Sua empresa pode estar sofrendo um ataque de Engenharia Social neste momento. Será que seus funcionários estão protegidos contra ela?
A Engenharia Social é um conjunto de técnicas para persuadir uma vítima.
Através dela, é possível obter dados, benefícios ou acesso a locais restritos para diferentes finalidades.
Qual o bem mais valioso de sua organização?
Se como executivo tem consciência da informação mais importante que sua empresa precisa proteger, o processo torna-se muito mais fácil.
Muitos vazamentos ocorrem porque existe preocupação em proteger todos os dados, sem priorizar o que é mais valioso para cibercriminosos.
Mas na verdade pessoas mal intencionadas estão mais preocupadas com o que podem obter com aquilo que irão roubar.
Como a venda do conteúdo, por exemplo; e não necessariamente prejudicar uma empresa em específico.
Proteger tudo significa que todos em contato com as informações estão envolvidos no processo.
Em muitos lugares, isso só significa tecnologias mais robustas, e é este cenário que beneficia um ataque de Engenharia Social.
O fato é preocupante: Enquanto os melhores softwares de segurança da informação criam suas camadas de proteção,
pessoas com acesso pleno a dados não estão sendo conscientizadas sobre sua importância no processo.
Como lidar com a Engenharia Social no ambiente corporativo
Para a Compugraf, práticas de segurança social são tão importantes quanto as soluções que implementamos para nossos clientes.
E por isso, a eficácia de uma está diretamente relacionada a outra no combate a Engenharia Social.
As ações da Engenharia Social na Segurança da Informação são apenas a ponta do Iceberg.
E podem levar ao roubo de informações, assim como também servir de porta de entrada para diversas ameaças tecnológicas.
Neste artigo, reunimos todos as informações relevantes sobre Engenharia Social.
Decidimos falar sobre o tema para assegurar que sua empresa comece a olhar para isto hoje, antes da primeira ocorrência.
Após leitura, você vai saber:
- O origem da Engenharia Social
- O que é Engenharia Social na Segurança da Informação
- Perfil: Quem é quem na Engenharia Social
- Os Principais ataques realizados com Engenharia Social
- Como proteger funcionários da Engenharia Social
Podemos começar?
A origem da Engenharia Social
Acredita-se que a Engenharia Social seja mais antiga do que a própria existência de computadores.
Suas características podem ser aplicadas mesmo em histórias em que a sociedade era bem diferente de como a conhecemos hoje:
Ulysses na Mitologia Grega
Na história, o exército grego estava em conflitos contra Troia.
Mas prestes a perder, o líder do exército grego, Ulysses, apostou em uma última estratégia: Uma falsa desistência da guerra.
Para isso, não apenas fez o anúncio como também ofereceu como um presente a realeza concorrente, um cavalo.
Mas não era um cavalo qualquer.
Tratava-se de um grande e pesado cavalo de madeira.
Após o aceite da oferta e o transporte do presente, tudo estava aparentemente bem para Troia. Mas não eram essas as intenções de Ulysses.
Ao longo da mesma noite, quando o exército troiano e população já descansando,
os gregos saíram do esconderijo – o interior do cavalo de madeira, para atacar.
E foi assim, sem a necessidade de computadores ou internet, através de uma mentira que despertou a vaidade dos rivais,
que ocorreu um dos primeiros ataques que hoje reconhecemos como Engenharia Social.
Como curiosidade, é graças a história que um dos malwares mais conhecidos da mundo, o Cavalo de Troia, foi nomeado.
Assim como na mitologia, trata-se de um arquivo disfarçado, que ao ser executado, ataca o dispositivo da vítima.
No livro de gênesis
No primeiro livro de gênesis, Adão e Eva são os primeiros pecadores ao comer o fruto proibido.
Mas como a Engenharia Social se encaixa nesta história?
Bem, segundo o livro, tudo começou quando o Diabo decidiu comunicar-se com Eva, na figura de uma cobra.
A cobra foi capaz de convence-la de que Deus os proibia de comer a maçã por um único motivo: poder.
Ao despertar a ganância de Eva, mentindo sobre o egoísmo de Deus,
o Diabo praticava um dos mais antigos exemplos de Engenharia Social.
E isso resultou na realização da ação desejada por ele, fazendo com que o casal da história consumissem a maçã.
Nos anos 60
Frank Abagnale é um dos impostores americanos mais conhecidos dos anos 60.
Mas sua fama não é uma mera sorte.
Tudo começou quando ele aplicou com sucesso seu maior golpe, envolvendo a tripulação da Pan American World Airways (Pan Am).
Na época, era uma das maiores companhias áreas da época.
Após passar-se como estudante de jornalismo e assim ter acesso a diversas informações sobre o processo de funcionamento da empresa,
ele decidiu que era o momento de arriscar-se mais.
E foi assim que passou-se por um dos pilotos da companhia aérea, tendo acesso a voos gratuitos,
e poder para fraudar documentos e contracheques.
O termo Engenharia Social
O termo Engenharia Social teve diferentes conotações ao longo dos tempos. Mas ainda não é um estudo de “Engenharia” convencional.
Seus estudos já foram da sociologia, psicologia, e hoje,
a engenharia social na segurança da informação utiliza elementos de ambos os campos: sociológicos e psicológicos,
para a coleta e análise de informações somados ao envolvimento emocional da prática.
Para este fim, o termo foi popularizado nos anos 90 por Kevin Mitnick, um hacker mundialmente conhecido da época.
Ele conceitua o uso do termo em seu livro “The Art of Deception: Controlling the Human Element of Security”,
que segue como grande referência para muitos profissionais da área ainda hoje.
Linha de Tempo: 10 empresas que sofreram ataques de Engenharia Social nos últimos 10 anos
2010 – Netflix
A empresa sofreu com ataques quando deram a participantes de um concurso o acesso a informações de mais 480,000 assinantes.
A organização, no entanto, recuperou os dados de alguns candidatos.
2011 – Sony PSN
O marketplace Sony PSN, do console PlayStation, deu acesso a participantes de um concurso mais de 1.6 milhões dados,
incluindo cartões de crédito, endereços, datas de aniversário, senhas e respostas para as perguntas de segurança.
2012 – LinkedIn
Em 2012, o LinkedIn teve uma vazamento de dados de mais de 167 milhões de dados,
sendo a maioria e-mails, senhas e endereços.
2013 – Yahoo
Mais de 3 bilhões de dados da Yahoo foram expostos em 2013,
incluindo e-mails, endereços, datas de nascimento e respostas para as perguntas de segurança dos usuários.
Mas o vazamento só foi descoberto 3 anos depois, no final de 2016.
2014 – Sony Pictures Entertainment
Em 2014 a Sony Pictures Entertainment sofreu um pequeno vazamento de dados que envolveu cerca de 47 mil dados,
o que não diminuiu o impacto nas finanças e reputação da empresa.
Os criminosos tiveram acesso a e-mails particulares, filmes não lançados e o contato de celebridades.
2015 – Ashley Madison
A plataforma de relacionamentos extraconjugais teve mais de 37 milhões de dados vazados,
incluindo o cartão de crédito, endereço e número de telefone dos usuários.
2016 – Comitê Nacional Democrático
O Comitê Nacional Democrático dos Estados Unidos teve muitas informações publicamente expostas,
incluindo a de políticos como Hillary Clinton e o atual presidente do país, Donald Trump.
2017 – Equifax
Mais de 143 milhões de norte-americanos tiveram dados como o número de documentos,
cartão de crédito, nome e endereço após um vazamento da Equifax, uma das maiores empresas de crédito do país.
