Educar os funcionários sobre engenharia social
Publicado em: 9 Dez 2021
Última modificação em: 8 Set 2025
Os cibercriminosos têm vindo a aplicar cada vez mais o “fator humano”, também conhecido como engenharia social, com grande eficácia quando realizam um ciberataque. Vários estudos mostram que isto não é apenas um boato e que a engenharia social é uma técnica de ataque cibernético bem sucedida: os dados da investigação de segurança da PurpleSec, por exemplo, descobriram que 98% dos ataques cibernéticos se baseiam na engenharia social.
Os cibercriminosos transformaram os nossos empregados na linha da frente dos ciberataques: visando-os através de e-mails maliciosos, enganando-os com chamadas telefónicas falsas e, de um modo geral, manipulando o seu comportamento.
Ao educar os nossos funcionários sobre as tácticas e técnicas de engenharia social, uma empresa capacita-os a lutar contra os autores de fraudes. Mas certas práticas recomendadas devem ser seguidas para garantir um programa bem-sucedido de educação em engenharia social.
Aqui está o guia MetaCompliance para educar os empregados sobre engenharia social:
O que é a engenharia social?
A engenharia social, no contexto da cibersegurança, é uma técnica ou uma série de técnicas utilizadas para manipular um ser humano a fazer algo benéfico para um cibercriminoso.
Existem muitos truques para a engenharia social, que podem mudar ao longo do tempo à medida que os cibercriminosos optimizam as suas tácticas. O resultado da engenharia social é enganar os empregados (ou o público) para que entreguem dados sensíveis, como credenciais de login, ou transfiram dinheiro para um fraudador, ou cometam um erro, como clicar numa ligação de phishing.
A engenharia social é tipicamente uma técnica por etapas, que envolve:
- Vigilância: A recolha de informações é uma componente essencial de um ciberataque de engenharia social. São recolhidas informações pessoais e comerciais sobre os empregados visados, normalmente os que trabalham em áreas como contas a pagar ou administração de TI.
- Prepara o alvo: As informações recolhidas durante a vigilância são utilizadas para estabelecer relações com o trabalhador visado. Alguns burlões chegam mesmo a telefonar ao empregado para criar uma ligação amigável com ele, preparando-o para a exploração.
- Explora a marca: Esta é uma parte fundamental do ciberataque de engenharia social, que se baseia na relação desenvolvida com as informações recolhidas. Esta relação é explorada para executar o ataque, por exemplo, recebendo um nome de utilizador e uma palavra-passe por telefone ou abrindo um anexo de correio eletrónico infetado.
- Leva o hack até ao fim: A fase de exploração prepara o terreno para levar a cabo a parte principal do ataque informático. Um engenheiro social experiente será capaz de sair do ciberataque sabendo que levará algum tempo até que o empregado ou a empresa se apercebam que foram explorados.
Exemplos de engenharia social
A engenharia social apresenta-se sob muitas formas que incluem tanto a baixa tecnologia como a alta tecnologia e, frequentemente, híbridos de ambas. Alguns exemplos mostram os tipos de formas em que os nossos empregados são objeto de engenharia social:
Ataque maciço de engenharia social contra o Google e o Facebook
O Business Email Compromise (BEC) é um esquema que utiliza a engenharia social para enganar um funcionário e levá-lo a enviar um pagamento da empresa para o fraudador, muitas vezes envolvendo grandes somas de dinheiro.
Em 2019, um enorme esquema de BEC roubou cerca de 100 milhões de dólares de empresas, incluindo a Google e o Facebook. Os burlões criaram uma empresa falsa com um nome semelhante ao de uma empresa legítima com a qual as empresas visadas lidavam. A partir daí, enviavam e-mails de spear-phishing para funcionários e agentes específicos das empresas vítimas.
Para saber quais os empregados a visar, os burlões utilizam normalmente técnicas de vigilância para compreender a melhor forma de manipular o comportamento do empregado visado.
Microsoft 365 Scam
Marcas como o Microsoft 365 são frequentemente utilizadas para fazer engenharia social e enganar os funcionários.
