Algumas estratégias de roubo de dados da engenharia social

O mundo de hoje é recheado de tecnologias, dependemos delas para as mais diversas funções, desde as mais básicas até as mais complexas. Por um lado, isso é bom, pois a tecnologia facilita nossa vida em muitas esferas sociais, no entanto, também abriu portas para a invasão e roubo de dados.

Redator: Heitor Augusto Colli Trebien

 

O mundo de hoje é recheado de tecnologias, dependemos delas para as mais diversas funções, desde as mais básicas até as mais complexas. Por um lado, isso é bom, pois a tecnologia facilita nossa vida em muitas esferas sociais, no entanto, também abriu portas para a invasão e roubo de dados. 

Os engenheiros sociais são pessoas especializadas em enganar as pessoas para conseguir esses dados e usá-los em proveito próprio. Em alguns casos, como Fernandes (2023) destaca, é mais fácil e vantajoso manipular as pessoas do que usar programas de hacking.

O autor destaca 3 sentimentos muito explorados pelos engenheiros sociais, como: 

 

  • Reciprocidade: envolve o desejo de retribuir um favor. O criminoso pode oferecer uma assistência técnica supostamente gratuita, mas para isso precisa de algumas informações, como login e senha. 
  • Compromisso e consistência: depois de receber uma “ajuda” com causas menores, é comum a pessoa continuar o atendimento com quem já a “ajudou”. Assim, o usuário acaba criando um vínculo de comprometimento com o engenheiro social. 
  • Aprovação social: muitos criminosos criam falsas avaliações positivas, para estimular as pessoas a buscarem o seu “trabalho”, já que outros o aprovaram. 

 

Vulnerabilidade afetiva

 

Rosa, Malimpensa e Cardoso (2023) comentam que as pessoas sempre são o elo mais vulnerável de uma empresa. Pode-se investir muito em tecnologias protetivas, mas se os usuários não estiverem preparados para usá-las, estarão vulneráveis aos ataques. 

Em sua investigação, os autores constataram que 71,6% dos funcionários já receberam links suspeitos e mensagens de sorteios de números desconhecidos. 51,1% já receberam mensagens de remetentes supostamente conhecidos pedindo por dinheiro. 43,2% já baixaram arquivos por engano ou impulso, 21,6% costumam clicar em anúncios e promoções da internet e 12,5% clicam com frequência em qualquer botão de sites. 

Os dados mostram como as pessoas estão vulneráveis na internet, se não tiverem o devido treinamento para se preparar para as mais diversas situações.

 

Quais são as estratégias que os atacantes mais usam? 

 

Fernandes (2023) e Rosa, Malimpensa e Cardoso (2023) mencionam algumas das técnicas mais utilizadas pela engenharia social: 

 

Pretexting (pretexto) 

 

Cria-se uma situação, um pretexto, para roubar dados. Por exemplo, o engenheiro social pode fingir que é um técnico de TI para conseguir informações. 

Em muitos casos, os golpes podem ser tão bem elaborados que os atacantes, antes de realizar o ataque, estudam o comportamento e a vida da vítima, conhecendo seus familiares e colegas por meio das redes sociais. Depois disso, fingem ser alguém conhecido para roubar os dados.

 

Baiting (isca)

 

É a situação na qual se oferece uma isca ao usuário, como pen drives, USB, e antigamente CDs e DVDs que ficam “esquecidos” em locais públicos. Quando alguém os encontra e os conecta em seu aparelho para tentar encontrar informações de quem os perdeu, o hacker pode invadir o sistema da vítima por meio de malware ou programa espião para roubar dados. 

Atualmente, com as mídias digitais, muitas vezes oferecem o download de apps “gratuitos” para acessar certo sistema. Quando o usuário baixa o programa, acaba instalando o malware. 

 

Tailgating 

 

Termo que indica a entrada não autorizada por parte do criminoso, aproveitando-se da abertura ou acesso de outra pessoa oficializada (funcionário, por exemplo). Assim o criminoso consegue acesso físico ao local fingindo que é um funcionário de determinada empresa. 

O invasor finge, por exemplo, que estava atrasado, e a pessoa, para ajudar, permite a entrada. Assim, o ladrão consegue acesso físico aos computadores do local.  

 

Phishing 

 

Termo associado a pescagem no português que se refere ao envio de emails e mensagens fraudulentas para roubar informações. Muitas vezes, sites falsos são criados para enganar a vítima. 

Os cibercriminosos criam um clone de um site real para “vender” um produto ou serviço, e assim conseguem os dados da pessoa. 

 

Spear phishing 

 

Um modo mais especializado e sofisticado de phishing, pois concentra-se em empresas e organizações específicas. O invasor estuda o modo de funcionamento da empresa para tentar enganar seus funcionários, o que deixa o ataque altamente perigoso e pode ser nocivo tanto para a pessoa quanto para a organização. 

 

Vishing 

 

Semelhante ao phishing, utiliza-se áudios e mensagens de texto via SMS. A tecnologia VoIP (Voice over Internet Protocol) possibilita ocultar a identidade de quem liga, o que pode contribuir para o ciberataque. 

 

Como se proteger desses golpes?

 

Além dos indivíduos, as empresas de tecnologia são potenciais vítimas desses golpes. Para elas, o impacto pode ser nocivo, pois afeta não só o funcionamento organizacional, mas a confiança do cliente no serviço oferecido, o que pode acarretar prejuízos significativos.

Fernandes (2023) ressalta a necessidade de educação e treinamentos constantes. Outro ponto importante é o de se manter atualizado sobre os novos golpes e como eles se aplicam a determinada mídia. Precisamos estar sempre atentos ao modo de falar e em qual canal essa mensagem está sendo transmitida. 

No caso das empresas, os funcionários devem estar ainda mais preparados para lidar com as tentativas de fraudes, pois eles podem ser as principais vítimas. Além de ter um sistema robusto de proteção, as empresas devem preparar um protocolo de ações a serem seguidas para evitar a perda de dados. 

Por exemplo, um funcionário nunca deve acessar os dados da empresa em um computador que não seja o empresarial ou o doméstico utilizado para fins de trabalho. Os computadores sempre devem ter antivírus, e quando surgir alguma dúvida, o funcionário deve entrar em contato com a equipe especializada para saber como agir. 

 

Velip, ecoando sua voz por novos caminhos, mas com segurança em primeiro lugar! 

 

REFERÊNCIAS 

 

FERNANDES, Gilvan. Engenharia Social: Entendendo a Manipulação Psicológica em Empresas de Tecnologia. Medium, 20 nov. 2023. Disponível em: https://medium.com/@ogilvanfernandes/engenharia-social-entendendo-a-manipula%C3%A7%C3%A3o-psicol%C3%B3gica-em-empresas-de-tecnologia-9a7c1c3759a6. Acesso em: 10 abr. 2024. 

 

ROSA, Bianca Roziska; MALIMPENSA, Gabriel Terciotti. Engenharia social: o que é e como evitar esses ataques nas empresas. – SP, 2023. Trabalho de conclusão de curso. (Curso superior de tecnologia em gestão da Tecnologia da Informação). Faculdade de Tecnologia de Assis, Prof. Dr. José Luiz Guimarães. Assis, 2023. Disponível em: http://ric-cps.eastus2.cloudapp.azure.com/handle/123456789/15845. Acesso em: 11 abr. 2024.