2018 – Facebook
O Facebook sofreu com ao menos 2 vazamentos de dados ao longo de 2018.
Em setembro, foram mais de 50 milhões, e em outubro, 30 milhões, totalizando ao menos 80 milhões de dados expostos.
2019 – OxyData.Io e People Data Labs
Mais de 1.2 bilhões de usuários tiveram dados como e-mail, contas em redes sociais e telefone expostos em 2019,
tornando-se o maior vazamento partindo da mesma fonte.
No caso, envolvia um banco de dados compartilhado entre duas empresas agregadoras de dados: OxyData.Io e People Data Labs.
Por que é importante falar sobre Engenharia Social: Quais os perigos da prática?
A Engenheiro Social explora as vulnerabilidades emocionais do ser humano,
e isso significa que a proteção contra a prática vai além de métodos tecnológicos, entrando também em uma atmosfera social.
Nos ambientes empresariais, em que pessoas estão atarefadas e muitas vezes aflitas ou ansiosas por algo,
é possível, por exemplo, que se ausentam da mesa com alguma pasta aberta no computador,
ou deixem algum documento importante em cima da mesa.
É uma das situações simples que podem se converter em um verdadeiro pesadelo para a segurança da companhia.
Como todos estão passíveis a isso, a habilidade de como identificar uma abordagem suspeita deve ser constantemente desenvolvida,
seja você o CEO ou um novo funcionário.
Existe certa complexidade no tema, considerando todos os campos de estudos – tecnológicos e sociológicos. E por isso também não é algo tão simples de se criar mecanismos padrões de proteção, mas sim, preventivos.
Ignorar as consequências de um ataque como este pode representar perdas de dados e dinheiro para uma empresa,
especialmente quando entrar em vigor a LGPD – momento em que a regulamentação de dados se tornará mais rígida.
Em termos gerais, a palavra engenharia social possui uma conotação diferente no contexto da segurança da informação,
é mais sobre a ação de controle de pessoas do que um estudo com base em engenharias convencionais,
que tratam da aplicação de métodos científicos dos recursos naturais para o ser humano.
O que é Engenharia Social na Segurança da Informação
A Engenharia Social como conhecemos hoje, existe para tratar ameaças que possuem como vítima uma pessoa.
Mas antes de nos aprofundarmos no tema,
é preciso entender o que é a segurança da informação e porque é importante estudarmos sobre a engenharia social:
A segurança da informação é baseada em um conjunto de ações para a proteção de dados,
desde um dado corporativo sigiloso até as informações sobre um funcionário ou cliente.
Uma boa estratégia para a segurança de dados é baseada em 4 pilares:
- Confidencialidade
- Integridade
- Disponibilidade
- Autenticidade
Logo, é difícil imaginar sua eficiência sem pensar na importância das pessoas na proteção e em sua vulnerabilidade como alvos.
Sabe o iPhone que você viu antes da Apple divulgar?
Provavelmente partiu de um funcionário sem o treinamento necessário ou simplesmente desatento,
que causou o vazamento de informações e, como resultado, abriu uma brecha de segurança para toda organização.
Não por acaso que diversos produtos no mercado, como os próprios iphones, são hoje armazenados em um cofre.
Poucas pessoas possuem acesso autorizado,
algo que não resolve o problema mas certamente ajuda na hora de identificar a origem da vulnerabilidade.
E é por este caminho que chegamos a Engenharia Social.
É possível separar as ameaças na segurança de dados em duas categorias: tecnológicas e humanas.
A primeira, como o nome sugere, envolve recursos tecnológicos e por isso exige maiores habilidades do criminoso,
já as ameaças humanas – também conhecidas como fator humano, exigem pouco ou nenhuma habilidade tecnológica para existirem.
A Engenharia Social ocorre em uma série de ataques com o objetivo de conseguir com que as vítimas:
Compartilhem dados sigilosos, disponibilizem o acesso a áreas restritas ou ajam de maneira prejudicial.
Em geral, essas vítimas são pegas pela falta de atenção – somadas a falta de informação,
e por isso muitos funcionários de empresas sem projetos de conscientização acabam sendo vítimas de crimes deste tipo.
O lado B
Embora seja uma técnica utilizada para fins maliciosos na maioria dos casos,
a Engenharia Social também pode ser útil em situações positivas, como uma investigação policial, treinamentos internos em uma organização,
ou até mesmo em processos seletivos, tudo depende dos dados coletados e a finalidade da ação.
A arte da persuasão
Se a Engenharia Social se apoia no ato de persuadir, o que é a persuasão?
Persuadir alguém é quase como negociar alguma coisa, não é um processo ilegal ou antiético,
trata-se da exploração de argumentos para que alguém se convença de algo e por vontade própria, realize uma ação.
Diferente do que muitos podem pensar, persuadir e manipular são coisas bem diferentes.
Pois a persuasão ocorre somente quando tentamos entender o que é necessário para convencer alguém a fazer alguma coisa.
Já a manipulação psicológica, trata de um processo de influência social que busca mudar comportamentos e percepções com táticas indiretas,
que na maioria dos casos envolve informações convenientes, enganosas ou dissimuladas.
Da mesma maneira, persuadir e convencer não são a mesma coisa.
Pois a primeira resulta em uma ação voluntária,
mas no caso de convencer, pode ser apenas em relação a uma ideia, por exemplo.
Também conhecida como “Teoria da Persuasão” ou “ Teoria Empírico-experimental”, os primeiros registros da persuasão como estudo vêm dos anos 40.
E desde os primórdios tratou da busca em estudar a relação entre estímulo e resposta.
Hoje é um tema amplamente estudado em cursos como administração (para negociação) e comunicação.
Sendo assim, a persuasão na engenharia social é a peça principal,
pois o sucesso da maioria dos ataques vai depender da habilidade do criminoso em persuadir.
A Anatomia de um Ataque de Engenharia Social
Um ataque de Engenharia Social coloca suas vítimas num ciclo de tentativa e erro, diferente de um ataque convencional, que ao ser bloqueado por uma camada de proteção não irá mais perturbar as vítimas.
A engenharia social possui uma curva de evolução até chegar em um nível capaz de fisgar e persuadir a vítima.
Quanto mais segmentado for o ataque, maior será o ciclo de atuação, que normalmente envolve as seguintes fases:
Coleta de informações, planejamento de ataques, aquisição das ferramentas necessárias, ataque, uso das informações coletadas (para tornar-se próximo do verídico)
Sentimentos explorados pela Engenharia Social
A Engenharia Social explora vulnerabilidades emocionais da vítima e usa como isca assuntos atuais, promoções ou até mesmo falsas premiações.
Por não exigir conhecimentos técnicos, a engenharia social também existe sem tecnologia, algo conhecido como no-tech hacking.
Por ser tão simples, as vítimas de um engenheiro social podem demorar a duvidar da comunicação.
E talvez até chegar a isso, o criminoso já a terá atingido através de diferentes emoções, sendo algumas delas:
Curiosidade
Quase todo ataque de engenharia social inicia a partir da curiosidade do alvo. No caso de phishing, por exemplo, é o benefício imperdível que ele poderá adquirir naquele momento, se seguir as instruções.
Após a surpresa inicial, o usuário certamente vai ter curiosidade para entender melhor do que se trata a mensagem recebida. E para validar sua opinião, ele pode acabar clicando em algum link malicioso ou preenchendo algum formulário.
Preguiça
Por que um funcionário iria digitar as senhas manualmente toda vez que forem acessar alguma coisa?
