Engenharia Social é um termo que ouvimos constantemente nas notícias relacionadas com ciberataques, mas o que é que isso significa exactamente?
A Engenharia Social é a arte de manipular as pessoas para realizar determinadas acções ou divulgar informações confidenciais.
Em vez de utilizar ataques tradicionais de hacking, os criminosos informáticos aproveitam-se da nossa natureza humana confiante para nos enganar, levando-nos a quebrar as práticas normais de segurança.
Estes tipos de ataques têm crescido em frequência e sofisticação, e estão a revelar-se uma forma muito bem sucedida para os golpistas obterem acesso não autorizado a redes informáticas e a dados sensíveis.
Os ataques da Engenharia Social assumem muitas formas diferentes, mas o fio condutor comum a todos eles é a sua exploração do comportamento humano. Os exemplos seguintes são as formas mais comuns de ataque utilizadas.
Phishing
O Phishing continua a ser o ataque de engenharia social mais popular de todos devido à sua elevada taxa de sucesso. A maioria de todos os ciberataques pode ser rastreada até um e-mail de phishing e o esquema online funciona enganando as pessoas para que forneçam informações sensíveis ou descarreguem malware malicioso.
Os e-mails de phishing são concebidos para parecerem genuínos e parecerão provir de uma fonte legítima. O e-mail incluirá um link ou anexo que uma vez clicado, infectará um computador com malware.
Pesca
Vishing é uma combinação da palavra voz e phishing e refere-se a esquemas de phishing que têm lugar por telefone. Tem a interacção mais humana de todos os ataques de engenharia social, mas segue o mesmo padrão de engano. Os golpistas criam frequentemente um sentido de urgência para convencer a vítima a divulgar informação sensível.
A chamada será muitas vezes feita através de uma identificação falsificada, por isso parece vir de uma fonte de confiança. Um cenário típico envolverá o burlão a fazer-se passar por funcionário bancário para assinalar um comportamento suspeito numa conta. Assim que tiverem conquistado a confiança da vítima, solicitarão informações pessoais tais como dados de login, palavras-passe e pin. Os dados podem então ser utilizados para esvaziar contas bancárias ou cometer fraude de identidade.
Smishing: significado e estratégias eficazes de prevenção
Smishing é um tipo de phishing que utiliza mensagens SMS em oposição a e-mails para atingir indivíduos. É utilizado por criminosos para encorajar os indivíduos a divulgar informações pessoais tais como detalhes de contas, detalhes de cartões de crédito ou nomes de utilizador e palavras-passe. Este método envolve o envio de uma mensagem de texto para o número de telefone de um indivíduo e normalmente inclui uma chamada para uma acção que requer uma resposta imediata. As mensagens serão frequentemente reivindicadas por bancos, sistemas de receitas fiscais e até pelos seus próprios amigos. Podem pedir-lhe que clique num link, ligue para um número ou podem mesmo informá-lo de que está prestes a receber uma chamada telefónica de um membro de apoio.
Lança - Phishing
O Spear-Phishing é uma tentativa mais direccionada de roubar informação sensível e concentra-se tipicamente num indivíduo ou organização específicos. Estes tipos de ataques utilizam informações pessoais que são específicas do indivíduo para parecerem legítimas. Saiba mais sobre o Spear-Phishing.
Os golpistas recorrerão frequentemente às redes sociais para investigar as suas vítimas. Assim que tiverem uma melhor compreensão do seu alvo, começarão a enviar e-mails personalizados que incluem ligações que, uma vez clicadas, infectarão um computador com malware.
Whaling
O que distingue esta categoria de phishing das outras é a escolha de um alvo de alto nível. Um ataque à baleia é uma tentativa de roubar informação sensível e é frequentemente direccionado para a alta direcção ou outros alvos de alto nível, tais como políticos ou celebridades. A palavra baleação é utilizada para indicar que o alvo a perseguir é um grande peixe a capturar.
Os emails de pesca à baleia são muito mais sofisticados do que os emails de phishing do moinho e muito mais difíceis de detectar. Normalmente, os e-mails conterão informações personalizadas sobre o alvo ou organização e o idioma será corporativo no tom. Muito mais esforço e reflexão irão para a elaboração destes emails devido ao elevado nível de retorno para os golpistas.
Isco
A isca, como o nome implica, envolve atrair alguém para uma armadilha para roubar as suas informações pessoais ou infectar o seu computador com malware.
Para seduzir as vítimas a cair na sua armadilha, os isco usam frequentemente ofertas de downloads gratuitos de música ou filmes se os utilizadores fornecerem os seus dados de login. Outro truque popular de isco envolve deixar um dispositivo infectado com malware, tal como uma pen USB, num local onde alguém o possa encontrar.
Os golpistas dependem da curiosidade humana para completar o esquema e ao inserir o dispositivo no seu computador para ver o que está nele, o malware é, por sua vez, instalado.
O que é tailgating no trabalho e por que é uma ciberameaça?
O tailgating envolve alguém que segue um empregado para uma área restrita. Estes ataques são frequentemente realizados fora de linha, mas podem levar a futuros ataques online.
Um exemplo comum deste tipo de ataque é alguém que se faz passar por motorista de entregas e espera até um empregado se aproximar do edifício. O atacante pedir-lhes-á então que mantenham a porta aberta para que possam ter acesso ao edifício. Uma vez lá dentro, o agressor pode obter acesso a informações sensíveis da empresa.
Para evitar cair vítima destes tipos de ataques, há uma série de passos que pode seguir. Nunca abra e-mails de fontes desconhecidas, não clique em ligações suspeitas, instale software anti-vírus e leia a política de privacidade da sua empresa.
Para saber como a MetaCompliance pode ajudar a protegê-lo contra estes tipos de ataques de engenharia social, clique aqui