Os crimes na internet evoluíram com a mesma velocidade (ou superior) que os mecanismos de defesa. Dia após dia, novos relatos de vírus, malwares e esquemas de phishing são divulgados em fóruns e sites sobre segurança digital.

Os bandidos que praticam cibercrimes são astutos e se esforçam para renovar constantemente seu arsenal de técnicas para roubar dados de pessoas e empresas. 

Atualmente, um dos temas mais discutidos é a engenharia social. Trata-se da habilidade de ganhar acesso à sistemas e bancos de dados ao explorar a fragilidade mental do ser humano, ou seja, criando truques para enganar uma pessoa e fazer com que ela coopere com o ataque, facilitando o acesso às informações.

A aplicação da engenharia social utiliza técnicas de persuasão, porém, conta com diversos deslizes cometidos pela empresa - como falta de treinamento ou de uma boa estrutura de segurança da informação - para obter sucesso em suas investidas.  

Nos próximos tópicos iremos falar sobre os principais golpes de engenharia social e como sua empresa pode se proteger e preparar contra esse tipo de ataque.

Como funcionam os ataques de engenharia social?  

A engenharia social pode ser aplicada de diversas maneiras. Nem sempre tudo é feito pela internet, alguns casos envolvem o uso de telefones e até observação in loco. O mais importante a saber é que esses golpes estruturados costumam ser aplicados por grupos que conhecem a empresa, suas operações e até seus funcionários. Alguns grupos aplicam “minigolpes” aparentemente inofensivos para conseguir informações para estruturar um ataque mais amplo.

As técnicas utilizadas variam muito de acordo com a criatividade do grupo (o que torna ainda mais difícil a listagem de todos os tipos de golpe), porém, algumas já se tornaram conhecidas dos especialistas em segurança. São elas:  

Baiting  

Bait em inglês significa isca, sendo que baiting é a técnica que consiste em deixar uma espécie de atrativo (como um pendrives ou um CD na porta de casa ou enviado para o escritório) para que a pessoa abra e acesse algum formato de arquivo malicioso. Ao abrir o arquivo, o usuário pode dar acesso do dispositivo ao hacker.

A tática envolve pouco trabalho para o criminoso. Todo o esforço se concentra em infectar um dispositivo e estudar a melhor forma de deixá-lo acessível ao alvo. Para facilitar ainda mais o trabalho, é preciso pensar em um nome para o arquivo que faça com que ele pareça seguro, algo como “relatórios 2018”. 

Pode parecer fantástico ou muito difícil de acontecer, porém, pesquisas realizadas por especialistas em segurança do exército americano provou o contrário. Foram deixados CDs e pendrives espalhados pelo estacionamento dos prédios governamentais para analisar o comportamento dos funcionários. Mais de 60% das pessoas abriram o conteúdo. Quando o dispositivo continha o logo oficial do local de trabalho, essa taxa subiu para 90%.

Phishing 

Apesar de não ser nenhuma novidade, os e-mails de phishing ainda conseguem ter sucesso. A técnica consiste em produzir uma comunicação fraudulenta que aparenta ser emitida por uma fonte confiável, como um banco, o local de trabalho ou alguma outra instituição de confiança.

O ataque pode coagir a vítima a instalar algum malware no dispositivo, compartilhar informações confidenciais ao preencher cadastros ou conduzir o usuário a clicar em um link infectado.

O phishing é muito aplicado por meio de mensagens eletrônicas, porém, alguns casos de uso do Facebook e do Whatsapp também já foram relatados. Há também uma variação do golpe, conhecida como spear phishing. Neste esquema, os hackers analisam a empresa, descobrem informações de chefes e se passam por eles para coagir os funcionários a entregar informações confidenciais. 

Pretexting 

Nesse tipo de ataque, os criminosos forjam uma circunstância favorável para obter acesso às informações. É o que acontece muitas vezes em golpes feitos pelo telefone. Os hackers se munem de informações como nomes de chefes, endereços residenciais e perfis de redes sociais para entrar em contato com algum funcionário e criar uma situação enganosa e coagir a pessoa.

Imagine que um colaborador recebe um e-mail com assinatura eletrônica de um superior e a requisição para ligar para um número e falar com a empresa de segurança. Do outro lado da linha estão os criminosos com tudo pronto para captar os dados que serão fornecidos sem muita objeção pela vítima.

Dependendo do alvo, os criminosos nem realizam grandes artimanhas, apenas ligam fingindo serem técnicos da TI e pedem informações de acesso. 

Quid Pro Quo

Essa expressão latina significa “alguma coisa por alguma coisa”. Na engenharia social ela se aplica da seguinte maneira: é estruturado um golpe no qual há um aparente benefício para a vítima.

Um bom exemplo dessa engenharia social ocorreu com a Cambridge Analytica, a empresa usou testes de personalidade no Facebook para obter dados pessoais das pessoas, descobrir seu perfil e influenciar nas eleições norte-americanas.

Tailgating

A tática mais física e arrojada dessa lista trata de seguir pessoas autorizadas a acessar áreas de grande concentração de dados e acessar os locais. Geralmente, os hackers se passam por funcionários da empresa (ou, realmente são) e criam situações como “esqueci meu crachá de acesso” ou “você pode segurar a porta? vou entrar também”.

Esse tipo de golpe é essencialmente simples e se vale da ingenuidade das pessoas e um pouco de carisma por parte do criminoso. São mais raros, porém, já foram utilizados até em situações de roubo de residências e prédios comerciais.

Para evitar golpes de engenharia social, uma empresa precisa estruturar um processo de treinamento e conscientização de seus funcionários. É importante abordar os seguintes pontos:

  • Atenção para evitar computadores logados ou papéis com informações confidenciais à disposição;
  • Desconfiança de situações anormais ou que parecem muito fora da rotina da empresa (como o caso do pendrive ou do e-mail do chefe);
  • Conhecimento sobre as formas de ataque e suas particularidades (esse vale muito para os casos de phishing);
  • Plena noção dos processos de comunicação (para gerar desconfiança sobre e-mails enviados por superiores distantes ou por setores que não se comunicam diretamente);
  • Noções de segurança da informação;
  • Estabelecimento de um canal de comunicação com os responsáveis da TI para análise de suspeitas.

Essas são algumas das técnicas que uma empresa pode colocar em prática para evitar que golpes de engenharia social atinjam seus empregados e também as informações corporativas.

É necessário estar de olhos abertos às ameaças. Os avanços das tecnologias de comunicação e relacionamento na web ampliaram o acesso dos hackers a informações que facilitam os golpes, portanto, todo cuidado é pouco e toda desconfiança não será demais!