Ou até mesmo optar voluntariamente pela autenticação de dois fatores se tudo pode ser preenchido automaticamente?
Com atalhos nos tornamos, na maioria das vezes, mais vulneráveis.
Cortar caminho nem sempre é o melhor a ser feito.
É importante que todos sejam conscientizados não apenas sobre as medidas a serem tomadas na rotina dentro da empresa, mas também, a importância de cada uma delas.
Solidariedade
Ajudar um colega de trabalho é uma prática simples e naturalmente aplicada em um ambiente saudável.
Mas não só isso.
Como já dizia um velho ditado “Quando a esmola é demais, o santo desconfia”.
E o engenheiro social utiliza muito bem o recurso ao criar campanhas de doações falsas, descontos imperdíveis que serão revertidos em prol de alguma causa, etc.
É importante despertar nos funcionários o entendimento da importância de se questionar tudo com o que interagem ao longo do dia.
Até mesmo na voluntária ajuda alheia.
Vaidade
O modelo mais recente de um smartphone ou o luxo de realizar alguma atividade são características que envolvem a vaidade da vítima.
Funcionários podem ser seduzidos por uma oferta de empréstimo, compra ou até mesmo um novo emprego.
É pensando na própria fragilidade que todos devem ser conscientizados sobre separar o que precisam do que podem ter em um outro momento. pois a engenharia social utiliza muito bem a vaidade ao seduzir as vítimas a partir do consumo.
Ansiedade
Em uma realidade em que o problema de grandes cidades e muitos ambientes corporativos é a ansiedade, a engenharia social aproveita-se muito do fato.
Tudo deve ser feito rapidamente, as ofertas são irrecusáveis e a sensação de urgência torna-se protagonista a ponto de muitos não atentarem-se ao que chega a eles.
É neste momento que as maiores vítimas são pegas, na pressa do momento, pois não são capazes de criar suspeitas sobre a situação.
Engenharia Social e a ascensão das Fake News
Enquanto a maioria dos golpes que se utilizam da engenharia social possuem a função de obter dados pessoais, o mundo todo se depara com uma nova utilidade por trás dessa lógica: a manipulação de informações.
Quando o então candidato à presidência dos Estados Unidos, Donald Trump, acusou um grande veículo de informações americana de espalhar “notícias falsas”, o mundo todo se apropriou do termo fake news.
Até então, a prática era conhecida como Hoaxing e embora tenha sempre existido, nunca foi tão potencializado como ocorre na era da informação.
Isso porque através de redes sociais, muitas pessoas deixaram de consumir informações imparciais ao participar de grupos que possuam interesses semelhantes, o que abre espaço para perspectivas unilaterais e que muitas vezes não representam a verdade.
Como resposta a isso, grandes empresas como Google e redes sociais como o Facebook passaram a criar políticas específicas para minimizar os danos que foram fortificados graças as suas soluções.
O que apesar de positivo, não impede que as pessoas se envolvam somente em grupos de seu interesse e muito menos impede o compartilhamento de informações não verdadeiras ou distorcidas.
Por questões de segurança, serviços como o WhatsApp possuem conversas criptografadas, o que impede também que as empresas identifiquem a origem de muitas das notícias espalhadas.
Empresas de tecnologia – que já possuem maior atenção quando o assunto é segurança da informação, contam com profissionais capacitados para orientar a equipe na hora de trabalhar com mais segurança.
Com a chegada da LGPD, nasce também o cargo de Data Protection Officer (DPO), que ficará responsável por gerenciar os dados coletados, além de fornecer treinamentos aos funcionários ao longo do ano para garantir que as práticas mais recomendadas serão aplicadas.
A Engenharia Social e suas consequências com a chegada da LGPD
Após todos os escândalos envolvendo grandes corporações e o vazamento de dados, diversos países criaram medidas para que a responsabilidade das ocorrências seja maior para empresas de forma a aumentar sua responsabilidade sobre a segurança da informação.
Enquanto a lei de referência é a europeia, conhecida como General Data Protection Regulation (GDPR), o Brasil trabalhou em sua própria versão, a Lei Geral de Proteção de Dados (LGPD), que busca regulamentar o uso de dados no meio corporativo no país.
A LGPD regulamentará qualquer atividade offline ou online que envolva a utilização de dados pessoais e irá responsabilizar todas as empresas envolvidas no processo e o profissional responsável pelo controle desses dados, cargo conhecido como DPO (Data Protection Officer).
A LGPD irá abranger qualquer informação pessoal, como por exemplo: Nome, Endereço, Nº de Documentos, etc.
Todos os dados que possam servir para identificar alguém estão respaldados pela Lei.
Além disso, a LGPD também menciona os dados sensíveis, que diferente da documentação, refere-se a questões como:
- Status de Saúde
- Vida Sexual
- Dados Genéticos
- Dados Biométricos
- Opinião Política
- Origem Étnica
- Religião
- Participação em sindicatos ou organizações não governamentais
Dentre outras informações que expõem aspectos íntimos da pessoa física.
Tudo muito relevante para um ataque de engenharia social, pois o criminoso pode aproximar-se da vítima por afinidade ao saber esse tipo de informação sobre ela.
Quando a LGPD entrar em vigor, o não cumprimento resultará em processos administrativos e legais, podendo chegar a multas de até R$ 50 milhões.
A Lei aplica-se a todas as empresas que coletam e armazenam dados (offline ou online), e por isso todas precisam adequar-se a ela.
A alto custo da multa é importante pois, para uma empresa, será muito mais vantajoso adequar-se a Lei do que pagar eventuais multas a longo prazo.
O objetivo por trás da proposta é a transparência da operação de empresas públicas e privadas, solicitando a permissão e o consentimento dos usuários para que seus dados sejam armazenados para devidos fins.
A penalidade financeira da LGPD irá variar de acordo com a gravidade da infração, sendo que as de não conformidade podem custar até 2% do faturamento da empresa limitando-se ao máximo de R$50 milhões.
Também podem ocorrer impedimentos legais de funcionamento parciais ou totais, dependendo do problema causado.
Para que a Lei 13.709/2018 entre em vigor em agosto deste ano, foi criada também a ANPD (ou Autoridade Nacional de Proteção de Dados), que terá como principais funções:
- Estabelecer diretrizes e padrões técnicos do processo.
- Gerar relatórios sobre a aplicação da Lei.
- A fiscalização das empresas, além da aplicação de novas sanções e programas informativos sobre o tema.
- Definir até quando as empresas poderão se preparar para aplicação da LGPD
Para saber mais sobre a LGPD, confira o guia de implementação da Lei de Proteção de Dados.
Quem é quem na Engenharia Social
Perfil de quem pratica os ataques e de suas possíveis vítimas.
O Engenheiro Social
Apesar do nome, um engenheiro social não é um especialista na área de roubar informações.
Até porque a formação ainda não existe. Ao menos não formalmente.
Mas para que alguém execute ataques de engenharia social, algumas habilidades podem ser necessárias:
- Capacidade de contar uma boa história de maneira convincente.
- Habilidade para utilizar as informações coletadas a seu favor.
- Poder de persuadir para conseguir que as ações sejam voluntárias.
- Inteligência analítica necessária para estudar o alvo ou público-alvo com precisão.
A Vítima
A engenharia social está presente em todo lugar, qualquer sinal ou ação pode ser o suficiente para que alguém obtenha alguma informação da vítima.
Sua abrangência a torna um perigo universal: todos podem ser vítimas de um golpe.
A maior brecha de um sistema de segurança não é o sistema, mas sim, as pessoas.
