Como detetar os sinais de um ataque de engenharia social
Publicado em: 24 Mai 2022
Última modificação em: 8 Set 2025
Saber como detetar os sinais de um ataque de engenharia social pode ajudar a evitar que este tipo de ataques seja bem sucedido e a proteger os dados e sistemas sensíveis da tua organização.
Porquê ter o trabalho de arrombar uma porta quando podes pedir a alguém que te entregue a chave? Este cenário é a analogia que descreve a razão pela qual a engenharia social se tornou a técnica de ataque cibernético mais utilizada.
O Relatório de Investigação de Violação de Dados da Verizon de 2021 registou uma tendência ascendente na utilização da engenharia social desde 2017. Outro relatório identificou um aumento de 270% nos ataques cibernéticos baseados em engenharia social em 2021.
É muito difícil detetar os sinais de engenharia social, porque funciona manipulando o comportamento diário da nossa vida quotidiana. Então, como é que um funcionário pode saber se está a ser alvo de um esquema de engenharia social?
O que é a engenharia social?
Compreender os vários elementos utilizados durante a engenharia social ajuda as pessoas a detetar os sinais de um ataque de engenharia social.
Os cibercriminosos estão sempre à procura de formas de aceder a informações sensíveis ou de manipular um processo empresarial para o prejudicar. Estes danos variam, incluindo esquemas de Business Email Compromise (BEC) e infeção por malware.
Estes dois tipos de ataques informáticos estão a aumentar: As fraudes BEC custaram às empresas globais mais de 43 mil milhões de dólares nos cinco anos até 2021, com um aumento de 65% nas perdas entre julho de 2019 e dezembro de 2021; a investigação concluiu que 71% das empresas foram vítimas de um ataque de malware em 2021. Os esquemas sofisticados e complexos de engenharia social estão por detrás destes aumentos.
A engenharia social explora o comportamento humano, para que os indivíduos realizem acções que beneficiem o fraudador. Por outras palavras, os burlões conseguem que os indivíduos façam o seu trabalho sujo por eles, sem o quererem. As tácticas utilizadas pelos burlões durante um ataque de engenharia social baseiam-se na manipulação do comportamento, no engano e em truques psicológicos. Esta manipulação é ajudada pela falta de conhecimento por parte do indivíduo visado.
A engenharia social é um método de ataque subtil e baseado em informações. Os investigadores Abid, et al., identificaram as fases típicas do ciclo de vida de um ataque de engenharia social:
- Recolha de informações: reconhecimento para identificar padrões de comportamento, aplicações utilizadas e processos empresariais que possam ser explorados. Isto permite estabelecer um nível de confiança com o alvo e obter informações para explorar essa confiança.
- Desenvolver relações: esta confiança é utilizada para desenvolver relações em preparação para a fase seguinte.
- Exploração: a tarefa maliciosa é executada, por exemplo, clicando numa ligação num e-mail de phishing ou activando uma transferência bancária de dinheiro.
- Execução: a última fase em que o hacker recebe dinheiro ou obtém acesso a credenciais de início de sessão para instalar ransomware ou aceder a informações sensíveis.
Tendo em conta as fases de um ataque de engenharia social, como é que podes detetar um ataque de engenharia social antes que seja tarde demais?
Cinco sinais de que estás a ser alvo de engenharia social
Alguns dos sinais mais óbvios são também os mais difíceis de detetar, uma vez que se disfarçam de eventos regulares. No entanto, a arte de detetar o inesperado ou quando algo “não está bem” é algo que a formação regular de sensibilização para a segurança ajuda a estabelecer.
Aqui tens cinco sinais típicos de engenharia social:
Um anexo ou uma ligação inesperada
Os ataques de phishing e smishing (phishing móvel) contêm frequentemente um anexo ou uma ligação a um sítio Web malicioso. O próprio e-mail contém motivadores comportamentais típicos, como a urgência, a pressão emocional, a curiosidade, o medo e as ameaças, bem como outras declarações preocupantes, como uma ameaça à segurança. O ataque de phishing encoraja o destinatário a abrir um anexo ou a clicar numa hiperligação utilizando estas pressões emocionais.
Pensa antes de clicar, antes de abrir um anexo. A mensagem parece-te legítima? Procura sinais de phishing, como “o endereço de correio eletrónico do remetente corresponde ao nome de domínio esperado? A linguagem e a gramática do e-mail são um pouco estranhas?
Consulta o MetaCompliance Ultimate Guide to Phishing para obteres mais sinais de phishing por e-mail.
Um pedido invulgar
Os burlões podem dar-se a conhecer ao pedir algo um pouco inesperado. Isto é especialmente notório se o burlão se fizer passar por outra pessoa na empresa, talvez um diretor financeiro ou um diretor executivo.
As burlas BEC, por exemplo, podem envolver funcionários do departamento de contabilidade a quem é enviado um e-mail de spear phishing que parece ser de um executivo de nível C a pedir para fazer uma transferência de dinheiro imediata e urgente. Outros e-mails de phishing podem pedir ao destinatário que abra um anexo com uma gravação de voz, e assim por diante.
Se um pedido parecer fora do normal e invulgar, pára e pensa: será que se trata de uma burla? Depois, faz uma verificação simples: liga para a pessoa que supostamente enviou o pedido e pergunta se é legítimo.
Um pedido ou exigência urgente
A urgência é um excelente exemplo de uma tática utilizada para manipular as emoções humanas. Se um pedido urgente também parece ter vindo da gestão superior ou do nível C, então pára um momento para verificar a legitimidade do pedido.
O Business Email Compromise (BEC) envolve frequentemente a manipulação emocional de funcionários que trabalham no departamento financeiro. Por exemplo, um fraudador de BEC tentará pressionar um funcionário a transferir dinheiro usando uma ameaça de perda de negócios se ele não agir rapidamente.
Verifica novamente o pedido e telefona à pessoa que supostamente fez o pedido.
Uma oferta demasiado boa para ser verdade
Os cibercriminosos utilizam por vezes a chantagem ou a coerção para extrair informações, especialmente durante a fase de recolha de informações de um ataque de engenharia social.
Pensa duas vezes se receberes uma oferta de dinheiro ou de um prémio para partilhares informações pessoais ou da empresa, pois pode ser uma tentativa de piratear a tua conta.
Um pedido nas redes sociais de alguém que não reconheces
Nos seis meses anteriores a junho de 2021, o LinkedIn removeu mais de 66 milhões de spam e fraudes na plataforma, sendo que 232 000 foram removidos depois de um utilizador se ter queixado. Os piratas informáticos criam contas falsas nas redes sociais e depois tentam estabelecer contactos. Os burlões utilizam as redes sociais para recolher informações e estabelecer relações com alvos e contactos dos alvos.
Se receberes um pedido de ligação numa plataforma de redes sociais, verifica o perfil do requerente e procura sinais de que pode ser falso. Por exemplo, tem um perfil e um historial profissional completos, tem recomendações legítimas, etc.?
A engenharia social funciona e continuará a funcionar até aprendermos a detetar os sinais. A formação de sensibilização para a segurança, que incorpora educação sobre tácticas de engenharia social, dá aos funcionários os conhecimentos necessários para impedir que os burlões explorem o seu comportamento.
