Ataques de pretexting podem ocorrer a qualquer momento, portanto é importante entender o que são e quais as maneiras de proteger os funcionários contra eles. Você pode proteger sua organização contra ataques de pretexting evitando clicar em links não solicitados, não compartilhando informações pessoais online e conscientizando funcionários sobre técnicas de pretexting.
Continue lendo para saber mais sobre pretexting e as técnicas utilizadas por cibercriminosos para convencer vítimas a revelar informações confidenciais.
O que é pretexting?
Pretexting é um tipo de ataque de engenharia social no qual um cibercriminoso inventa uma história para convencer a vítima a revelar informações confidenciais que concedem acesso não autorizado a sistemas.
Ataques de pretexting podem ocorrer de muitas formas, incluindo pessoalmente, por telefone e SMS. O cibercriminoso tentará estabelecer uma relação entre ele e a vítima para ajudar a ser mais convincente. Com frequência, eles utilizam informações que encontram na internet sobre a vítima para convencê-la de que são quem dizem ser. Eles usam o histórico de empregos anteriores da vítima, o emprego atual e muito mais para convencê-la a confiar neles.
Tipos de técnicas de pretexting
Há muitos tipos de técnicas de pretexting que os cibercriminosos utilizam para fazer as vítimas revelarem informações confidenciais e obter acesso não autorizado a sistemas. Aqui estão algumas das muitas técnicas de pretexting utilizadas por cibercriminosos.
Piggybacking
Piggybacking é uma técnica de pretexting na qual o cibercriminoso tenta obter acesso a uma rede, um sistema ou prédio físico. Cibercriminosos podem obter acesso a uma rede ou sistema quando o Wi-Fi utilizado não é seguro. Pessoalmente, um cibercriminosos pode obter acesso ao prédio aproveitando-se da gentileza de um funcionário ao deixá-lo passar por uma porta aberta.
Pode ser especialmente perigoso se um cibercriminoso entrar em um prédio onde muitos funcionários frequentemente se afastam de seus dispositivos enquanto logados. O cibercriminoso pode facilmente entrar e roubar informações confidenciais com apenas alguns cliques.
O objetivo de um cibercriminoso que utiliza a técnica de piggyback é obter acesso a uma rede ou um prédio físico para realizar atividades maliciosas.
Tailgating
O tailgating é semelhante ao piggybacking, mas com uma grande diferença. Como o piggybacking, o tailgating ocorre quando cibercriminosos tentam entrar em um prédio físico ao qual não têm acesso, mas o que diferencia o tailgating é que eles fazem isso sem que outras pessoas saibam. Cibercriminosos podem passar por uma porta aberta logo antes de fechar, fazendo parecer que obtiveram acesso autorizado ao prédio. Utilizar a técnica de tailgating faz com que os funcionários não saibam quem entrou no prédio, colocando todos os dados da empresa em risco de violação.
Phishing
O phishing é uma das técnicas de pretexting mais populares. No terceiro trimestre de 2022, o Anti-Phishing Working Group (APWG) relatou que houve um total de 1.270.883 ataques de phishing, o que afirmam ser um novo recorde.
Um ataque de phishing visa persuadir a vítima a revelar informações confidenciais, como credenciais, números de cartões de crédito e assim por diante. Geralmente, as tentativas de phishing são disfarçadas na forma de um e-mail urgente que alega vir de uma fonte confiável. O objetivo de um ataque de phishing é fazer com que a vítima realize uma ação imediata sem desconfiar, como abrir um anexo ou um link. Clicar em links e anexos não solicitados pode causar infecções por malware, colocando todas as suas informações em risco.
Vishing
O vishing é como um ataque de phishing, porém, mais sofisticado e eficaz. Um ataque de vishing é quando uma pessoa real liga para você afirmando ser alguém que não é. O objetivo é o mesmo de um ataque de phishing: fazer com que a vítima revele informações confidenciais que possam ser utilizadas para fins maliciosos.
Formas de proteger você e sua organização contra ataques de pretexting
Proteja você e sua organização contra ataques de pretexting com as dicas a seguir.
Não clique em links ou anexos não solicitados
Ao receber um e-mail ou SMS que não estava esperando, evite clicar em qualquer link ou anexo. Como mencionamos, clicar neles pode causar uma infecção por malware, dando ao cibercriminoso acesso a todas as suas informações.
Hoje em dia, há muitas plataformas de redes sociais e pode ser tentador compartilhar sua vida inteira e suas experiências por lá, no entanto, certifique-se de fazer isso com cautela. Evite compartilhar qualquer informação pessoal que cibercriminosos possam usar contra você pessoalmente ou online.
Tão importante quanto ser cuidadoso com o que compartilha na internet, também é importante ser cauteloso com pessoas que pedem para revelar informações pessoais. Quando alguém solicitar informações pessoais ou confidenciais, pergunte por que essa pessoa precisa saber.
Você não é obrigado a revelar informações confidenciais ou pessoais para quem não conhece, portanto, nunca se sinta pressionado a fazer isso.
Treine seus funcionários para que sejam capazes de identificar técnicas de pretexting
Técnicas de pretexting, como piggybacking e tailgating, podem ocorrer em tempo real. Oriente seus funcionários a sempre olhar para trás ao entrar no prédio da empresa, garantindo que ninguém entre sem autorização. Você pode até considerar posicionar funcionários nos saguões dos prédios para impedir a entrada de pessoas não autorizadas.
Além das técnicas de pretexting que ocorrem pessoalmente, também é importante que funcionários estejam cientes de todas as outras técnicas, como o phishing e o vishing. Uma maneira de fazer isso é implementando um treinamento sobre phishing na sua organização. Um treinamento sobre phishing pode ajudar funcionários a identificar e-mails de phishing, para que saibam ao que devem ficar atentos. Um desses programas de treinamento de conscientização é o KnowBe4. O KnowBe4 é um programa de treinamento que você pode implementar na sua organização que possui diversos módulos de aprendizagem para os funcionários além de enviar e-mails de phishing simulados para que eles se sintam confiantes em identificá-los.
Obtenha um gerenciador de senhas empresarial
Quando se trata de pretexting, uma das soluções de segurança cibernética mais importantes que você pode implementar para manter os dados da empresa seguros é um gerenciador de senhas empresarial. Um gerenciador de senhas empresarial é uma ferramenta que permite aplicar requisitos de senhas aos funcionários enquanto também as armazena com segurança. Um gerenciador de senhas permite compartilhar informações confidenciais e credenciais com segurança sem colocá-las em risco de serem comprometidas.
Se sua organização fosse vítima de um ataque de pretexting, um gerenciador de senhas facilitaria a proteção das suas contas permitindo a geração de novas senhas fortes e exclusivas para cada uma delas, de modo que nenhum dano adicional pudesse ser causado.
Mantenha-se protegido contra ataques de pretexting
É fácil ser vítima de técnicas de pretexting por causa do aspecto da engenharia social, mas manter os funcionários cientes dos perigos e sinais reveladores das técnicas de pretexting pode evitar que sofram esses ataques.
Garantir que seus funcionários saibam os riscos de compartilhar informações pessoais na internet pode fazer toda a diferença em manter sua organização inteira segura. Invista em uma solução de segurança cibernética como o Keeper para que seus dados confidenciais permaneçam sempre protegidos: obtenha o Keeper para a sua empresa hoje.