Um ataque recente envolvendo o Microsoft 365, foi criado para roubar as credenciais de login dos funcionários. Neste ataque cibernético, os burlões usaram técnicas para iludir os gateways de e-mail, de modo a que os e-mails de phishing pudessem acabar na caixa de entrada de um funcionário alvo, parecendo um e-mail aparentemente legítimo do Microsoft 365. O e-mail de phishing usava uma linha de assunto sobre uma “revisão de preços” e continha um ficheiro de folha de cálculo Excel como anexo. O truque era que a “folha de cálculo” era, na realidade, um ficheiro .html disfarçado. O ficheiro redireccionava quem o abrisse para um site que solicitava a introdução das suas credenciais de login do Microsoft 365.
5 melhores práticas para ensinar os funcionários sobre engenharia social
Quando estiveres pronto para educar os teus funcionários sobre engenharia social, vale a pena utilizar estas cinco práticas recomendadas:
Primeira boa prática: Compreende a complexa teia da engenharia social
Constrói uma base de conhecimentos sobre tácticas e técnicas de engenharia social. Isto constituirá a base do teu pacote educativo. A engenharia social baseia-se na psicologia humana, pelo que compreender como os burlões manipulam o comportamento humano é fundamental para evitar um ataque informático bem sucedido baseado neste método.
Por conseguinte, a formação dos funcionários para reconhecerem uma tentativa de engenharia social é mais complexa do que a formação em matéria de phishing; no entanto, as simulações de phishing devem fazer parte de um programa mais vasto de formação em engenharia social.
Um programa completo de educação sobre engenharia social deve também incluir a forma como estas fraudes funcionam e os tipos de comportamento ou situações que manipulam, por exemplo, confiança, urgência, relações, etc.
Segunda melhor prática: Formação de sensibilização para a segurança +SEE
Os pacotes de formação de sensibilização geral para a segurança devem sempre incluir formação sobre engenharia social. A higiene da segurança e a sensibilização geral para o phishing fazem parte da atenuação de uma tentativa bem sucedida de engenharia social. Acrescenta a formação em engenharia social (SEE) ao teu programa geral de formação de sensibilização para a segurança para tornar os truques de engenharia social visíveis para todos.
Três melhores práticas: Aprendizagem inteligente
Todos os seres humanos tendem a aprender melhor quando são ensinados através de técnicas interactivas. A investigação identificou determinados critérios para uma aprendizagem eficaz:
- Faz com que as lições sejam breves, mas informativas.
- Intercalando ou alternando entre ideias à medida que aprendes, cria intervalos naturais entre as sessões, ajudando a reforçar as ideias. Certifica-te também de que apontas as ligações entre as diferentes áreas da cibersegurança e as tácticas de engenharia social para ajudar os empregados a compreender a complexidade deste tipo de ataques.
- Utiliza “exemplos concretos” para que a aprendizagem se fixe na mente do empregado.
Quarta melhor prática: Enxagua e repete
A engenharia social, tal como outros métodos de ataque à cibersegurança, está a ser continuamente optimizada pelos cibercriminosos. Certifica-te de que realizas sessões de formação regulares sobre engenharia social como parte do teu programa mais vasto de formação de sensibilização para a segurança. Automatiza a tua campanha de sensibilização para a segurança para melhorar e otimizar a formação.
Cinco melhores práticas: Torna o teu local de trabalho uma zona de tolerância zero para a engenharia social
Ao aumentar a confiança da sua força de trabalho na deteção e prevenção de um ataque cibernético de engenharia social, a sua organização criará uma cultura de sensibilização para a segurança.
Esta cultura irá cimentar a tua força de trabalho contra os ciberataques, mesmo que a engenharia social seja complexa e jogue com os medos, o comportamento, a urgência e as relações dos funcionários. Esta cultura estender-se-á também à sua vida doméstica, melhorando a sua segurança geral e ajudando a diminuir o risco dos ambientes de trabalho em casa.
Nos ataques informáticos que utilizam técnicas de engenharia social, o ser humano é a vulnerabilidade de segurança. Ao capacitares a tua força de trabalho com os conhecimentos necessários para detetar tentativas de engenharia social, capacitas a tua empresa e os teus funcionários.