Todos nós, seres humanos, possuímos características (como o gosto por algum estilo musical), padrões de comportamento e psicológicos.
É na observação dessas características que um engenheiro social obtêm o que precisa.
Seja o colaborador um profissional da área técnica ou mais humanizada, todos estão sujeitos a falhar na proteção contra um ataque deste tipo, pois todos possuem vulnerabilidades humanas.
Por isso, muitos executivos buscam por treinamentos com a mídia, por exemplo. É muito arriscado ir despreparado para um bate-papo ou entrevista e acabar respondendo algo que revela algo que não deveria.
No geral, vítimas são feitas:
- Quando desatentos – em modo “automático” na realização de suas tarefas.
- Ocasião em que não verificam a autenticidade das mensagens recebidas.
- Ao passo que vivenciam algum problema pessoal e a mensagem soa como a oportunidade de melhorar as coisas.
- No momento em que se sensibilizam com a mensagem recebida e tem intenções de ajudar.
- Na hora em que precisa de ajuda e não possui muitas habilidades técnicas.
Principais ataques realizados com Engenharia Social
Phishing
O Phishing é o ataque da engenharia social mais comum.
O crime consiste na obtenção de dados de uma pessoa ou organização através de técnicas de comunicação e persuasão.
E quando falamos em comunicação corporativa ou serviços gerenciados e utilizados por muitas pessoas, qualquer usuário pode ser uma porta de entrada para uma brecha de segurança.
Em 2013, por exemplo, mais de 110 milhões de informações e números de cartões de crédito foram expostos dos clientes da Target, e após perícia, foi concluído que tudo começou quando um subcontratado da empresa foi vítima do phishing.
Segundo pesquisa da Cyxtera, empresa de segurança digital especializada em fraudes eletrônicos, cerca de 90% dos golpes digitais foram introduzidos a partir de alguma vertente do phishing.
O contato do criminoso pode ocorrer a partir de qualquer meio de comunicação na tentativa de fazer com que pessoas caiam em um golpe (também conhecido como scam).
Fácil de ser executado, o phishing também não é um ataque difícil de ser reconhecido quando observado com atenção.
São e-mails partindo de destinos duvidosos, ligações ou qualquer outra forma de comunicação que seja no mínimo questionável para o alvo, pois é direcionado a um grande público e na maioria das vezes não possui qualquer seleção.
Por isso, a chance de sucesso da prática depende de dois fatores: O momento certo e a desatenção do usuário.
Quem é exposto a essa tática pode ser surpreendido com algum contato em um momento em que aquele contato faça sentido, por exemplo.
Sendo assim, o phishing depende mais da atenção e calma para verificar as informações antes de qualquer ação, embora possa causar desespero e impulsividade em um momento importuno.
Vishing
O Vishing é uma das variações do Phishing.
Enquanto o termo principal é utilizado para descrever a prática de maneira geral, o vishing surgiu para referir-se a ataques realizados especificamente por telefone (voz + phishing).
A prática é bem popular, sendo ainda hoje a mais comum no Brasil e seu funcionamento é exatamente o mesmo do phishing tradicional, alterando apenas o meio de contato, que é por telefone ou através de chamadas de serviços VoIP, este último a escolha favorita dos criminosos pela possibilidade de anonimato.
Em um episódio de Vishing, a vítima recebe uma chamada em que é induzida a realizar alguma ação rapidamente ou compartilhar informações pessoais ou sigilosas de uma empresa, como documentos e números de faturamento, etc.
Um dos casos mais antigos e tradicionais no país é quando os criminosos realizam uma chamada anunciando um suposto sequestro. Na ação, o falso sequestrador simula uma voz infantil em perigo.
Embora seja um golpe fácil de se identificar, caso a chamada ocorra para as pessoas certas (pais) e no momento certo (como quando o filho está na escola) funcionam pois na apreensão do momento, a vítima muitas vezes não se dá conta de se tratar de uma falsa afirmação.
Apesar de já ser uma ação mais conhecida, o golpe continua causando diversos problemas, incluindo o caso recente de um casal de idosos de Belo Horizonte que transferiu R$ 300 mil para salvar a filha de um falso sequestro, dos quais apenas R$ 15 mil foram recuperados pelo banco após a descoberta do caso.
Outro episódio que vale a pena ser mencionado, é o que ocorreu em 2019, envolvendo uma professora do Mato Grosso do Sul que não apenas perdeu R$ 80 mil como também foi feita de refém no hotel em que os criminosos solicitaram a sua presença, tudo após receber uma ligação informando o falso sequestro de sua filha.
O golpe vishing pode partir de simulações de contatos pessoais (como a ligação de um familiar) ou também um falso funcionário de uma grande empresa de serviços como telefonia e internet.
Sendo assim, identificá-lo pode ser um pouco mais trabalhoso do que o phishing.
Mas as abordagens também possuem suas fragilidades:
Nome da vítima
Ao receber uma ligação, antes de confirmar qualquer dado pessoal, tenha certeza de que a pessoa é quem diz ser ao pedir para ela confirmar algo simples como o seu nome completo ou alguma outra informação que não seja número de documentos.
Não confirme nada até que o contato te responda corretamente. Em ataques amplos e aleatórios, dificilmente o criminoso terá a informação correta.
Anúncios de sequestro
Antes de se desesperar por algum anúncio de sequestro, atente-se as informações que o criminoso está compartilhando e, principalmente, confirme a localização da vítima.
Por exemplo, caso seja uma criança que esteja na escola, a primeira ação deve ser uma chamada de confirmação de presença.
Bancos e outros serviços
O nome é uma informação simples porém bem reveladora em todos os casos.
Mas caso queira outra abordagem, basta informar que não pode falar no momento ou tente ligar para o número que está chamando de um outro aparelho telefônico.
O direcionamento correto da chamada para a empresa que supostamente ligou indica a veracidade do contato. Caso seja falso, reporte a empresa logo em seguida.
Smishing
Se o Vishing é a junção de voz + phishing, o Smishing é a mistura de sms + phishing, ou seja, trata-se do phishing que se utiliza das mensagens SMS para pescar suas vítimas. Com o enfraquecimento das mensagens tradicionais e a ascensão de comunicadores instantâneos como o WhatsApp, o smishing se desenvolve na mesma medida.
O smishing foi uma grande ferramenta, em conjunto as fake news, em campanhas eleitorais e na manipulação de informações.
Usualmente, ele é utilizado no compartilhamento de links maliciosos e possui um ciclo de vida menor, porém viral, já que as pessoas também são induzidas a compartilhar a mensagem.
Para detectar e prevenir-se desse tipo de ataque, é importante desconfiar de qualquer mensagem que chegue a partir de pessoas que não fazem de sua lista de contato e principalmente, não clicar em nenhum link não solicitado.
O smishing pode partir também de contatos que já foram pegos, muitas vezes compartilhando o link malicioso sem saber.
Ao receber a mensagem de um contato existente, atente-se ao formato do texto recebido para analisar se a pessoa escreve ou escreveria de tal maneira, pois pessoas normalmente possuem o mesmo padrão e estilo de escrita.
Nigerian 4-1-9 Scam
O golpe que se iniciou na Nigéria, conhecido como Nigerian 4-1-9 Scam possui uma linha de funcionamento semelhante ao phishing tradicional.
A técnica iniciou-se muitos anos atrás com o envio de cartas do país para estrangeiros com histórias falsas envolvendo doações e transferência de dinheiro.
