Ataques de engenharia social estão relacionados a 40% dos casos de violação de dados que ocorreram em 2021, e são ameaças crescentes.
Cada vez mais sofisticados, esses ataques são projetados para enganar as pessoas. Assim, sua principal “brecha” são pequenos erros de cibersegurança que os profissionais da sua empresa podem cometer quando em uso de equipamentos e da rede corporativa.
Por isso, parte da solução passa pela educação para que as pessoas evitem comportamentos de risco. E outra parte passa por entender quais ferramentas são essenciais para conter a ação dos criminosos.
Neste post, vamos te explicar o que é e quais os principais tipos de ataques de engenharia social, além de apresentar soluções para a sua organização. Confira!
O que é engenharia social
A engenharia social pode ser entendida como uma tática de manipulação psicológica para obter informações sensíveis. Em outras palavras, é uma estratégia que se baseia na interação humana para enganar pessoas e conseguir acesso a dados pessoais ou sigilosos.
Embora o princípio seja sempre esse, não existe apenas um tipo de ataque de engenharia social. Visando atingir um número cada vez maior de vítimas ― especialmente em busca de retorno financeiro ―, os hackers desenvolveram diferentes tipos de ataques, como veremos a seguir.
Ataques de engenharia social: principais tipos
Existem diversos tipos de ataque de engenharia social e é bem provável que você já conheça alguns deles. Confira os principais a seguir:
Phishing
O phishing é um “tipo de golpe que busca obter nome ou login e senhas de acesso, além de dados de cartão de crédito” e outros. Para tanto, o contato dos criminosos simula, com alta fidelidade, mensagens reais.
Fácil de ser executado, o ataque dá certo quando a pessoa não percebe detalhes que sinalizam que o SMS ou e-mail sejam falsos, acaba clicando no link fornecido e compartilhando dados sensíveis sobre si ou sobre a organização.
Segundo o relatório Data Breach de 2022, da Verizon, esse é o tipo mais comum entre os ataques de engenharia social, responsável por mais de 60% dos casos.
Baiting
O baiting acontece quando o criminoso deixa um pendrive ou outro dispositivo infectado em um local onde é provável que alguém o encontre. Em geral, esse dispositivo é etiquetado com algo chamativo, de modo a instigar a curiosidade de quem o acha.
Dessa forma, se a “isca” funcionar, a pessoa vai conectar o pendrive com o malware em seu dispositivo de uso pessoal ou profissional, movida pela curiosidade de descobrir o que há no dispositivo.
Como consequência, o dispositivo é infectado, sendo que o malware também pode contaminar a rede corporativa, representando um perigo ainda maior.
Pretexting
O pretexting é um dos ataques de engenharia social mais eficientes e isso tem a ver com seu funcionamento. No caso, o criminoso entra em contato com a vítima em potencial e finge ser outra pessoa para tentar obter informações sigilosas.
Esse ataque pode acontecer tanto em ambiente online quanto offline. Ligações são um canal comum, sendo possível que um suposto técnico de TI entre em contato para solicitar dados de login ao sistema da empresa, por exemplo.
Quid pro quo
Do latim, quid pro quo significa “alguma coisa por alguma coisa”. Assim, esse ataque de engenharia social pressupõe uma troca que acontece sem que a vítima se dê conta.
Se passando por um fornecedor ou alguém do suporte técnico, por exemplo, o cibercriminoso retorna uma ligação do funcionário de sua empresa e o ajuda a resolver uma questão técnica. Para tanto, solicita informações para conseguir acesso a áreas protegidas ou instala algum malware no dispositivo da vítima.
Ataques de Engenharia Social: conheça alguns casos
É provável que, ao ler sobre os principais tipos de ataque sociais, você já tenha identificado casos vividos ou que tenham acontecido com pessoas próximas. Para dar uma dimensão maior do risco atrelado a essas ações, vamos compartilhar exemplos de casos contra organizações:
Shark Tank
Em 2020, um cibercriminoso quase roubou US$400 mil de Barbara Corcoran, jurada do programa de TV Shark Tank, e seu contador.
O hacker optou por um ataque de engenharia social do tipo phishing, criou um e-mail muito parecido a um legítimo e entrou em contato com o contador da jurada para solicitar o pagamento de uma suposta renovação de investimento em imóveis.
O golpe só não deu certo porque o contador entrou em contato com Barbara para confirmar a transação.
Toyota
Em 2019, a Toyota perdeu US$37 milhões em um ataque de engenharia social e BEC (Business Email Compromise).
Invasores bastante persuasivos convenceram um executivo do departamento financeiro da fornecedora de autopeças a alterar informações da conta bancária da empresa em uma transferência de fundos. Com isso, o crime foi completado.
Condado de Cabarrus
Em 2018, o condado americano de Cabarrus perdeu US$1,7 milhão em um ataque de engenharia social do tipo phishing.
Usando e-mails e documentação aparentemente legítima, os hackers se passaram por fornecedores do condado e indicaram uma nova conta bancária para qual novos pagamentos deveriam ser feitos. Depois de transferido, o dinheiro foi desviado para várias outras contas.
Ataques de Engenharia Social: como se proteger
Como vimos, ataques de engenharia social buscam manipular as vítimas para obter informações sensíveis. Para tanto, exploram sua confiança, curiosidade e outras emoções.
Sabendo disso, é crucial educar funcionários e clientes acerca de boas práticas de segurança da informação, seguindo dicas como:
- Não interagir com e-mails de desconhecidos e sempre verificar detalhes como o endereço eletrônico dos remetentes;
- Não clicar em links recebidos por mensagens ou e-mails duvidosos, tampouco em sites de procedência suspeita;
- Não baixar anexos de fontes desconhecidas e sempre contar com a TI para instalar programas e outras aplicações;
- Redobrar a atenção a qualquer tipo de interação que solicite dados confidenciais pessoais ou corporativos;
- Desconfiar de qualquer tipo de interação que envolva transações financeiras.
Aqui, vale lembrar de como o contador de Barbara Corcoran, do Shark Tank, escapou de um ataque de engenharia social por ser desconfiado e buscar a confirmação dos fatos antes de ceder informações e dinheiro.
Ataques de Engenharia Social: como proteger sua empresa
Por fim, é fundamental que sua empresa conte com ferramentas que ajudem a barrar os diferentes tipos de ataque de engenharia social. A seguir, você confere nossas principais sugestões:
- Antivírus corporativo;
- Firewall;
- Anti-phishing;
- Solução anti-fraude baseada em DMARC;
- VPN ou Rede Virtual Privada.
E, para ajudar a manter sua empresa protegida contra esses ataques e outras ameaças cibernéticas, a Prolinx oferece soluções de Conexão Segura sob medida para cada caso. Conte conosco!