Segurança cibernética 
Não, usar redes Wi-Fi públicas em aeroportos não é seguro porque você pode compartilhar seus dados privados sem saber com um cibercriminoso. Como as redes públicas
Publicado em outubro 05, 2022
Atualizado em 1 de novembro de 2023.
A engenharia social é uma técnica de manipulação psicológica usada por atores de ameaças para persuadir pessoas a fazerem coisas ou revelarem informações privadas. A engenharia social pode ocorrer online ou pessoalmente. Cerca de 70% a 90% das violações de dados envolvem engenharia social, tornando-a uma das maiores ameaças de segurança cibernética enfrentadas por empresas e indivíduos.
Continue lendo para saber como os ataques de engenharia social ocorrem, quais são os diferentes tipos de ataques de engenharia social e como se manter seguro deles.
Como ocorrem os ataques de engenharia social?
Para se preparar para um ataque de engenharia social, os atores de ameaças primeiramente investigam seu alvo para aprender detalhes de antecedentes, como pontos prováveis de exploração, como práticas de segurança cibernética inadequadas. O ator de ameaças fingirá ser alguém que não é para conquistar a confiança da vítima, aumentando a probabilidade de a vítima divulgar informações confidenciais ou permitir que o ator de ameaças tenha acesso a sistemas internos.
É importante entender que a engenharia social também pode ocorrer pessoalmente. Os ataques de engenharia social presenciais geralmente ocorrem quando os atores de ameaças se passam por alguém, como um funcionário de manutenção ou um entregador. Desta forma, podem entrar em um prédio ao qual não têm acesso. Uma vez que um ator de ameaças consiga acesso ao edifício, ele tentará violar sistemas para roubar informações confidenciais e usá-las para fins maliciosos.
Tipos de ataques de engenharia social
São sete os tipos de ataques de engenharia social:
Phishing
Phishing é o tipo mais comum de ataque de engenharia social. Em um ataque de phishing, os cibercriminosos atraem suas vítimas para divulgar voluntariamente informações confidenciais, fingindo ser alguém que a vítima conhece ou uma empresa com a qual a vítima tem uma conta ou serviço. Na maioria das vezes os ataques de phishing são enviados por e-mails.
Esses e-mails podem conter links maliciosos e anexos maliciosos que levam a vítima a clicar neles. Clicar em um link ou anexo malicioso pode infectar imediatamente o dispositivo de uma vítima com malware ou levar a vítima para um falsificado que parece o verdadeiro. Sites falsificados são projetados para roubar informações confidenciais, como credenciais de login e números de cartão de crédito.
Smishing e vishing
O smishing, também conhecido como phishing por SMS, é um tipo de ataque de phishing que ocorre por meio de mensagens de texto SMS em vez de e-mail. Essas mensagens frequentemente contêm ofertas de bens gratuitos ou alertas urgentes envolvendo informações bancárias ou confidenciais. O principal objetivo de um ataque de smishing é fazer com que as vítimas cliquem em um link malicioso para roubar suas informações confidenciais.
O vishing é outro tipo de ataque de phishing, mas ocorre por meio de uma chamada telefônica, em vez de mensagens de texto ou e-mails. Esse tipo de ataque de phishing tende a ser mais convincente, pois geralmente há outra pessoa falando do outro lado. O principal objetivo do vishing é fazer com que a vítima divulgue informações confidenciais que o ator de ameaças pode usar para fins maliciosos. O vishing tornou-se mais difícil de detectar, pois os atores de ameaças agora estão aproveitando a Inteligência Artificial (IA) para imitar vozes de pessoas que as vítimas conhecem.
Piggybacking e tailgating
O piggybacking ocorre quando os atores de ameaças tentam obter acesso a uma rede, sistema ou edifício físico para comprometer informações confidenciais. Os atores de ameaças que usam o piggybacking podem obter acesso a uma rede ou sistema usando uma rede Wi-Fi desprotegida (sem senha). Para obter acesso a um edifício físico usando piggybacking, os atores de ameaças contam com a gentileza dos funcionários que abrem uma porta para eles, ou acessando uma porta deixada aberta.
Piggybacking e tailgating são bastante semelhantes, com a diferença de que o tailgating ocorre quando os atores de ameaças ganham acesso a um edifício físico sem que outras pessoas saibam ou percebam. Os atores de ameaças podem passar por uma porta enquanto ela está fechando. Como ninguém sabe como eles conseguiram entrar no edifício, eles se passam por pessoas autorizadas a estar lá.