Ao longo dos anos, a técnica se desenvolveu passando para o e-mail e também novas abordagens surgiram, sendo a mais popular a “romance scam”, envolvendo interesses amorosos.
Neste cenário, o criminoso seduz a vítima com alguma história que possa envolvê-la, e se consegue ‘pescá-la’ com sucesso, passa a encenar o desenvolvimento de uma relação a distância, a qual a longo prazo envolverá a solicitação de dinheiro.
Em 2014, uma moradora do interior de São Paulo perdeu R$ 63 mil em um golpe.
Na época, aos 42 anos, ela começou a conversar com um suposto soldado americano em missão no Afeganistão e construiu uma falsa relação com ele até que foi anunciada o fim de sua missão no país e a chegada no Brasil.
Seduzida pela ideia de viver o romance pessoalmente, ela fez de tudo para auxiliar o golpista em sua chegada ao país, que nunca aconteceu.
Embora a abordagem romântica tenha se tornado popular, a relação do criminoso com a vítima pode ter outros objetivos afetivos, como uma amizade – se aproveitando também da empatia para obter dinheiro.
Além de também ser multimídia por se adaptar a diferentes formas de contatos na hora de desenvolvimento da relação entre vítima e criminoso.
Outro fato importante é que embora tenha iniciado na Nigéria, o golpe hoje é replicado a partir de diversos países como Turquia, Iraque e o Brasil.
Por envolver a criação de uma relação mais pessoal com as vítimas, os golpes nigerianos podem ser detectados a partir de alguns parâmetros: como o perfil chegou até o alvo, checagem de informações do perfil e a análise geral da interação.
Basicamente, se as coisas estão rápidas demais, pode ser que tenha algo de errado.
Os aplicativos de relacionamento, por exemplo, recebem muitas reclamações pela existência de perfis falsos (também conhecidos como “fakes”) que usando fotos, nome e personalidade falsos buscam praticar a ação, e é por isso que é necessário ter cuidado redobrado na hora de buscar o “par perfeito” online
Ano passado, ocorreu em Macapá (AP) o caso de uma jovem de 23 anos que se passava por um advogado no Tinder, aplicativo de relacionamentos, para obter vantagens financeiras das vítimas, como empréstimos, ao longo do desenvolvimento da falsa relação.
Ela foi presa no mesmo ano e assumiu o crime.
Por isso, a melhor maneira de detectar um golpe nigeriano é observando o contexto do contato, a autenticidade do perfil e analisar as reais intenções quando as solicitações de dinheiro ou fatos estranhos começarem a ocorrer.
Spear Phishing
Atualmente, uma das subcategorias mais conhecidas de Phishing é o Spear Phishing.
Diferente da metodologia tradicional, é executada de maneira direcionada a um grupo de pessoas bem específico e baseado em dados exatos ou muito próximos da realidade dessas pessoas.
Em outras palavras, é uma tática mais perigosa por envolver informações personalizadas e muitas vezes crível o bastante para enganar até mesmo um funcionário mais atento em sua rotina de trabalho dependendo do momento e da abordagem utilizada.
Um dos casos mais recentes em grande escala dessa técnica ocorreu em 2018, nos Estados Unidos, e como resultado gerou alarde dentre os funcionários do departamento do estado sobre um possível Tsunami.
A notícia ganhou grande repercussão na época e confundiu a população, que não sabia se deveria se preocupar ou não com o desastre natural.
Embora o órgão responsável tenha respondido rapidamente que não existia nenhum tipo de anormalidade para ocorrer tal fenômeno, a falsa informação já havia sido espalhada pelo mundo inteiro, gerando alarde e causando grandes prejuízos financeiros.
O spear phishing é uma variação do phishing altamente segmentada. Funcionários, especialmente os mais novos, podem facilmente ser enganados por um falso e-mail partindo de alguém com cargo superior. De fato é assim que a maioria dos ataques obtêm o sucesso esperado.
As pequenas empresas têm se tornado o principal alvo por parte desses cibercriminosos, pois quando não há o treinamento adequado, logo os funcionários acabam sendo a vulnerabilidade humana e mais frágil do ecossistema corporativo.
Mas não são apenas os colaboradores que podem cair nesse tipo de golpe, muitos executivos e até mesmo profissionais da área podem ser surpreendidos com a comunicação segmentada do spear phishing.
Para se prevenir de um possível ataque, além de oferecer treinamento a equipe, é necessário criar protocolos para que as pessoas da organização possam se comunicar e identificar a autenticidade da mensagem, como uma palavra secreta, por exemplo.
Pretexting
O Pretexting é uma ação maliciosa que consiste na tentativa de se obter dados pessoais ou sobre uma empresa de maneira voluntária por uma falsa causa.
Muitas vezes isso ocorre em perguntas para uma pesquisa ou até mesmo interações com um perfil falso em uma rede social, sendo a última a maneira mais comum de cair no golpe.
O pretexting envolve principalmente confirmações de identidade e contatos suspeitos, logo as melhores práticas para detectá-lo são justamente prestar mais atenção antes de fornecer dados pessoais e evitar compartilhar via redes sociais.
Esse golpe pode vir disfarçado de uma causa ou confirmação de informações e por isso, questione toda ação que solicita dados além do necessário, buscando também por tudo relacionado a empresa e tema.
Parte do processo da realização desse tipo de ataque envolve uma pesquisa intensa sobre a vítima, permitindo que o criminoso possa entrar em contato e trazer mais veracidade para a comunicação ao expor os dados que tem.
Após as confirmações serem realizadas, a vítima pode ser coagida a confirmar e até mesmo acrescentar mais dados.
Ao receber um e-mail suspeito, verifique o remetente e tente entrar em contato a partir de uma outra tecnologia, como telefone, por exemplo.
Ou responda o e-mail solicitando mais detalhes sobre o caso antes de confirmar qualquer coisa.
Quid pro quo
O Quid pro quo é uma abordagem de troca inconsciente. Alguém oferece algo em troca de outra coisa. Um clássico exemplo dessa estratégia seriam as falsas pesquisas, que podem ocorrer nas ruas ou dentro do ambiente empresarial.
Outro cenário para esta prática é no atendimento técnico de pessoas, seja para TI ou outras situações em que alguém com conhecimento avançado em algo pode aproveitar-se da falta de conhecimento de uma outra pessoa para ter acesso a seus dados.
Para evitar o quid pro quo é necessário questionar mais antes de responder qualquer formulário ou pesquisa, pois uma vez que a vítima cede seus dados, não há como voltar atrás.
É uma falsa sensação de benefício em troca de dados pessoais.
Sextorsão
A sextorsão (sexo + extorsão) é um crime virtual em que a vítima é chantageada a realizar uma ação ou transferir algum valor monetário caso não queira que fotos ou vídeos íntimos dela sejam divulgados.
Embora seja uma prática antiga ganhou muita popularidade nos últimos anos pelo vazamento de diversos materiais envolvendo pessoas publicamente expostas, além de também ser utilizada como tática da engenharia social ao dispersar o medo da exposição em ataques por phishing.
Quando uma vítima possue algum e-mail exposto e que possa ser encontrado por botnets, é muito provável que receba tentativas de diversos tipos de ataques, incluindo a sextorsão.
Para se proteger dessas tentativas basta atentar-se aos fatos:
As informações no e-mail recebido fazem sentido para o hábito de exposição do usuário?
Caso negativo, não deve ser uma grande preocupação do usuário.
No entanto, caso o usuário encontre semelhanças com seu padrão de navegação na internet, é melhor investigar antes de responder ou realizar qualquer ação.
