Engenharia social: o que é e como identificar
Engenharia social é uma técnica de manipulação psicológica usada por criminosos para persuadir as vítimas a revelar alguma informação confidencial ou a executar uma ação inapropriada.
As táticas de engenharia social são extremamente eficientes porque os criminosos, incluídos os cibernéticos, sabem que enganar pessoas pode ser muito mais fácil do que burlar as barreiras de segurança físicas ou computacionais.
E é possível que você já tenha se perguntado: mas por que caímos nas mentiras dos criminosos? Bem, as causas são muitas: às vezes estamos distraídos, cansados ou simplesmente não identificamos o risco quando ele aparece.
Mas a verdade é que nós, seres humanos, temos como características intrínsecas a empatia, ou seja, o desejo de ser amigável, e a obediência à autoridade. E esses são, justamente, os dois fatores mais explorados pelos criminosos para aplicar golpes de engenharia social.
Na prática
No final das contas, o objetivo dos criminosos que usam a engenharia social para enganar as vítimas é, quase sempre, conseguir algo em benefício próprio: coletar informações para cometer fraudes ou atacar sistemas; ganhar dinheiro de forma rápida; roubar identidades e assim por diante.
Que tal conhecermos algumas técnicas de engenharia social amplamente empregadas pelos criminosos na prática?
Pretexting
Por meio do pretexting, literalmente, pretexto, o criminoso cria uma história fictícia para manipular a vítima, forçando-a a executar ações que não executaria sob circunstâncias “normais”. Geralmente, ele personifica uma pessoa confiável para conseguir com que a vítima acredite na farsa mais facilmente.
Por exemplo, é possível que um golpista mande um e-mail para a vítima se passando pelo suporte da empresa, alegando que um problema de segurança foi identificado no computador e que é preciso instalar um novo software de segurança.
Outro cenário é aquele em que o criminoso liga para a vítima fingindo ser um representante de um banco, alegando que uma movimentação suspeita foi identificada na conta dela. Então, é preciso que a vítima forneça algumas informações pessoais para confirmar se realmente é ela quem está usando o cartão.
O pretexting explora, essencialmente, a confiança.
Baiting
O baiting, literalmente, isca, é uma técnica na qual o cibercriminoso elabora uma armadilha para atrair a atenção da vítima.
Uma técnica comum é deixar USBs infectados com vírus espalhados em um local com grande circulação de pessoas, como a cafeteria da empresa ou um escritório de coworking, esperando que uma vítima curiosa o conecte ao computador do trabalho, infectando os sistemas com malware.
Essa técnica também é usada digitalmente quando os cibercriminosos oferecem brindes-surpresa ou descontos exclusivos em mensagens fraudulentas. No final das contas, essas são apenas armadilhas para fisgar as vítimas.
O baiting explora, essencialmente, a curiosidade.
Phishing
O phishing é uma fraude na qual os cibercriminosos enviam comunicações eletrônicas fraudulentas às vítimas com o objetivo de que elas executem alguma ação prejudicial para si mesmas, seja fornecer uma informação confidencial, clicar em um anexo malicioso ou transferir dinheiro para o golpista. O phishing geramente vem acompanhado de técnicas de pretexting e baiting.
Quando o phishing acontece por e-mail, geralmente o cibercriminoso se passa por uma empresa legítima, alegando que há um produto com um desconto incrível ou que um problema foi identificado na conta, como um pagamento não realizado ou uma tentativa de invasão.
Quando o phishing acontece por mensagens de WhatsApp, o cibercriminoso geralmente personifica um conhecido da vítima e pede que ela transfira uma certa quantidade de dinheiro para que ele possa resolver um problema urgente.
O phishing explora, essencialmente, o medo, a ganância e a empatia.
Como identificar e evitar golpes de engenharia social
Infelizmente, qualquer pessoa pode ser alvo de um golpista. No entanto, existem algumas formas de identificar e evitar as manipulações da engenharia social caso algum criminoso tente aplicá-las contra você.
1) Desconfie de ofertas que parecem boas demais para ser verdade
Se alguém oferecer algo que pareça ser um negócio incrível, é provável que seja um golpe. Desconfie de investimentos com retornos garantidos e sem riscos e de mensagens que afirmam que você ganhou um prêmio pelo qual nem estava esperando.
2) Não compartilhe informações confidenciais
Nunca compartilhe informações confidenciais, como senhas, credenciais de acesso, números de cartão de crédito, informações de conta bancária ou dados pessoais, não importa quão legítima ou urgente pareça a comunicação.
3) Verifique as solicitações e não confie em remetentes desconhecidos
Antes de clicar em um link, fazer uma transferência de dinheiro ou compartilhar informações, verifique com cautela a fonte da solicitação. Em caso de que seja um remetente desconhecido, prefira ignorar o pedido. Quando se tratar de um remetente conhecido, entre em contato com a pessoa por outros meios para checar se a solicitação é verdadeira.
4) Rejeite contatos não solicitados
Seja por e-mail, telefone ou WhatsApp, se alguém entrou em contato com você pedindo algum tipo de informação, fornecendo alguma oferta imperdível ou alegando que você precisa entrar em contato com algum tipo de suporte, prefira ignorar a mensagem. Em caso de dúvidas, entre em contato diretamente com a pessoa ou instituição em questão para ficar por dentro de mais detalhes do ocorrido.
Proteja a sua empresa contra golpes de engenharia social
Os colaboradores das empresas são pessoas como qualquer outras, e, claro, também são potenciais vítimas de um golpe de engenharia social. Por isso, é muito importante investir na conscientização em cibersegurança dos funcionários, para que eles aprendam a adotar hábitos seguros no dia a dia, mantendo a organização protegida.
Quer aprender a atuar Contra a Engenharia Social e se tornar um profissional certificado para proteger a sua empresa? Acesse contraengenhariasocial.com e descubra como se tornar um engenheiro social ético.
