Tecnologia

Engenharia Social: entenda como funciona e saiba proteger seu negócio

Engenharia Social: entenda como funciona e saiba proteger seu negócio
Rafael Negherbon

Rafael Negherbon CTO e cofounder

Para quem tem um marketplace ou e-commerce, a segurança digital e a rápida reação aos problemas são essenciais. A questão toda é que no mundo do cibercrime existem golpes que são mais difíceis de serem identificados e, portanto, torna a reação das empresas mais demorada. É o caso da engenharia social.

Falando nisso, um relatório lançado pela Verizon em parceria com a Apura Cyber Intelligence revela que em 40% dos casos de violações de dados existe alguma etapa, pelo menos, conduzida por engenheiros sociais.

A seguir, entenda como funciona este tipo de golpe e como proteger sua empresa. Boa leitura!

O que é a Engenharia Social?

Engenharia social é uma técnica que visa manipular pessoas a tomarem determinadas ações, como fazer download de um arquivo infectado, clicar em um link malicioso, compartilhar dados bancários e muitas outras. Esses ataques partem do princípio que, uma vez entendido o que motiva as ações de um usuário, o invasor pode enganar e manipulá-lo de forma eficaz.

Para isso, os criminosos exploram o erro humano com o objetivo de obter informações privadas, acesso ou objetos de valor. Este tipo de golpe pode acontecer online, pessoalmente e por meio de outras interações. Em sua maioria, atinge usuários desavisados ou que possuem pouco conhecimento sobre esses ataques.

Portanto, perceba que em vez de encontrar uma vulnerabilidade de rede ou software, os engenheiros sociais exploram as emoções das pessoas, como o medo do cartão ter sido clonado e a urgência de clicar em um link para garantir um desconto que termina em poucas horas.

Como funciona a Engenharia Social?

Os engenheiros sociais podem agir por meio de mídia social, e-mails, telefone, em uma página na internet ou até mesmo pessoalmente. Neste artigo nos referimos aos ataques ocorridos no ambiente online, mas independentemente de onde eles ocorram, a maneira de operar é a mesma: manipular psicologicamente as vítimas.

Portanto, perceba que em vez de encontrar uma vulnerabilidade de rede ou software e explorá-la, os engenheiros sociais exploram as emoções das pessoas. É o caso, por exemplo, do medo do cartão ter sido clonado ou da urgência de clicar em um link para garantir um desconto que termina em poucas horas.

Tipos de ataques de Engenharia Social

Os golpes de engenharia social não se reduzem ao ambiente online. No entanto, é no universo digital que eles passaram a ganhar força. Aliás, quase todo tipo de ataque à segurança cibernética contém algum tipo de engenharia social.

A seguir, compartilhamos com você os principais métodos utilizados por cibercriminosos especialistas neste tipo de ataque:

Phishing

Não é uma regra, mas na maioria dos casos o phishing ocorre por meio de e-mails anunciando uma promoção imperdível, um prêmio a ser resgatado, um pagamento pendente ou um Pix que supostamente teria sido feito no nome da vítima.

Para conseguir a confiança da pessoa, os e-mails fraudulentos são enviados por supostos bancos, empresas ou instituições. O objetivo em comum de todas essas comunicações é o de fazer o destinatário compartilhar informações financeiras ou pessoais, ou clicar em um link que instalará um malware na máquina

Existem duas maneiras pelas quais os ataques por meio de phishing são direcionados: o Spam phishing e o Spear phishing. Entenda:

Spam phishing

Spam phishing é um ataque generalizado que, por ser dirigido a muitos usuários, não é personalizado. Nesse caso, os criminosos tentam pegar qualquer pessoa desavisada.

Spear phishing

No spear phishing, os cibercriminosos usam informações personalizadas para atingir usuários específicos. Além disso, buscam recompensas muito maiores ou mais valiosas.