Muitos e-mails desse tipo, para validar a legitimidade, informam uma senha que pode ou não ser a senha atual do usuário mas que certamente já foi usada em algum momento e por uma brecha do site em que era utilizada, foi publicamente exposta.
Caso seja a senha atual do e-mail da vítima, é necessário a alteração imediata, incluindo nos outros serviços em que é utilizada.
A Engenharia Social sem tecnologia
Além dos ataques virtuais que se utilizam da engenharia social, existem práticas que dispensam o uso de qualquer tecnologia. Essas práticas são conhecidas como no-tech hacking.
Em ambientes corporativos ou até mesmo em outros lugares recorrentes como transportes públicos e escolas, utilizamos dispositivos móveis e computadores e muitas vezes não nos atentamos aos olhares de pessoas que possam estar observando nossas ações.
Conheça algumas das técnicas:
Dumpster Diving
O dumpster diving (mergulhando na lixeira em uma tradução livre), é uma das práticas mais comuns e cotidianas, sendo que podemos ser vítimas com intenções específicas ou não.
Trata-se do ato de vasculhar o lixo alheio para obter algum bem.
No dia a dia, a prática é vista de maneira não específica principalmente com pessoas em situações de rua, que buscam comida nos lixos jogados pela vizinhança.
Mas no mundo da tecnologia, vasculhar o lixo não é apenas uma ação de desespero, pois resíduos, peças ou até mesmo dispositivos com falhas podem ser descartados pelas companhias e tornarem-se alvo de algum tipo de vazamento ou boato.
Uma das razões da importância de um treinamento para os funcionários e também orientá-los sobre como descartar o que é produzido dentro da companhia.
Muitos lugares possuem uma política de descarte para formalizar a ação e blindar qualquer tipo de vazamento ao tornar os itens inutilizáveis, além de aplicar políticas de sustentabilidade.
Em 2003, estudantes de ciência da computação encontraram mais de 5 mil números de cartões de créditos, registros pessoais e empresariais, dados médicos e e-mails ao vasculhar 158 discos descartados por sua universidade.
Shoulder Surfing
O Shoulder Surfing consiste na prática de observar as ações que uma pessoa está realizando em dispositivos como um celular ou um computadores.
Em geral, é algo comum e inocente que muitas vezes realizamos inconscientemente.
Mas para os hackers mal intencionados, o ato pode significar muito mais do que uma simples curiosidade e tornar-se uma oportunidade de descobrir e memorizar combinações, senhas ou informações pessoais da vítima.
A mesma prática também pode ocorrer em outros ambientes, como no uso de um caixa eletrônico, por exemplo. Por isso é preciso estar atento ao que ocorre ao redor, mesmo quando estamos dedicados a algum dispositivo.
Para minimizar esse tipo de ação já existem filtros para celulares que dificultam a visualização do que está sendo exibido na tela quando a pessoa está localizada lateralmente ao aparelho.
Tailgating
O tailgating, diferente das outras práticas, é mais complexa e pode trazer maiores prejuízos, sua ação consiste no acesso a lugares restritos através de pessoas autorizadas, ou seja, o criminoso se aproveita – através da interação com alguma pessoa autorizada, para acessar algum local restrito.
Um exemplo muito simples da prática pode começar em um simples elevador.
O criminoso e funcionário interagem e logo ao chegar no andar da empresa, se aproveita da entrada credenciada do colaborador para entrar no local.
Por ser uma técnica mais complexa, é mais rara de acontecer – especialmente em ambientes mais robustos, como é o caso de grandes empresas que já estão preparadas para combater acessos ilegais.
Considerada a mais antiga das abordagens de engenharia social, e até mesmo precedente a internet, utiliza-se na maioria das vezes da bondade da vítima, como quando alguém está com as mãos tão ocupadas que uma pessoa gentil decide ajudar ao abrir e segurar a porta.
Os objetivos do impostos podem variar mas na maioria das vezes envolve o interesse na obtenção de ativos valiosos ou informações confidenciais para atingir a empresa ou algum funcionário diretamente.
Como proteger funcionários da Engenharia Social
Muitas empresas erram na prevenção contra golpes virtuais ao só importarem-se com eles após uma primeira ocorrência.
A verdade é que quando falamos que a maior vulnerabilidade de segurança no ambiente corporativo é o fator humano e não suas tecnologias, não estamos falando que os funcionários são menos competentes, mas sim, que todos podem ser persuadidos.
É por isso que uma boa estratégica para combater a engenharia social possui duas características:
- Prevenção.
- Constância.
O fato de ser preventiva mostra que a organização já está preparada para caso algo aconteça, ela reconhece o problema e suas probabilidades, e só isso já é o suficiente para afastar muitos criminosos entusiastas.
Quanto a ser constante, é para que os funcionários também estejam sempre alertas sobre o perigo e não apenas em campanhas específicas ou ações reativas a ataques sofridos.
Em outras palavras, a prevenção é a melhor arma contra ataques de engenharia social.
Como identificar e-mails falsos
Reconhecer um e-mail falso pode parecer uma tarefa fácil, até mesmo automática para muitas pessoas. Mas a verdade é que a tarefa está se tornando um pouco mais complexa do que costumava ser.
Se antes bastava conferir o remetente da mensagem @empresa, hoje diversos serviços de disparo de e-mail já não recebem um endereço personalizado, mas sim, um gerado automaticamente pelo serviço, o que dificulta que o reconhecimento ocorra dessa maneira.
Outro detalhe é que visualmente os e-mails falsos estão idênticos as suas versões originais.
Então como reconhecer um e-mail falso?
Confira o remetente da mensagem
Embora e-mails gerados automaticamente estejam dificultando o reconhecimento de alguns remetentes, no geral, os e-mails falsos tentam replicar o endereço original da empresa para confundir o usuário na desatenção.
Para isso eles criam, por exemplo, endereços parecidos porém com detalhes numéricos.
E em tentativas de golpes de menor qualidade, o próprio e-mail entrega não se tratar de algo legítimo e dependendo do domínio ou formato, o serviço de e-mails por desconhecer ou ter casos recorrente de endereços parecidos, nem mesmo permite que a mensagem chegue ao usuário final, ativando a proteção contra spam.
Links internos
Sempre que um e-mail contêm links ao longo da mensagem, a proteção spam de um serviço de e-mail de qualidade já o analisa de uma outra maneira, sendo que caso o link seja popularmente malicioso, a proteção é ativada automaticamente.
Mas o sistema não é perfeito e falha em inúmeros casos, pois alguns domínios são novos e ainda não tem nenhuma reputação (negativa ou positiva), por exemplo.
Neste caso, é importante analisar duas coisas:
Em que parte do texto os links são inseridos
Quando um hiperlink é criado em cima de um texto, por exemplo “acesse o site”, a primeira coisa que deve ser verificada é se o link corresponde ao texto.
Verifique o formato de link
Existem links que se assemelham ao original com o detalhe de algum caractere especial para possibilitar o registro do domínio.
Mas no geral, muitos links maliciosos terão um formato diferente, nada familiares. Caso ao passar o mouse por cima do link e notar que o mesmo possui um formato diferente, não clique.
O ideal é pesquisar pelo domínio principal e ver os resultados que aparecem. Caso não há muito material disponível na internet, desconfie. Entre em contato com a empresa antes de clicar em qualquer coisa, assim é possível garantir a segurança do link.
Ao analisar essas duas características será muito mais fácil de identificar a autenticidade de um e-mail e, principalmente, segurança dos links apontados no corpo dele.
