Roubo de dados via engenharia social: previna-se!
Proteger a rede de computadores de uma empresa não a expondo a ameaças, como o roubo de dados via engenharia social, é um dos principais desafios dos gerentes de TI e dos profissionais de segurança da informação atualmente.
Na engenharia social, o criminoso obtém a confiança da vítima e engana-a para extrair dados pessoais, seja por telefone, mensagem, sms ou e-mail.
Os hackers, nesse caso, exploram a única fraqueza encontrada em toda e qualquer organização: a psicologia humana. Usando uma variedade de mídias, incluindo chamadas telefônicas e mídias sociais, esses invasores induzem as pessoas a oferecerem informações confidenciais.
Há cada vez mais hackers tentando coletar informações sobre vítimas e, com isso, cometer atos criminosos. Eles tentam copiar detalhes de cartões, hackear computadores e pesquisam dados para obter o máximo possível de informações a fim de realizar transações financeiras em nome da vítima.
Mesmo com as mais avançadas tecnologias, existe o risco de um funcionário ser enganado e passar os dados da empresa via engenharia social e, assim, perder informações importantes para o mercado, como dados de clientes.
Principais tópicos deste artigo
Como minha empresa está em risco?
A engenharia social provou ser uma maneira muito bem-sucedida para um criminoso invadir sua empresa. Uma vez que um engenheiro social tenha a senha de um funcionário confiável, ele pode simplesmente fazer o login e procurar informações confidenciais. Com um cartão de acesso ou código para entrar fisicamente em uma instalação, o criminoso pode acessar dados, roubar ativos ou até prejudicar pessoas.
Enquanto os ataques tradicionais alavancam vulnerabilidades de sistemas baseados em tecnologia, como erros de software e configurações incorretas, os ataques de engenharia social tiram proveito das vulnerabilidades humanas. Usam o engano para fraudar as vítimas, que são direcionadas a realizar ações prejudiciais.
A maioria desses golpes funciona porque as vítimas acreditam que se trata de algo verdadeiro e, então, entregam aos criminosos suas informações com mais facilidade. O principal objetivo do criminoso, nesse caso, é convencer a vítima a entregar suas informações voluntariamente em vez de usar ameaças ou intimidação forçada.
Quais são as táticas mais comuns de roubo de dados via engenharia social?
As táticas de engenharia social estão baseadas essencialmente na confiança. Tudo o que um criminoso precisa para começar é um pouco de informação que pode ser de conhecimento público ou que a vítima pode inocentemente compartilhar em sua rede social. Um criminoso pode precisar de nada mais do que uma postagem do Facebook identificando sua localização e membros da família ou uma senha fraca.
A engenharia social acontece quando as pessoas confiam demais ou quando não pensam nas consequências de serem descuidadas com as informações. Existem infinitas maneiras de um ladrão de identidade usar a engenharia social para roubar suas informações pessoais. As táticas abaixo são apenas uma amostra do que pode ser usado por criminosos para roubarem dados via engenharia social. Confira a seguir!
E-mails falsos
Se um criminoso consegue hackear ou projetar socialmente a senha de e-mail de uma pessoa, ele tem acesso à lista de contatos da vítima. Como a maioria das pessoas usa uma senha em todos os lugares, ele provavelmente também tem acesso aos contatos da rede social dessa pessoa.
Uma vez que o criminoso tenha essa conta de e-mail sob seu controle, ele envia e-mails para todos os contatos da pessoa ou envia mensagens nas páginas sociais dos amigos da vítima. Um golpe muito recorrente e que muitas pessoas caem é o golpe do banco, no qual os hackers enviam um e-mail com um link falso do banco da vítima, enganando o usuário para inserir o seu número de conta e senha.
Outro exemplo recente, foi um e-mail com falsa notificação de suspensão de conta da Netflix. Esses e-mails são enviados em massa, mas funcionam porque existe um grande volume de usuários deste tipo de serviço.
Celular clonado
Invadir seu e-mail ou roubar seu telefone físico não é o único caminho em que alguém pode usar a engenharia social para prender sua identidade. Uma prática conhecida como clonagem de telefone acontece quando alguém obtém informações suficientes sobre você a partir de várias fontes e, em seguida, entra em contato com seu provedor de celular.
Fingindo ser a vítima e usando uma história como a de um telefone quebrado, eles têm o seu número de telefone transferido para outro dispositivo. Quando a transferência estiver concluída, eles entrarão em suas contas graças a mensagens de texto contendo os códigos necessários para alterar suas senhas de aplicativos de bancos, redes sociais, etc.
Conheça a melhor solução de proteção de e-mail
Aplicativos falsos
Um malware móvel ganhou acesso aos iPhones enganando os usuários para fazer o download de um pacote de software de gerenciamento de dispositivos móveis de código aberto.
Uma vez no controle, os hackers não identificados podem roubar várias formas de informações confidenciais de dispositivos infectados, incluindo o número de telefone, número de série, localização, detalhes de contato, fotos do usuário, SMS e mensagens do WhatsApp.
Notícias falsas
Esta tática é comumente usada quando uma celebridade morre. Isso geralmente é explorado com vídeos de despedida ou do acidente. Uma falsa mensagem de phishing no Facebook pode aparecer convidando os usuários a clicar em um link e ver um vídeo exclusivo.
É claro que não há vídeo, e o link leva a uma página falsa que tenta enganar os usuários, fazendo-os clicar em outros links com pesquisas online fraudulentas. A engenharia social também pode se estender às solicitações de negócios e amigos no LinkedIn e no Facebook, respectivamente, com criminosos que usam redes sociais para obter confiança e dados seguros. Mais frequentemente, o resultado é extorsão ou roubo.
Quais são os cuidados contra ataques de engenharia social?
Em primeiro lugar, para evitar o roubo de dados por meio da engenharia social em sua empresa, seja cauteloso e use o bom senso. Acompanhe algumas dicas que separamos:
- Eduque os funcionários. Se as pessoas não são educadas para os tipos de ataques que estão sendo usados, então elas não podem se defender contra eles;
- Esteja ciente das informações que estão sendo transmitidas;
- Defina quais dos seus ativos são mais valiosos para proteger;
- Elabore uma política de segurança e faça um bom treinamento de conscientização;
- Mantenha seus softwares atualizados;
- Quando for solicitada alguma informação, busque compreender se a pessoa com quem você está falando precisa realmente da informação solicitada;
- Preste atenção às perguntas que não se encaixam no contexto.
E você, já sofreu algum roubo de dados via engenharia social? Mantenha-se informado sobre segurança da informação seguindo nossa página no LinkedIN ou Facebook.
Veja como a HSC Labs melhorou a segurança de e-mail do MP-Bahia
Treine a sua equipe em cibersegurança
Respostas de 5