Quando bem-sucedido, o impacto de um spear phishing é maior do que os golpes de spam phishing.

Smishing

Similar ao phishing, com a diferença de que o canal principal do smishing é o SMS. Neste tipo de ataque, os criminosos enviam textos SMS ou mensagem via WhatsApp que podem incluir um link da web para ser clicado ou uma solicitação para que a vítima entre em contato por telefone ou e-mail.

Bating

A palavra “bate” significa “isca” em português. Dessa maneira, aqui estamos falando de um tipo de ataque no qual o engenheiro social oferece algo atrativo para a vítima, como um arquivo ou link, e a induz a realizar ações (baixar o arquivo ou clicar no link) para infectar o sistema com malwares e roubar dados.

Vishing

O vishing ocorre por voz, seja por telefone ou por uma mensagem de áudio para coletar informações financeiras ou pessoais do alvo. Geralmente, eles alertam a vítima de que seu cartão foi clonado, que uma compra foi realizada em seu nome, que a conta bancária está com problemas de segurança etc.

Conteúdos Relacionados:

Os motivos da ligação ou do áudio podem variar, mas o método é sempre o mesmo: fingir ser alguém que não é para conseguir dados bancários ou do cartão da vítima e/ou dinheiro.

Tailgating

Em cibersegurança, tailgating é uma forma de ataque de engenharia social na qual o criminoso convence uma pessoa autorizada a dar-lhe acesso físico a uma área protegida por senha ou outras informações confidenciais.

O criminoso, então, viola o sistema de segurança da empresa para fisicamente acessar, roubar ou comprometer seus dados, danificar propriedades ou até mesmo instalar malware em computadores.

Pretexting

Esse ataque tem como característica o fato de os golpistas criarem uma história (ou pretexto) para convencerem a vítima. Desse modo, em vez de explorar vulnerabilidades em sistemas, por exemplo, os criminosos usam da manipulação psicológica para obter informações confidenciais.

Quid Pro Quo

“Quid por quo” é uma expressão latina que quer dizer “isso por aquilo”. Essa forma de ataque de engenharia social funciona da seguinte maneira: o hacker pede informações à vítima em troca de alguma coisa.

Por exemplo, o hacker se passa por um funcionário de uma operadora de cartão de crédito e informa a vítima que ela teve o seu cartão clonado. Ele inicia confirmando alguns dados da pessoa e à medida que vai ganhando confiança, solicita dados sensíveis. A promessa é que as informações são necessárias para ajudar a resolver o problema.

Scareware

Trata-se de um software usado para manipular as pessoas pelo medo. Normalmente, a vítima recebe um aviso falso em forma de pop-ups na tela, informando que o computador ou os arquivos foram infectados. A instrução é que ela deve comprar determinado produto para resolver o problema (o scareware pode ser enviado também em e-mails de spams).

Uma vez que a compra é feita, um malware invade o sistema e rouba os dados pessoais do usuário.

Watering Hole

Watering hole, ou literalmente “poço de água”, é um golpe no qual os hackers invadem uma página legítima na web frequentada pelos alvos e injetam um software malicioso. O objetivo é infectar o computador do usuário-alvo e obter acesso à rede.

Entenda o ciclo operacional

Os ataques de engenharia social normalmente seguem as mesmas etapas. Entenda:

  • O criminoso investiga o grupo-alvo;
  • Em seguida, ele fornece estímulos para que a vítima aja. Ele faz isso por manipulação psicológica, como o medo do cartão clonado, um aviso de que o sistema foi invadido, um alerta de transação suspeita por Pix etc.
  • O criminoso contata a vítima para ganhar confiança. Por exemplo, o golpista entra em contato dizendo ser de determinado banco e que viu uma transação suspeita da conta da vítima. Ou, ainda, envia um link com um falso desconto ou com a falsa promessa de conter uma informação importante.
  • Se a vítima fizer o solicitado, o criminoso consegue invadir sistemas, roubar dados, infectar a rede etc.