Desconfie de ofertas inesperadas muito vantajosas
Embora todos queiram acreditar que foram contemplados com alguma promoção, é preciso tomar cuidado quando a oferta parece ser boa demais para ser verdade.
Por isso, antes de qualquer ação em um e-mail desse tipo, verifique as informações diretamente com o remetente – no caso a empresa que enviou o e-mail.
Um e-mail falso é um dos principais meios de contato para a aplicação de um golpe por phishing.
Portanto, é preciso tomar cuidado com abordagens não esperadas que apresentem uma oferta muito vantajosa, tanto de empresas conhecidas como desconhecidas.
O e-mail acompanha anexo um boleto, nota fiscal ou fatura
Empresas que enviam qualquer tipo de cobrança ou nota fiscal por e-mail devem apresentar algum tipo de comprovação de que os arquivos são legítimos, além do mais, é importante refletir se um desses documentos é necessário – como resultado de alguma transação realizada.
Jamais faça o download sem ter certeza de que o arquivo é legítimo e muito menos o pagamento.
No caso de cobranças recorrentes, como assinaturas de telefone, celular, internet, basta atentar-se aos valores e dados informados no corpo do e-mail, caso não especifique o titular correto ou o valor esteja diferente do usual, confirme diretamente com o remetente.
Caso exista alguma pendência, solicite um novo boleto para garantir o pagamento da versão correta de preferência.
O próprio e-mail se contradiz ou possui muitos erros de português
Erros básicos podem ser cometidos em e-mails falsos.
Às vezes, as cores e fonte não batem com a identidade da marca, ou o texto possui muitos erros de português ou ainda, possuem um discurso contraditório.
É por isso que grande parte do processo de identificar um e-mail falso é a atenção do usuário ao observar as características mencionadas acima.
Também é possível verificar a existência de um e-mail através da ferramenta gratuita CaptainVerify.
Como identificar sites falsos
Com os sites falsos cada vez mais parecidos com suas versões originais, torna-se cada vez mais difícil diferenciá-los visualmente.
No entanto, ainda sim é possível identificar e apontar suas diferenças técnicas para garantir que o acesso ocorra na versão correta do site.
Durante o check up de um site, é muito importante verificar as seguintes características:
A URL do site
A primeira coisa a ser observada para descobrir se um site está correto ou não, é reparar em sua URL.
Isso porque em muitos casos o domínio não corresponde ao original, ou apesar de ser semelhante, é acompanhado por números e caracteres especiais.
A quantidade de anúncios
Embora seja uma fonte de renda para muitos sites, é pouco provável que um site confiável exceda nas propagandas na página e, principalmente, se essas forem invasivas (como é o caso de pop-ups).
Caso já tenha acessado o site anteriormente e notou um aumento estranho na quantidade de anúncios, talvez seja um bom motivo pra desconfiar da veracidade da página.
Ou ainda, observar o conteúdo dos anúncios pode fazer toda diferença, pois se estiverem fora de contexto ou nem ao menos se associarem as suas pesquisas recentes, pode haver algo de errado ou o serviço de anúncios ser de baixa qualidade.
Semelhante, mas é idêntico?
Normalmente, até os sites que “clonam” as versões originais possuem detalhes que se diferenciam, pois as vezes não acompanham suas atualizações ou simplesmente não chegaram no mesmo nível de programação da página.
Por isso, caso já tenha acessado o site anteriormente, vale a pena dar uma olhada mais clínica nos detalhes para verificar as informações.
Velocidade de carregamento
Os sites falsos muitas vezes são hospedados em servidores de baixa qualidade, e caso o site original tenha uma estrutura mais ágil, é mais fácil reparar na diferença de qualidade de uma versão para a outra.
Mas também é importante lembrar que em momentos de instabilidade é possível que até mesmo grandes sites tenham problemas momentâneos como erros no carregamento ou na própria velocidade.
Se a necessidade de acesso não é imediata, vale a pena atualizar a página (F5) ou até mesmo aguardar alguns minutos para checar novamente se as coisas seguem da mesma maneira.
Verifique se o site possui Certificado SSL
O certificado SSL é uma necessidade para todo tipo de site, principalmente se ocorre qualquer tipo de transação dentro do site. Ao longo dos últimos anos o certificado tornou-se tão importante que o Google passou a penalizar, nos resultados de busca, sites que não estejam certificados.
A boa notícia é que não há diferença entre certificados pagos ou gratuitos. Mas existem diferentes tipos de certificado que devem ser considerados de acordo com a finalidade do site.
O que é um certificado SSL?
Um certificado SSL (Secure Socket Layer) é um recurso de segurança para páginas na internet que garante a proteção na troca de dados entre o servidor e o usuário.
Isso é possível através de seu processo de encriptação, que pode possuir diferentes complexidades de acordo com o tipo de certifica, que funciona para apenas um site e no máximo seus subdomínios na maioria dos casos.
O certificado impede que a conexão dos visitantes com um site sejam interceptadas ou ocorra o vazamento de qualquer informação sensível, pois os dados serão mascarados no processo de encriptação.
Como identificar se um site é corretamente encriptado
Junto da penalização do Google, a maioria dos navegadores passou a exibir o termo “não seguro” na barra de endereços para sites que não possuam nenhum certificado configurado.
Caso tudo esteja bem configurado, os usuários verão um cadeado na cor verde na barra de endereços ou até mesmo o nome da empresa dependendo do tipo de certificado, que deve ser superior no caso de empresas que lidam constantemente com dados pessoais de seus usuários.
Como no caso de agências bancárias.
Se o cadeado estiver de outra cor que não seja verde – especialmente vermelho, ou o aviso de “não seguro” esteja aparecendo, considere não preencher nenhum campo que solicite suas informações pessoais, pois isso pode ser o gatilho para alguma série de abordagens maliciosas.
Como conscientizar sobre ataques sem tecnologia
Assim como nas vulnerabilidades tecnológicas, a melhor ferramenta contra os ataques sem tecnologias é a prevenção.
Existem diferentes medidas que podem ser aplicadas em diferentes situações para evitar que roubem informações pessoais ou de sigilo empresarial:
No ambiente de trabalho
Manter gavetas e armários fechados.
Holerites, documentos e diversos outros arquivos impressos, com informações sensíveis, podem tornar-se uma vulnerabilidade ao serem facilmente vistas por colegas no ambiente corporativo.
Por isso, é importante manter as gavetas e armários fechados, e instruir os funcionários a levarem tudo o que for crítico para casa no final do expediente, ou disponibilizar um armazenamento específico para este fim.
Minimizar ou encerrar softwares que exponham dados da empresa ou funcionário.
Especialmente em empresas em que as mesas e computadores estiverem expostas em ambiente aberto, é muito comum que, quase inconscientemente, funcionários “bisbilhotam” o que outros estão executando no dispositivo.
Embora na maioria das vezes isso não represente nenhum problema, pode representar uma vulnerabilidade ao gerar oportunidades para pessoas com más intenções.
Não compartilhar login e senha com nenhum colega de trabalho.
Talvez a prática mais comumente difundida em qualquer ambiente, o compartilhamento de senhas é uma das práticas simples que podem causar as piores consequências a um trabalhador.
Imagine que ao fornecer a senha, a pessoa não apenas ganhar acesso total aos recursos disponibilizados para o dono da conta como também abre uma nova vulnerabilidade para seus dados pessoais, que podem a qualquer momento ser obtidos por algum usuário mal intencionado dependendo da prática do novo portador das informações de acesso.
Na necessidade de ausentar-se da mesa de trabalho, realizar o logout até o retorno.
