Mercado fechado
  • BOVESPA

    114.064,36
    +1.782,08 (+1,59%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    51.464,27
    +125,93 (+0,25%)
     
  • PETROLEO CRU

    73,25
    -0,05 (-0,07%)
     
  • OURO

    1.746,90
    -2,90 (-0,17%)
     
  • BTC-USD

    44.787,70
    +1.376,58 (+3,17%)
     
  • CMC Crypto 200

    1.122,50
    +13,58 (+1,22%)
     
  • S&P500

    4.448,98
    +53,34 (+1,21%)
     
  • DOW JONES

    34.764,82
    +506,50 (+1,48%)
     
  • FTSE

    7.078,35
    -5,02 (-0,07%)
     
  • HANG SENG

    24.510,98
    +289,44 (+1,19%)
     
  • NIKKEI

    30.190,92
    +551,52 (+1,86%)
     
  • NASDAQ

    15.330,25
    +26,75 (+0,17%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    6,2266
    +0,0016 (+0,03%)
     

O que é engenharia social? Veja como evitar problemas de segurança

·8 minuto de leitura

Muito se fala sobre as ameaças cibernéticas, que aproveitam de vulnerabilidades dos sistemas para invadir as redes e roubar dados de usuários. Porém, não são só falhas virtuais que podem causar problemas para a população. Erros humanos podem acontecer e comprometer informações, e é isso que a engenharia social tenta causar.

Engenharia social é uma técnica usada por criminosos virtuais para induzir usuários desavisados a enviar dados confidenciais, infectar seus computadores com malware ou abrir links para sites maliciosos.

Nos crimes virtuais, esses golpes geralmente atingem pessoas desavisadas ou sem muita experiência no mundo virtual. As vítimas podem ter desde seus dados roubados até mesmo seus computadores infectados com vírus. Além disso, os ataques podem acontecer tanto online quanto por telefone ou outros tipos de comunicação.

Tipos de engenharia social

Existem vários tipos de ataques de engenharia social, sempre tentando usar situações humanas para induzir a pessoa a algum erro. Confira os tipos principais a seguir:

Quid pro quo

Você com certeza já recebeu aquele e-mail falando que ganhou uma bolada de dinheiro, e que para receber a quantia, bastava enviar seu CPF ou algum outro dado pessoal para o remetente, não? Esse é a engenharia social chamada de Quid pro quo.

O nome é uma expressão em latim que significa “troca justa não é um roubo”. É uma prática muito comum em ataques virtuais, sendo usado desde ransomware até os chamados "scareware", onde uma mensagem promete aos usuários de computador uma atualização para cuidar de um problema de segurança urgente quando, na verdade, o próprio comunicado é a ameaça.

Phishing

<em>Exemplo de engenharia social usada no phising. (Imagem: Reprodução Correio Braziliense)</em>
Exemplo de engenharia social usada no phising. (Imagem: Reprodução Correio Braziliense)

Em outras situações os criminosos tentam se passar por instituições confiáveis, copiando o layout de um e-mail corporativo. Uma rápida checagem do endereço remetente, porém, mostra que se trata de um golpe, já que e-mails de empresas sempre vem por credenciais específicas — mas um usuário desavisado pode cair no golpe.

Ainda dentro dessa categoria em que os criminosos tentam se passar por instituições conhecidas, existe o vishing, em que os contatos são feitos pelo telefone; e o smishing, em que os golpistas enviam mensagens SMS tentando fazer com que a pessoa vaze informações. É necessário prestar bastante atenção nesses casos, já que a maioria das pessoas acha que ambas as formas de comunicação usadas nesses tipos de ataque estão menos sujeitas a golpes.

Isca

A isca é um método que envolve a criação de uma armadilha, tal como um pen drive USB carregado com malware. Uma vítima encontra o dispositivo e, curioso para ver o que está no aparelho, coloca-o na sua unidade USB, o que resulta num comprometimento do sistema.

Existem casos de isca onde os criminosos só querem atrapalhar a vida das vítimas, sem se interessar pelos dados sensíveis da pessoa. Existem pen drives que, depois de alguns minutos no computador, soltam um pico de energia intenso que danifica a máquina onde ele está inserido, e eles são usados nesses tipos de golpe.

Spamming de contatos e hacking de e-mail

E-mails comprometidos em vazamento de dados podem ser sequestrados por invasores que os usam para enviar mensagens com arquivos maliciosos para toda lista de contato da conta, o chamado "spamming de contatos”. Já recebeu aquele “confira esse site incrível” do e-mail do seu irmão? Melhor desconfiar.

Em alguns casos, os criminosos podem invadir uma conta de e-mail sem que os dados de acesso dela estejam vazados, com o intuito de realizar o spamming de contatos.

Pretexto

Alguns criminosos fazem uso de pretextos, ou seja, histórias, para tentar fisgar as vítimas. Apelando para a inclinação humana de querer ajudar os outros, usuários recebem e-mails de príncipes nigerianos que perderam recentemente seu pai, e que precisam de 500 reais para poderem assumir o trono. A pessoa, comovida com a narrativa, clica no link do e-mail e acaba baixando vários vírus em seu computador.