Como proteger seu marketplace ou e-commerce?

Existem algumas boas práticas a serem adotadas, como:

  • Desconfiar de contatos inesperados e de mensagens, e-mails ou ligações que exijam uma ação imediata;
  • Não clicar em links suspeitos e não abrir anexos de fontes também suspeitas;
  • Proteger as credenciais de login;
  • Nunca passar informações corporativas por mensagens, ligações ou e-mails.

À lista, acrescentamos também:

Ofereça treinamento de conscientização

Para proteger seu negócio dos ataques dos engenheiros sociais é importante começar pela educação dos seus funcionários, que pode ocorrer em forma de treinamento. Explique a eles sobre o que é engenharia social e como o ataque ocorre.

Tenha em mente que este tipo de golpe é uma porta de entrada para os cibercriminosos acessarem a rede da sua empresa, o que pode ser perigoso não apenas para os dados corporativos, como para os dados dos seus clientes. Por isso, os funcionários precisam estar atentos às mensagens que recebem.

Tenha políticas de controle dos acessos

Outra maneira de proteger seu negócio contra ataques de engenharia social é determinar permissões e privilégios a usuários autenticados. Essa prática parte do princípio que cada usuário deve ter permissão para acessar somente os dados/processos necessários para a realização de suas tarefas.

É indicado ainda a empresa adotar autenticação de vários fatores e uma abordagem conhecida como zero trust, a qual parte da ideia da ausência de confiança. Nesse modelo, um usuário ou dispositivo somente é confiável após sua identidade e autorização serem verificadas.

Invista em segurança cibernética

Outra ação para proteger seu e-commerce ou marketplace é investir em ferramentas que darão uma proteção a mais aos dados, como Firewall, VPN e Antivírus. Isso porque, caso um ataque de engenharia social dê certo, o mais provável é que os hackers instalem um malware no sistema. Nesse caso, será importante eliminar as infecções e rastrear a origem do vírus.

Aproveite para conhecer os processos de segurança da Transfeera!

Com relação aos pagamentos, é preciso ficar atento também aos desafios do cyber security. Confira o podcast no qual discutimos o tema e mostramos como melhor se proteger dos ataques de engenheiros sociais:

Adicionalmente, é essencial contar com ferramentas que sejam seguras. Para a gestão de pagamentos, por exemplo, a plataforma da Transfeera possibilita a autenticação de dois fatores no login. Já com o objetivo de garantir ainda mais proteção aos dados, cada usuário da plataforma recebe um nível de acesso.

Destacamos ainda que toda nossa operação está sujeita à política de privacidade e todos os protocolos de Cyber Security, além de estarmos totalmente em conformidade com a LGPD.

Somado a isso, internamente adotamos o processo Know Your Customer (KYC), garantindo ainda mais segurança para o mercado e nossos usuários.

Quer receber esses conteúdos e as novidades em primeira mão diretamente em seu e-mail?

Cadastre-se e receba as atualizações do blog e sobre a Transfeera diretamente em seu e-mail.

Ao informar meus dados, concordo com a política de privacidade

Veja também

Conheça o DICT: sistema de segurança do Pix

Tecnologia

Conheça o DICT: sistema de segurança do Pix

Criptografia de dados: entenda o impacto na segurança digital da sua empresa

Tecnologia

Criptografia de dados: entenda o impacto na segurança digital da sua empresa

Data Center ou Servidor Cloud: entenda qual é a melhor opção para o seu negócio

Tecnologia

Data Center ou Servidor Cloud: entenda qual é a melhor opção para o seu negócio

Usamos cookies e tecnologias similares para melhorar a sua experiência, personalizar publicidade e conteúdos de seu interesse. Ao utilizar nossos serviços, você concorda com tal monitoramento. Informamos ainda que atualizamos nossos termos legais, confira!