação de culpa e vergonha. Por exemplo, as vítimas podem ter clicado em algum link que promete “acesso irrestrito a conteúdos adultos, sem custo”, ou uma vaga de emprego (o funcionário não vai contar pro chefe que clicou num link malicioso de oportunidade de emprego), entre outras situações.

Baintig (iscas)

Abordamos aqui muitas técnicas que são aplicadas virtualmente, mas as iscas podem ser um pendrive deixado em público para que alguém curioso insira em seu computador para descobrir o conteúdo e acaba sendo infectado por malware.

Vishing

Envolve mais interação humana, já que se trata de uma ligação. Nesse estilo, o criminoso se passa por outra pessoa (um representante, um funcionário, um banco) e durante a conversa tenta obter informações. Podendo ser um ataque único como no caso do phishing ou ligações que tem o objetivo de completar as informações coletadas ilicitamente.

Farming

Um golpe muito sofisticado, é o oposto do vishing, aqui o criminoso procura ter um relacionamento com a vítima. Normalmente a vítima é estudada para que então um relacionamento seja construído, dependendo do pretexto (história construída). o objetivo é enganar a vítima por muito tempo, para obter o máximo de informações possíveis.

É importante destacar que a engenharia social está presente tanto online quanto offline e é importante que seja conhecida para ser evitada.

Como se proteger

Como você já sabe, a engenharia social explora as falhas do ser humano em uma situação de vulnerabilidade, quando está emocionado ou confiante. Listamos algumas práticas que podem ser tomadas como medidas para garantir a sua segurança.

Analise e desconfie

Como já comentamos, a melhor forma de se proteger é conhecendo. Você já sabe como esses criminosos atuam e portanto sabe como identificá-los, analise as situações e mantenha a calma. Desconfie quando encontrar as características descritas anteriormente e busque pelas fontes antes de tomar qualquer atitude.

Evite compartilhar informações

Muitas vezes estamos compartilhando informações sem perceber (quando clicamos em algum link ou aceitamos os cookies), o aceite de cookies costuma usar as informações de acordo com a LGPD (Lei geral de Proteção de Dados), mas você deve ficar atento ao aceitar estes cookies também. Algumas ações podem ser evitadas, como nos casos de engenharia social onde as informações são coletadas por conversas.

Padrão de atendimento

Isso se aplica aos processos internos de sua empresa, estabeleça formas de garantir a identidade antes de compartilhar informações, assim você se protege contra falsas identidades. Uma dica é conhecer um pouco mais sobre seus parceiros e como eles trabalham. A segurança deve ser levada a sério e treinamentos devem ser feitos com os funcionários a fim de conscientizar, mas não basta saber, precisa colocar em prática protocolos para que a segurança seja garantida.

Mantenha a calma

Como falamos, as emoções entram em jogo, então mantenha a calma. É comum que eles tentem pressionar, por isso ficar calmo e não ceder à pressão é essencial. Não acredite em coisas do tipo “sua conta será encerrada” ou “ouve acesso desconhecido à sua conta”, entre outras situações.

Confirme o remetente

Antes de tudo, é essencial conferir os remetentes dos e-mails, se os contatos telefônicos são válidos, e a veracidade das informações. Procure não conversar e trocar mensagens com pessoas suspeitas.

Link e Anexos

Evite, de toda forma, clicar em link de redirecionamento e em anexos de e-mail estranhos ou de e-mails conhecidos com mensagens estranhas e pedidos incomuns. Desconfie sempre de pedidos urgentes. Uma dica é passar o mouse (sem clicar) em cima do botão de redirecionamento (link) que a url costuma aparecer no canto da tela, assim você pode perceber que o redirecionamento pode ser para um site estranho.

Antivírus

Proteja seus equipamentos (celulares, computadores, etc) com um antivírus recomendado e qualificado. Pesquise bem e faça uma varredura constante. Além de manter o software atualizado.

Com todas essas dicas você já consegue se livrar de muitos golpes e não ser uma vítima em potencial, conte para seus colegas sobre os riscos e envie essa publicação para eles saberem mais!