Como os hackers usam a engenharia social para enganar você

Como os hackers usam a engenharia social para enganar você

Licença: Freepik

 

Se você pensa que a atuação dos hackers acontece apenas tentando invadir máquinas remotamente, escondendo vírus em scripts ou fazendo ataques de negação de serviço (DDOS), pense de novo. Já ouviu falar em engenharia social? Trata-se uma série de técnicas usada por hackers e crackers para roubar dados e aumentar suas chances de obter informações preciosas - e que podem comprometer sua empresa.

O pioneiro da engenharia social se chama Kevin D. Mitnick, autor do livro "A Arte de Enganar". Suas façanhas foram registradas no filme "Caçada Virtual", lançado em 2000. Ele é considerado o maior cracker da história dos Estados Unidos. Mitnick começou burlando sistemas telefônicos para pregar peças em seus amigos. Mas se especializou em invadir sistemas de empresas e governos. Tanto fez que acabou preso em 1995. Hoje, solto, dá palestras sobre segurança de dados pessoais e abriu uma empresa especializada no assunto.

Mas que técnicas são essas? Como funciona essa tal engenharia social? Nada mais é do que maneiras de manipular pessoas (de diversas maneiras) para obter informações confidenciais. E isso funciona tanto online quanto offline. Usa-se a engenharia social, geralmente, como parte de um esquema maior, para subtrair dados importantes. Parte-se do pressuposto de que enganar as pessoas é ligeiramente mais fácil do que invadir sistemas. Portanto, essas estratégias servem para abrir portas aos invasores. Muitas vezes, abrir portas pode ocorrer de maneira literal.

A engenharia social é bastante antiga, não é exclusividade do nosso mundo conectado. Antes, ela era usada para roubar informações e documentos físicos, dinheiro e outros bens. Ela continua a ser utilizada pelos larápios que trabalham exclusivamente no mundo real. E vem sendo adotada pelos criminosos virtuais para facilitar seu trabalho. Veja a seguir as principais técnicas de engenharia social e aprenda a se proteger dela.

 

Perigo no lixo

Você já parou para pensar no que está sendo jogado fora na sua empresa. Será que todas as informações confidenciais (impressas ou escritas em papéis, formulários e apostilas) está sendo descartada de maneira correta? Seus funcionários estão usando a fragmentadora de papel? Essa é uma das estratégias mais usadas pela engenharia social: revirar o lixo. Isso porque os descartes podem conter informações como nomes de funcionários, seus telefones, emails, senhas pessoais, senhas de sistemas, nome de fornecedores, clientes e outros contatos importantes. O lixo pode ser o primeiro passo para um ataque maior à sua empresa. Por isso, é preciso tomar bastante cuidado com o que se joga fora.

 

Informações estão disponíveis nas redes sociais e em mecanismos de busca

Todos nós estamos nas redes sociais, isso é inevitável. Mas, muitas vezes, deixamos disponíveis informações que são um prato cheio para a engenharia social. Com uma rápida busca, é possível encontrar números de telefone, emails, nomes de funcionários, cargos, amizades e lugares frequentados. Pode parecer paranóia, mas esses dados são potenciais portas de entrada para malfeitores sofisticados. É preciso orientar os funcionários a não expor informações pessoais de maneira aberta. Também é necessário tomar cuidado para que números de telefone e endereços de sua empresa não sejam divulgados de maneira desnecessária.

 

Cuidado com as conversas telefônicas

O bom e velho telefone pode ser um perigo, especialmente quando estamos falando de engenharia social. Existem inúmeras fraudes feitas usando esse meio de comunicação, não só aquelas que alvejam as grandes empresas. Por ser muito eficiente, é uma técnica bastante eficaz de obter informações de funcionários desavisados ou inocentes. Senhas, emails, outros telefones, nomes de funcionários e outras informações podem ser obtidas com uma simples ligação. Os colaboradores da sua empresa precisam estar treinados para desconfiar de qualquer ligação.

 

Manipulação em carne e osso

Essa estratégia de engenharia social é usada por diversos tipos de criminosos, de assaltantes a invasores cibernéticos. Apesar de ser muito conhecida, ainda é bastante efetiva. Como ela funciona? Um larápio se disfarça de prestador de serviço, alega ser um conhecido de um funcionário, um colaborador ou conta qualquer outra história para conseguir entrar na empresa. Uma vez lá dentro, podem tentar chegar ao datacenter ou vasculhar, procurando algum outro tipo de informação. Parece coisa que acontece apenas em filme de espião, mas não é. Afinal de contas, a arte imita a vida, e a engenharia social não foi inventada pelo cinema.

 

Phishing

Embora já seja quase clássico e muito conhecido dos profissionais da segurança da informação, o phishing ainda faz bastante sucesso na engenharia social. O método é sempre parecido: um email falso engana o destinatário (o funcionário da empresa, claro) e o faz clicar em um link maldoso ou a enviar informações pessoais ou confidenciais. Os disfarces são diversos: bancos, colegas de trabalho, Receita Federal, lojas online, etc. Para evitar que o phishing fisgue seus colaboradores, é preciso que todos fiquem sempre atentos a emails, especialmente os que vêm com links ou anexos. Suspeitar é melhor do que se arrepender.

 

Carona no papo dos outros

Acredite: uma maneira de obter informações é simplesmente batendo papo com pessoas desavisadas. O especialista em engenharia social pode se aproveitar de eventos sociais, festas, almoços, para se infiltrar entre funcionários de uma empresa. De maneira sutil, ele se engaja com essas pessoas e consegue extrair informações importantes. Faz perguntas a respeito de setores que supostamente não conhece, de pessoas importantes e consegue traçar um panorama geral, que pode ajudá-lo a extrair mais informações e a atacar a empresa. Por isso, é importante sempre ter controle de quem entra em sai em eventos, principalmente nos externos. Listas de nomes permitidos devem ser rigorosamente cumpridas para evitar esse tipo de estratégia de engenharia social.

 

Dispositivos esquecidos estrategicamente

Uma vez dentro do ambiente da empresa, o invasor pode usar algumas outras técnicas de engenharia social para extrair informações ou atacar. Ele pode, por exemplo, deixar um pendrive em um local visível e de grande circulação (o café?). É muito provável que ao menos uma pessoa não resista à curiosidade e conecte o dispositivo ao seu computador para verificar o que há ali. Essa é a porta de entrada para infecções importantes, que podem se espalhar por sua rede interna, comprometendo a segurança e as informações da sua empresa.

 

Siga-nos

       

 

Contato:

 SIA/SUL Trecho 03 Lote 990,  Cobertura - Edifício Itaú

 CEP: 71.200-030 - BRASÍLIA/DF

 +55 (61) 3363-8636

 contato@fasthelp.com.br

Enviar mensagem

Últimas Notícias