Quando o assunto é segurança da informação, é consenso que todas as empresas devem investir em uma excelente infraestrutura de proteção contra ciberataques, incluíndo a engenharia social. O que muita gente ignora é que tal proteção deve ir além dos softwares de antivírus ou firewalls.
Isso porque, cada vez mais, os ataques de engenharia social têm se tornado mais comuns – e sofisticados. Este tipo de ameaça aposta em técnicas de persuasão para induzir ao erro humano e obter acesso “legítimo” a informações confidenciais e sigilosas.
Portanto, é preciso entender como funciona a engenharia social e como proteger sua empresa deste tipo de ataque. Continue a leitura e saiba mais sobre este assunto tão importante para a segurança da informação!
Ransomware: Brasil é o 4º país com mais crimes de extorsões de dados
Malware: o que é, como funciona e como remover essa ameaça do seu site
O que é engenharia social?
O termo “engenharia social” se refere a um conjunto de técnicas utilizadas pelos cibercriminosos com base na interação humana.
Por meio da persuasão e da manipulação psicológica, os criminosos se utilizam da confiança ou da ingenuidade de um usuário para obter acesso a informações sensíveis ou confidenciais.
Assim, criando um senso de urgência, a tática se utiliza de e-mails ou outros canais de comunicação para induzir as vítimas a clicarem em links maliciosos ou oferecerem acesso a bancos de dados.
Um exemplo é quando um funcionário que esteja enfrentando problemas relacionados aos sistemas instalados em seus dispositivos recebe a ligação de alguém se passando por um profissional da área de T.I da empresa.
Acreditando que irá receber o suporte que precisa, esta pessoa fornece acesso a códigos, desabilita aplicações importantes e instala programas nocivos.
Portanto, o cibercriminoso conhece bem as potenciais vítimas e as explora emocionalmente. O elemento humano torna ainda mais difícil a prevenção deste tipo de ação.
Qual a diferença entre os ataques de engenharia social e os ataques de malware?
Enquanto os ataques de malware estão focados em comprometer os softwares e sistemas das vítimas, os ataques de engenharia social têm como objetivo obter o acesso legítimo a informações sigilosas, fazendo com que a vítima dê “permissão” para isso.
Uma vez que não opera de forma técnica, sem a necessidade de instalação de programas externos e nocivos, este tipo de cibercrime não pode ser detectado por recursos de seguranças tradicionais, como antivírus ou firewalls.
Assim, esta é uma das maiores ameaças cibernéticas enfrentadas pelas empresas atualmente. Portanto, é fundamental conhecer os principais tipos de ataques e investir em uma política de segurança da informação.
Quais são os principais tipos de ataques de engenharia social?
Existem diversos tipos de ataques de engenharia social – e a maioria deles não utiliza técnicas mirabolantes ou sofisticadas. Algumas das abordagens mais comuns são:
- Phishing: ocorre quando os cibercriminosos estabelecem uma comunicação com a vítima, se passando por bancos ou empresas de cartão de crédito, por exemplo. Seja por e-mail, telefone ou redes sociais, o contato pode ser bem realista e convincente, levando a vítima a fornecer dados sensíveis como senhas e dados de cadastro.
- Baiting: semelhante ao phishing, este tipo de prática costuma oferecer algo de vantajoso para o usuário em troca de informações de login ou dados pessoais sigilosos.
- Pretexting: neste tipo de ataque, os fraudadores se passam por pessoas ou empresas de confiança do usuário. Através de uma pesquisa na internet para colher informações sobre a vítima, o criminoso se utiliza disso para obter confirmações de dados importantes para o seu golpe.
- Quid pro quo: ocorre quando o criminoso solicita a revelação de dados de login em troca de um serviço. É o caso do exemplo que demos acima, quando o golpista se passa por um profissional de T.I. oferecendo suporte ao dispositivo da vítima.
A importância de investir em uma boa política de segurança da informação
Como dissemos ao longo deste artigo, os ataques de engenharia social muitas vezes passam despercebidos pelas ferramentas tradicionais de segurança da informação.
Portanto, além de instalar antivírus e firewalls potentes (que são realmente muito importantes para garantir a proteção de seus dados), é fundamental investir na conscientização da equipe sobre as diversas ameaças e truques dos cibercriminosos.
Conte com a Cyss para estabelecer a infraestrutura e a política de segurança da informação da sua empresa! Entre em contato conosco e saiba mais sobre como proteger o ativo mais valioso de sua organização: seus dados!