Pretexting
O pretexting ocorre quando um ator de ameaças tenta persuadir uma vítima a revelar informações confidenciais ou oferece dinheiro para ela inventando uma história convincente. O ator de ameaças normalmente finge ser alguém como um amigo, parente, colega de trabalho ou chefe, para que a vítima seja mais persuadida a fornecer informações confidenciais. Os ataques de pretexting podem acontecer por meio de chamadas telefônicas, mensagens de texto, e-mails ou pessoalmente.
Fraude de CEO
A fraude do CEO ocorre quando um ator de ameaças finge ser o CEO de uma empresa na tentativa de fazer com que os funcionários forneçam informações confidenciais ou enviem dinheiro, geralmente na forma de cartões de presente. Para realizar um ataque de fraude do CEO, os atores de ameaças normalmente enviam várias mensagens ou vários e-mails à vítima antes de fazer sua solicitação. Isso os ajuda a parecer mais convincentes e lhes dá tempo para ganhar a confiança da vítima.
Scareware
O scareware ocorre quando os atores de ameaças usam manipulação psicológica para enganar as vítimas a fazer download do que eles acham que é um software antivírus, mas na verdade é malware. O malware é um tipo malicioso de software usado por atores de ameaças para roubar informações confidenciais espionando usuários ou rastreando suas teclas digitadas.
Esse tipo de ataque de engenharia social é mais comumente realizado exibindo pop-ups aleatórios no dispositivo da vítima que dizem que o dispositivo está infectado com um vírus. A mensagem também indicará que, para se livrar do vírus, a vítima precisa baixar o software antivírus imediatamente. Se a vítima clicar no pop-up, ela começará a baixar automaticamente um vírus ou malware no dispositivo. Uma vez que o download for concluído, o malware enviará informações confidenciais ao ator de ameaças para que ele possa usá-las para roubar a identidade da vítima e comprometer suas contas on-line.
Golpes românticos
Os golpes românticos ocorrem quando os atores de ameaças fingem ser o interesse amoroso em potencial de uma vítima. Os atores de ameaças geralmente usam a identidade de outra pessoa ao realizar um golpe romântico, também conhecido como catfishing da vítima. Quando um ator de ameaças faz com que uma vítima caia em um golpe romântico, ele a manipula para enviar dinheiro ou fornecer informações pessoais que possam ser usadas para roubar a identidade da vítima ou comprometer suas contas.
Se uma vítima enviar dinheiro ao ator de ameaças, após conseguir o que quer, ele poderá continuar pedindo mais dinheiro, ou parar de entrar em contato com a vítima completamente.
Como se proteger da engenharia social
Para se proteger da engenharia social, é necessário limpar sua pegada digital, ter cautela com sua segurança, tanto on-line quanto presencial, proteger suas contas com senhas fortes e autenticação multifatorial (MFA) e evitar o compartilhamento excessivo de informações pessoais.
Limpe sua pegada digital
Sua pegada digital é composta pelos vestígios de dados que você deixa na internet. Existem dois tipos principais de pegadas digitais, passivas e ativas. Sua pegada passiva consiste nos dados que os sites coletam sobre você em segundo plano, como histórico de navegação, histórico de compras e cookies. Sua pegada digital ativa são os dados que você publica conscientemente na internet, como postagens em redes sociais e avaliações públicas.
É importante limpar sua pegada digital, pois quanto mais dados existirem sobre você on-line, mais fácil será para os atores de ameaças atingirem você com ataques de engenharia social. Aqui estão quatro maneiras de limpar sua pegada digital:
- Remova suas informações de sites de busca de pessoas
- Evite compartilhamento excessivo nas mídias sociais
- Torne seus perfis de mídia social privados
- Exclua e desative contas que você não usa mais
Tenha cautela com sua segurança on-line e pessoalmente
Como os ataques de engenharia social podem ocorrer pessoalmente ou on-line, é importante ter cautela quanto a quem você fornece informações pessoais e a quem você deixa entrar em um edifício. Se você for alguém que trabalha no escritório de uma empresa, não permita que qualquer pessoa entre e fique alerta com pessoas seguindo você de perto, pois essa pessoa pode facilmente ter invadido o edifício.
Proteja suas contas on-line
Na eventualidade de você se tornar vítima de um ataque de engenharia social, é importante que saber as medidas de segurança já implementadas para proteger suas contas on-line. Isso inclui ter senhas fortes e autenticação multifatorial habilitada em contas nas quais essa opção esteja disponível.