Cultivo

Alguns casos de engenharia social podem envolver até mesmo comunicação direta entre o invasor e a possível vítima, com a construção de uma relação entre os dois enquanto na verdade o invasor só quer roubar dados. Casos até mesmo de pessoas fingindo estar apaixonadas por uma vítima podem ocorrer, onde a vulnerabilidade causada pelo período das emoções à flor da pele acaba fazendo com que a pessoa vaze informações sensíveis para a outra.

Como se proteger da engenharia social

É díficil se defender da engenharia social, já que essas fraudes são feitas para explorar impulsos e erros humanos, que não são tão simples de arrumar quanto uma atualização de software.Porém, existem várias dicas que podem ajudar você a melhor identificar e se prevenir de tentativas de golpe. Na maioria das vezes são procedimentos para checar a veracidade das informações recebidas, um processo necessário e importante.

Confira a fonte

Recebeu um e-mail de uma empresa? Cheque o remetente. Achou uma unidade USB do nada em sua mesa? Tente traçar a origem do dispositivo antes de o conectar em seu computador. Checar a fonte é um processo que não demanda muito esforço, e que pode poupar muito estresse no futuro.

Até pequenos detalhes, como erros ortográficos em uma suposta comunicação oficial de um banco, podem levantar suspeitas, então fique de olho. Em último caso, entre em contato por telefone ou outro meio legítimo com quem supostamente está pedindo algo. Suas dúvidas com certeza serão sanadas e você permanecerá seguro.

Veja o que eles sabem sobre você

Você recebeu um telefonema do banco e ele não começou com o atendente fazendo perguntas de segurança, mas sim perguntando seu nome ou algum outro dado pessoal? É bem possível que era um golpe. Até comunicações por e-mail contam com pequenos detalhes para identificar que são reais, como no caso da Nota Fiscal Gaúcha, que sempre tem uma frase de segurança escolhida pelo usuário no cabeçalho do e-mail. A falta dessas informações deve ser observada sempre.

Mantenha a calma

A engenharia social muitas vezes depende de um senso de urgência. Em um exemplo fora do mundo digital, se você recebe um telefonema falando que sua mãe foi sequestrada, sua primeira reação é ficar desesperado. Porém, se você se acalma e entra em contato com ela, o bandido perde toda a vantagem que tinha no golpe.

Os criminosos esperam que os seus alvos, tanto no mundo digital quanto no real, não pensem muito no que está acontecendo. Se você conseguir manter a calma e procurar, por exemplo. pelo contato oficial da empresa que está supostamente entrando em contato com você, você verá com facilidade como é fácil quebrar os objetivos dos criminosos.

Peça identificação

Recebeu um telefonema que de cara já está pedindo várias informações pessoais? Pergunte com quem o telefonista trabalha e qual o nome dele, ou desligue e vá entrar em contato com os números oficiais da instituição. Não aceite de cara os questionamentos, trate com cuidado os seus dados e sempre investigue o que realmente está acontecendo.

Use um bom filtro de spam

Sempre confira se seu e-mail está com um bom filtro de spam. Vários filtros usam diversos tipos de informação para determinar quais mensagens podem ser maliciosas. Eles também contam com um banco de dados que permite identificar links suspeitos ou anexos perigosos, além de possuírem uma lista de IP de remetentes suspeitos, que são automaticamente bloqueados caso cheguem na sua caixa de entrada.

Isso é real?

<em>Dificilmente um princípe nigeriano precisará de 500 reais seus. (Imagem: Reprodução/Westein)</em>
Dificilmente um princípe nigeriano precisará de 500 reais seus. (Imagem: Reprodução/Westein)

Quantas pessoas você já ouviu falar que receberam um e-mail do nada e viraram milionários da noite para o dia? Pois é, nenhuma. Sempre que receber alguma mensagem ou telefonema, tente identificar se aquilo tem chances reais de acontecer. O famoso e-mail do príncipe nigeriano pedindo 500 reais para assumir o trono é totalmente irreal, por exemplo. Basta, como dito acima, manter a calma e refletir um pouco.

Proteja seus dispositivos

Como dito no começo dessa sessão, se defender de ataques de engenharia social não é um processo fácil. Porém, caso você caia em um, se seus dispositivos estiverem com antivírus em dia e com as atualizações de software mais atuais, o impacto de uma invasão pode ser diminuído. Além disso, evite usar a mesma senha em todas as contas. Se as credenciais forem variadas, no caso de um vazamento ocorrer, menos informações ou acessos estarão comprometidos. Também faça uso da autenticação de dois fatores para que só a senha não seja o suficiente para acessar os serviços.

Pense na sua presença digital

Vivemos em uma época onde as pessoas compartilham muitas informações nas redes sociais, e isso pode ser perigoso. Bancos e outras instituições podem usar como uma pergunta de segurança para recuperação da conta algo como ‘nome do primeiro animal de estimação”. Se você compartilhou esse dado no Instagram, é possível que os criminosos saibam a resposta, e a usem para invadir suas contas.Alguns ataques de engenharia social também tentam ganhar sua confiança usando eventos recentes compartilhados em redes sociais para chamar sua atenção.

As recomendações gerais para evitar essas situações são para sempre checar a privacidade das redes sociais, deixando as postagens configuradas para “apenas amigos” e tomar cuidado com o que está sendo publicado na internet. Essa cautela deve ser expandida para várias outras situações online, como um currículo digital, onde é uma boa opção esconder endereço, número de telefone e data de nascimento, para que essas informações não sejam de acesso público.

Fonte: Canaltech

Trending no Canaltech:

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos