Conheça 5 formas de ataques de Engenharia Social
Conheça 5 formas de ataques de Engenharia Social e saiba como evitar
Compartilhe:
Assine nossa newsletter

Fique por dentro das melhores notícias, eventos e lançamentos do mercado




    Conheça 5 formas de ataques de Engenharia Social e saiba como evitar

    Publicado em: 28 de agosto de 2023

    Aprenda a se proteger e entenda como essa prática criminosa pode colocar sua empresa e seus dados em risco.

    Mesmo que uma empresa adquira as melhores e mais caras tecnologias de cibersegurança disponíveis no mercado, além de contar com profissionais altamente treinados e qualificados, saiba que a operação continuará vulnerável. Isso porque a Engenharia Social, que acontece quando o atacante se vale de suas habilidades sociais para obter informações privilegiadas ou sigilosas de uma empresa e até mesmo de seus sistemas computacionais, é uma prática criminosa em expansão.

    Em 2022, por exemplo, houve crescimento de 356% no número de ataques avançados de phishing, segundo a empresa de prevenção israelense Perception Point. Ainda de acordo com a instituição, em 2023, o número total de ataques aumentou 87%.

    Além do phishing, conforme listado abaixo, há atualmente mais quatro métodos de Engenharia Social que são considerados como as principais ameaças à Segurança da Informação das empresas. Veja abaixo como detectar e combater essas práticas.

    Phishing

    Phishing ou “pesca”, em português, é talvez o golpe mais comum na internet. Nesta prática, o atacante tenta obter dados pessoais e financeiros se passando por uma pessoa ou empresa confiável, geralmente por meio de e-mails, em que solicita informações como login, senha e número do cartão de crédito entre outros. Uma abordagem muito comum desse ataque é se utilizar de uma URL ou domínio de e-mail semelhantes à de empresas conhecidas. Apesar de ser, talvez, o mais simples dos ataques, é também o mais eficiente. A boa notícia é que ele pode ser combatido com ações simples por parte do usuário, tais como verificação das URLs, não fornecer dados de segurança bancária com base em mensagens, verificar uso de https e não abrir anexos de fontes não confiáveis, entre outros.

    Spear Phishing

    Muito parecido com o Phishing, porém, nessa tática, o atacante forja páginas falsas que se assemelham com as reais de grandes bancos e corporações. Por meio desses sites falsos, o cibercriminoso geralmente injeta malwares nos dispositivos de rede da empresa afim de coletar dados pessoais e sigilosos. A dica para detectar essas páginas é sempre conferir o endereço de e-mail com muito cuidado, principalmente o domínio, além de ativar os softwares antispam e antivírus.

    URL Obfuscation

    É uma técnica de Engenharia Social na qual o atacante esconde um endereço web malicioso de forma a deixá-lo parecido com uma URL legítima. Ao enviar o link malicioso, o usuário, desatento, é comumente enganado, e por fim, acaba fornecendo dados como login e senha de acesso. Hoje em dia, com os sites encurtadores de URL, está bastante fácil disfarçar e divulgar URLs falsas. Embora sejam muito difícil de serem identificadas, existem algumas maneiras de se evitar. Para se prevenir, o recomendado é utilizar um gerenciador para o usuário armazenar suas senhas em local seguro. Esse tipo de recurso também impede que sejam colocadas senhas em sites suspeitos.  Utilizar autenticação multifator (MFA) também é uma boa saída. Isso porque mesmo que o usuário digite o usuário e a senha em determinada URL, o atacante não teria acesso ao dispositivo.

    Baiting

    Baiting ou Isca, em português, se refere a ações do atacante nas quais são disponibilizadas um presente, ou seja, um dispositivo infectado, por exemplo. Geralmente são utilizadas iscas curiosas, ou atraentes, para fazer com que a vítima fique interessada em acessar o dispositivo para obter as informações contidas. É aí que o objeto malicioso infecta a máquina do usuário e, muitas vezes, se alastra para toda a rede da empresa. Para evitar este tipo de ataque, a melhor arma é o conhecimento e a conscientização de todos. Deve-se ter em mente que cada comportamento minimamente suspeito pode ser potencialmente perigoso. Ao detectar tal situação é recomendado comunicar os responsáveis para averiguar a ameaça.

    Quid Pro Quo

    Significa “Dar e Receber” ou “Isto por Aquilo”. São ataques baseados no abuso de confiança e geralmente assumem a forma de um serviço ou pesquisa. Por exemplo, ser contatado por um “funcionário da TI” solicitando login e senha para efetuar uma limpeza no dispositivo. Ou, ainda, um e-mail do “RH” solicitando que seja respondida uma pesquisa de satisfação ou até mesmo o cadastro para um sorteio de brindes. Esses ataques são baseados principalmente no abuso de confiança. Para se proteger, basta ter em mente uma atitude cautelosa e nunca fornecer informações pessoais em algo que não foi iniciado por você. Na suspeita, a recomendação é retornar o contato usando o número de telefone que consta do site oficial da empresa e.  trocar a senha imediatamente. Além disso, utilizar senhas fortes e trocá-las regularmente é uma saída para evitar essas ameaças; os softwares gerenciadores de senhas podem ajudar nessa parte.

    De forma geral, a dica para evitar esses tipos de ataques de engenharia social é suspeitar de e-mails ou mensagens solicitando informações internas e não fornecer informações pessoais, tampouco da organização, a um solicitante desconhecido. Outra dica é jamais enviar informações confidenciais por meio de links não verificados, e, manter sempre atualizados os softwares de firewall, os antivírus e os filtros de e-mail.

    *Renato Mirabili Junior é consultor de Segurança da Informação da Protiviti. A empresa é especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.

    Compartilhe:

    Publicações relacionadas

    Entenda as principais tendências em cibersegurança para os próximos meses 

    24 de outubro de 2024

    Para abordar as tendências atuais em cibersegurança, é essencial compreender o panorama dinâmico e em constante evolução das ameaças cibernéticas. Nesse artigo, conheça as tendências mais recentes identificadas por pesquisas especializadas, destacando os desafios emergentes e as estratégias inovadoras adotadas para proteger sistemas e dados contra ameaças cada vez mais sofisticadas.  Cibersegurança: panorama atual A […]

    Leia mais

    Esteganografia e Criptografia na Segurança da Informação: saiba mais sobre isso

    16 de outubro de 2024

    Na era digital, a segurança da informação se tornou uma preocupação primordial para indivíduos e organizações. Duas técnicas cruciais nessa área são a esteganografia e a criptografia. Embora ambas sejam usadas para proteger informações, elas operam de maneiras distintas e têm diferentes aplicações. Neste artigo, confira o que são esteganografia e criptografia, suas diferenças e […]

    Leia mais

    Governança dos algoritmos de IA utilizando o Microsoft Purview

    4 de setembro de 2024

    De assistentes digitais pessoais a veículos autônomos, a Inteligência Artificial (IA) está revolucionando a forma como interagimos com a tecnologia e uns com os outros. Nesse cenário,  o Microsoft Copilot e o ChatGPT da Open AI estão na vanguarda, aproveitando tecnologias transformadoras como Generative Pretrained Transformers (GPT) e Large Language Models (LLM). Essas ferramentas avançadas […]

    Leia mais

    Engenharia Social: entenda o ‘hacking humano’

    12 de junho de 2024

    A engenharia social é uma tática que visa explorar a natureza humana para obter informações confidenciais, acesso a sistemas ou realizar ações não autorizadas.

    Leia mais