Engenharia social é um termo que ouvimos constantemente nas notícias relacionadas com ciberataques, mas o que significa exatamente?

A engenharia social é a arte de manipular as pessoas para que realizem determinadas acções ou divulguem informações confidenciais.

Em vez de utilizarem ataques de pirataria tradicionais, os cibercriminosos aproveitam-se da nossa natureza humana confiante para nos enganarem e quebrarem as práticas de segurança normais.

Este tipo de ataques tem vindo a aumentar em frequência e sofisticação e está a revelar-se uma forma muito bem sucedida de os burlões obterem acesso não autorizado a redes informáticas e a dados sensíveis.

Os ataques de Engenharia Social apresentam-se de muitas formas diferentes, mas o fio condutor comum a todos eles é a exploração do comportamento humano. Os exemplos que se seguem são as formas mais comuns de ataque utilizadas.

Phishing

O phishing continua a ser o ataque de engenharia social mais popular de todos, devido à sua elevada taxa de sucesso. A maioria de todos os ciberataques pode ser rastreada até um e-mail de phishing e o esquema online funciona enganando as pessoas para que forneçam informações sensíveis ou descarreguem malware malicioso.

Os e-mails de phishing são concebidos para parecerem genuínos e parecerem vir de uma fonte legítima. O e-mail incluirá uma ligação ou um anexo que, uma vez clicado, infectará o computador com malware.

Vishing

Vishing é uma combinação das palavras voz e phishing e refere-se a esquemas de phishing que ocorrem por telefone. Tem a maior interação humana de todos os ataques de engenharia social, mas segue o mesmo padrão de engano. Os burlões criam frequentemente um sentimento de urgência para convencer a vítima a divulgar informações sensíveis.

Muitas vezes, a chamada é feita através de um ID falsificado, para parecer que vem de uma fonte de confiança. Um cenário típico é o burlão fazer-se passar por um funcionário do banco para assinalar um comportamento suspeito numa conta. Depois de ganhar a confiança da vítima, pede-lhe informações pessoais, como detalhes de login, palavras-passe e PIN. Os dados podem então ser utilizados para esvaziar contas bancárias ou cometer fraude de identidade.

Pesca

O smishing é um tipo de phishing que utiliza mensagens SMS em vez de e-mails para atingir as pessoas. É utilizado por criminosos para encorajar as pessoas a divulgar informações pessoais, tais como detalhes de contas, detalhes de cartões de crédito ou nomes de utilizador e palavras-passe. Este método implica que o fraudador envie uma mensagem de texto para o número de telefone de uma pessoa e, normalmente, inclui um apelo à ação que exige uma resposta imediata. Muitas vezes, as mensagens afirmam ser de bancos, de sistemas de receitas fiscais e até dos teus próprios amigos. Podem pedir-te para clicares num link, ligares para um número ou até informar-te de que estás prestes a receber um telefonema de um membro do apoio.

Lança – Phishing

O Spear-Phishing é uma tentativa mais direcionada para roubar informações sensíveis e, normalmente, centra-se num indivíduo ou organização específicos. Estes tipos de ataques utilizam informações pessoais específicas do indivíduo para parecerem legítimos.  Sabe mais sobre spear phishing.

Os burlões recorrem frequentemente às redes sociais para pesquisar as suas vítimas. Depois de conhecerem melhor o seu alvo, começam a enviar e-mails personalizados que incluem links que, uma vez clicados, infectam o computador com malware.

Caça à baleia

O que distingue esta categoria de phishing das outras é a escolha do alvo de alto nível. Um ataque whaling é uma tentativa de roubar informação sensível e é frequentemente dirigido a gestores de topo ou a outros alvos de alto nível, como políticos ou celebridades. A palavra “whaling” é utilizada para indicar que o alvo que está a ser perseguido é um peixe grande para capturar.

As mensagens de correio eletrónico “whaling” são muito mais sofisticadas do que as mensagens de phishing comuns e muito mais difíceis de detetar. Normalmente, as mensagens contêm informações personalizadas sobre o alvo ou a organização e o tom da linguagem é corporativo. A elaboração destes e-mails exige muito mais esforço e reflexão, devido ao elevado nível de retorno para os burlões.

Isco

O “baiting”, como o nome indica, envolve atrair alguém para uma armadilha para roubar as suas informações pessoais ou infetar o seu computador com malware.

Para atrair as vítimas a cair na sua armadilha, os baiters utilizam frequentemente ofertas de descarregamento gratuito de música ou filmes se os utilizadores fornecerem os seus detalhes de login. Outro truque popular de baiting consiste em deixar um dispositivo infetado com malware, como uma pen USB, num local onde alguém o possa encontrar.

Os burlões confiam na curiosidade humana para completar a burla e, ao inserir o dispositivo no computador para ver o que está lá dentro, o malware é instalado.

Tailgating

A perseguição implica que alguém siga um empregado para uma área restrita. Estes ataques são frequentemente efectuados offline, mas podem levar a futuros ataques online.

Um exemplo comum deste tipo de ataque é alguém que se faz passar por um motorista de entregas e espera até que um funcionário se aproxime do edifício. O atacante pede-lhe então que lhe abra a porta para poder entrar. Uma vez lá dentro, o atacante pode obter acesso a informações sensíveis da empresa.

Para te prevenires de ser vítima deste tipo de ataques, há uma série de passos que podes seguir. Nunca abras e-mails de fontes desconhecidas, não cliques em ligações suspeitas, instala software antivírus e lê a política de privacidade da tua empresa.

Para saber como o MetaCompliance pode ajudar a proteger-te contra este tipo de ataques de engenharia social, clica aqui