Em vez de confiar em si mesmo para criar suas senhas, use um gerador de senhas ou crie uma conta em um gerenciador de senhas. Os gerenciadores de senha ajudam os usuários a criar, gerenciar e armazenar com segurança as senhas para que não precisem se lembrar de todas elas por conta própria. Além de senhas fortes, é igualmente importante ter a MFA habilitada.
A MFA é uma medida de segurança que requer uma ou mais camadas de autenticação além do seu nome de usuário e senha para fazer login com sucesso em uma conta. Mesmo que um ator de ameaças consiga obter seu nome de usuário e senha por meio de um ataque de engenharia social, ele não poderá comprometer sua conta sem o fator adicional de autenticação.
Evite o compartilhamento excessivo de informações pessoais
Como mencionado anteriormente, para manter sua pegada digital limpa, é necessário evitar compartilhar em excesso informações pessoais on-line. No entanto, também é importante ter cuidado com as informações que compartilha com as pessoas presencialmente. Nunca se sabe quais podem ser as intenções de uma pessoa; por isso, é melhor estar seguro e manter suas informações pessoais para si e compartilhar apenas com pessoas com as quais você sabe que pode confiar.
Como proteger sua organização da engenharia social
Para proteger sua empresa contra ataques de engenharia social, envie aos funcionários e-mails de phishing simulados, treine regularmente os funcionários nas melhores práticas de segurança cibernética, invista em um gerenciador de senhas empresarial e implemente o Princípio do Menor Privilégio (PoLP).
Envie e-mails de phishing simulados
E-mails de phishing simulados são e-mails enviados por empresas aos seus funcionários para testar suas habilidades em detectar ataques de phishing. Enviar esses testes de phishing simulados é uma ótima maneira de determinar quais funcionários são capazes de detectá-los ou não. Se um funcionário cair em um desses testes de phishing clicando no conteúdo do e-mail, ele terá falhado no teste e precisará passar por treinamento adicional para aprender a identificá-los.
Existem muitas ferramentas de phishing disponíveis para enviar esses testes de phishing, incluindo as gratuitas de código aberto, como o Gophish. Há muitos produtos comerciais como KnowBe4 e Infosec IQ.
Treine seus funcionários em segurança cibernética
Os testes de phishing não devem ser a única coisa a se fazer para proteger sua empresa; você também precisa treinar regularmente seus funcionários nas melhores práticas de segurança cibernética como as seguintes:
- Use senhas fortes e exclusivas para cada conta
- Habilite a MFA em contas sempre que for uma opção
- Evite usar redes Wi-Fi públicas ao viajar ou trabalhar remotamente
- Mantenha seus softwares e hardwares atualizados
- Faça backup de dados regularmente
Quanto mais os funcionários souberem sobre segurança cibernética, melhor serão em praticá-la para mitigar os riscos de ataques cibernéticos, como a engenharia social.
Invista em um gerenciador de senhas empresarial
Um gerenciador de senhas empresarial ou corporativo é uma ferramenta que ajuda as empresas a garantirem que os funcionários sempre usem senhas fortes para cada uma de suas contas de funcionário. Com um gerenciador de senhas empresarial, os administradores de TI têm total visibilidade sobre os hábitos de senha dos funcionários e podem aplicar o uso da MFA para tornar as contas mais seguras.
No que diz respeito ao phishing, que é o tipo mais comum de ataque de engenharia social, o maior risco é ter senhas comprometidas. Os gerenciadores de senha salvam endereços de sites juntamente com credenciais de login, o que significa que protegem os usuários de inserir suas credenciais em um site falsificado, pois os gerenciadores de senha não fazem o preenchimento automático em um site que não reconhecem.
Implementar o princípio do menor privilégio
O princípio do menor privilégio é um conceito de segurança cibernética que afirma que os usuários devem ter apenas o acesso de rede necessário para as informações e sistemas que precisam para realizar suas funções, e não mais do que isso. A implementação do princípio do menor privilégio reduz a superfície de ataque de uma empresa e, no caso de um ator de ameaças ganhar acesso à conta de um funcionário, isso o impede de se mover lateralmente pela rede da empresa.
Proteja-se de ataques de engenharia social
Os ataques de engenharia social podem atingir qualquer pessoa, não importa quem você seja. É importante que indivíduos e empresas tomem medidas para se proteger de ataques de engenharia social para minimizar os riscos.
Inicie uma avaliação pessoal de 30 dias, ou uma avaliação empresarial de 14 dias gratuita do gerenciador de senhas do Keeper hoje mesmo para começar a proteger suas contas on-line de ataques de engenharia social.