Isso pode ser feito através do menu iniciar ou CTRL + Alt + Del caso esteja utilizando o Windows como sistema operacional.
Da mesma maneira que é importante fechar gavetas e armários que contenham documentos críticos, é essencial que os integrantes de qualquer equipe em uma empresa recebam o treinamento adequado para adquirirem o hábito de, ao ausentar-se da mesa de trabalho, encerrem a sessão de login no computador.
Isso porque ao manter o sistema logado o usuário abre brechas para que outras pessoas acessem ou alterem um arquivo específico que possa comprometer a vítima.
Não jogue documentos inteiros no lixo, rasgue-o ou fragmente caso seja uma opção no local de trabalho.
Jogar documentos e itens críticos como cartões de crédito, exames ou papéis com outras informações podem abrir brechas para a prática de no-hacking conhecida como “dumpster diving”, que consiste basicamente na vulnerabilidade encontrada num lugar muito comum: as lixeiras.
Em situações externas, evitar ao máximo mencionar informações internas da empresa (quadro de funcionários, rotinas, procedimentos).
Exceto quando receber instruções específicas e treinamento de uma assessoria de imprensa, por exemplo.
Colaboradores bem informados sobre a própria organização nunca representarão algo negativo.
No entanto, é importante que os mesmos sejam instruídos nos lugares e momentos em que poderão falar sobre os temas internas.
Pessoas passam por diversos ambientes, além da empresa, ao longo do dia: transportes públicos, outras empresas e claro, a própria residência.
Todos os lugares externos podem abrir vulnerabilidades para que pessoas de fora ganhem acesso a informações privadas e que podem usar para finalidades de impacto negativo.
Coletar documentos impressos logo em seguida.
Impressão em rede é um excelente recurso para a maioria das empresas, afinal, diminui a necessidade de espaços físicos para diversas impressoras e permite que os funcionários compartilhem um mesmo equipamento.
No entanto, o compartilhamento desse dispositivo pode abrir vulnerabilidades para que pessoas tenham acesso ao que foi impresso antes mesmo de quem o solicitou.
E por isso recomendação geral é de que os documentos sejam coletados logo depois da impressão ser solicitada.
Em dispositivos
Se marketplaces oficiais como a Play Store, com todas as medidas que já tomam para a segurança de seus usuários, Instalar somente softwares e aplicativos de fontes confiáveis.
sofrem com esporádicas falhas na verificação e aprovação de aplicativos, os catálogos alternativos são ainda menos confiáveis.
Manter todo o sistema atualizado.
Os softwares de melhor qualidade atualizam seus protocolos de segurança na medida em que novas vulnerabilidades tornam-se conhecidas. Além de ter uma boa seleção de aplicativos com esta prática, é essencial que as atualizações manuais sejam feitas regularmente.
Realizar uma varredura com o antivírus de preferência antes de abrir qualquer download realizado.
Ao realizar o download de algum arquivo, da fonte menos para a mais confiável, é importante realizar a verificação (quando já não for realizada automaticamente) do arquivo, pois assim é possível reduzir as chances do arquivo instalar algum tipo de vírus no sistema.
Não memorizar senhas em computadores públicos ou de uso compartilhado.
Incentive funcionários a desabilitar a memorização de senhas em computadores públicos ou espaços compartilhados, incluindo contas privadas quando estiverem no espaço de trabalho.
Embora torne as coisas mais rápidas, é também a maneira mais fácil de permitir um acesso fraudulento.
Para que a prática seja funcional, também é essencial que o logout seja realizado ao final do uso.
Em transações bancárias
Acompanhar o extrato bancário de maneira recorrente para garantir que nenhum gasto desconhecido ou suspeito foi realizado.
Não há tempo e nem recomendável visitar agências bancárias ou caixas eletrônicos com grande frequência, no entanto, todo banco possui um aplicativo ou meio de acesso a conta através de um navegador ou smartphone e a maioria avisa em tempo real as transações realizadas.
Mas quando isso não acontece, é importante verificar regularmente o extrato através deste recurso.
Bloquear imediatamente qualquer cartão bancário perdido.
Defina como mandatório o bloqueio de qualquer cartão corporativo perdido por um colaborador, assim como incentivá-los a fazer o mesmo quando ocorrer com seus cartões pessoais.
A maioria dos cartões de crédito permite transações online apenas com os números informados no cartão e o nome do titular.
Nas agências bancárias, aceitar ajuda somente de pessoas devidamente uniformizadas e com as informações no crachá.
Embora muitas pessoas bem intencionadas busquem genuinamente ajudar alguém, o contrário também é possível.
Instrua funcionários a jamais aceitar ajuda de alguém sem algo que o identifique como funcionário do banco, e ainda com a presença de um crachá, evite compartilhar informações sigilosas como a senha do cartão.
Em e-mails e redes sociais
Verificar sempre o remetente do e-mail.
É importante que o remetente de todas as mensagens sejam verificados no ambiente corporativo. Pequenas variações no endereço de e-mail ou até mesmo uma grande diferença podem denunciar uma tentativa de phishing.
Desconfiar de todo e-mail, com remetente desconhecido, que possui anexos e links.
Se além de desconhecido o e-mail demande algo que deve ser feito muito rápido ou disponibiliza algum arquivo não solicitado, jamais realize o download e não faça a abertura de nenhum PDF.
Não compartilhar notícias ou informações que não possam ter a autenticidade comprovada.
As fake news ganham força principalmente por pessoas que observam apenas o título das matérias ou tem afinidade com o tema, ainda que não o tenham conferido.
Por isso é preciso conscientizar os colaboradores para garantir que aprendam a verificar tudo o que compartilham.
Fazer o controle de privacidade nas principais redes sociais.
Com a chegada da GDPR, todas as redes sociais passaram a possuir uma área restrita que permite a personalização da privacidade de dados.
Se no trabalho os funcionários precisam utilizar alguma rede social, ensine-os a configurarem o setor da maneira correta.
Evitar o envio de dados sensíveis por e-mail ou telefone, ainda que venham de algum colega de trabalho.
Aplique protocolos na organização que impeçam a troca de dados sensíveis por redes sociais ou em alguns casos, até mesmo através de e-mails.
Sua empresa está preparada?
Vimos que a Engenharia Social pode ser devastadora para uma organização.
sua abordagem explora características emocionais que tornam qualquer ser humano uma possível vítima.
E é por isso que para combatê-la, é necessário uma mudança de cultura em que todos sintam-se incentivados a:
Ter mais consciência
das informações que estão sendo compartilhadas – Isso vale para momentos de comunicação verbal (fora e dentro do trabalho) e também para redes sociais ou ferramentas de comunicação interna.
Definir as informações mais importantes
que precisa proteger, pois assim o processo de tomada de decisões emergenciais torna-se mais fácil ao dar prioridade na segurança desses dados.
Abraçar a cultura de sentimento de dono
para que todos os funcionários sintam-se responsáveis pelas informações e segurança da empresa de maneira autêntica.
Questionar mais.
Assim até mesmo o fator humano adquire sua própria “camada de proteção”.
Preparamos um guia sobre Engenharia Social
É possível que após ler o conteúdo você queira saber ainda mais sobre Engenharia Social, e o principal, como dar os primeiros passos na prevenção.
Pensando nisso, preparamos um guia exclusivo com tudo o que você precisa saber para proteger sua organização:
Quer começar a agir? A gente pode ajudar!
Converse com um especialista em segurança da informação da Compugraf para descobrir como sua empresa pode começar a se prevenir dos ataques de engenharia social ainda hoje.
