Engenharia Social: Técnicas e Prevenção

A engenharia social é uma técnica de ciberataque que consiste em explorar a tendência natural das pessoas em confiar, bem como com a credibilidade e falta de consciência. O objetivo geralmente é retirar dados confidenciais de empresas ou indivíduos.

As empresas podem investir em muitas ferramentas diferentes para se proteger contra crimes cibernéticos, mas o ponto mais fraco de um sistema de segurança de IT geralmente é o ser humano. Os especialistas em engenharia social são excelentes psicólogos, capazes de manipular a vítima e usar argumentos e formulações inteligentes. Assim sendo, é essencial estar consciente das ameaças, da importância e do valor dos dados.

Existem muitas técnicas em engenharia social. Aqui destacamos algumas:

1. Phishing

O objetivo é fazer com que o destinatário do e-mail acredite que é algo que precisa ou está a aguardar. O e-mail pode incluir links ou anexos perigosos contendo software antivírus. Os tipos de phishing também incluem: spear phishing e whaling. Pense antes de clicar!

2. Pretexto

Esta técnica utiliza um pretexto - uma justificação falsa para uma ação específica - para ganhar confiança e enganar a vítima. Por exemplo, o invasor afirma trabalhar no suporte de IT e solicita a senha do alvo para fazer manutenção.
Processos, políticas e formação adequada de identificação e autenticação devem estar em vigor para contornar esses ataques.

3. Isco

O isco pretende atrair a vítima para realizar uma tarefa específica, fornecendo acesso fácil a algo que a vítima pode se sentir tentada a aceder. Por exemplo, uma unidade USB infetada com um keylogger e identificada como "Fotos privadas" deixada na secretária da vítima.
Políticas de segurança, como bloqueio de software e hardware não autorizados, impedirão a maioria das tentativas, e convém relembrar as equipas para nunca confiar em fontes desconhecidas.

4. Quid pro Quo

"Algo por algo" em latim, envolve um pedido de informação em troca de uma compensação. É o caso de um invasor ligar para números de telefone aleatórios alegando ser do suporte técnico. Ocasionalmente, encontra uma vítima que por acaso precisava. Oferecem “ajuda”, obtendo acesso ao computador e podendo instalar software malicioso.

5. Shoulder Surfing

Este método envolve o roubo de dados (ou seja, passwords ou códigos) olhando “por cima do ombro” quando a vítima está a utilizar o computador portátil ou outro dispositivo (um smartphone ou até mesmo num ATM). A consciencialização sobre a ameaça é particularmente importante para empresas com colaboradores em trabalho remoto, onde estes podem utilizar os seus dispositivos de trabalho em locais públicos.

6. Tailgating

Este método envolve a entrada física em áreas protegidas, como a sede de uma empresa. O atacante, pode se fazer passar por colaborador e convencer a vítima, que é um funcionário autorizado a entrar ao mesmo tempo, a abrir a porta do datacenter usando o passe RFID da vítima.
O acesso a áreas não públicas deve ser controlado por políticas de acesso e/ou uso de tecnologias de controlo de acesso, quanto mais sensível a área, mais rigorosa a combinação.

Para evitar tais ataques, há vários aspetos importantes a serem considerados:

Formação dos colaboradores em engenharia social

Um dos aspetos mais importantes da prevenção de engenharia social é a consciencialização dos riscos. Portanto, é essencial organizar workshops de cibersegurança para os colaboradores e passar a importância dos dados.

Testar a consciencialização dos colaboradores

Ocasionalmente, é uma boa ideia colocar os colaboradores numa situação de simulação de ataque real. Eles bloqueiam os computadores quando saem? Há algum documento importante nas suas mesas? Credenciais escritas em post-its? O que farão se um número desconhecido ligar e se fizer passar por alguém a oferecer serviços que a empresa está à procura? Responder a estas perguntas ajudará a garantir que cada pessoa da equipa tem consciência do que pode e não deve fazer. Faça exercícios com a equipa de gestão e com os colaboradores-chave regularmente. Teste os controlos e faça engenharia reversa em áreas potenciais de vulnerabilidade.

Reforce a autenticação multifator

Mesmo uma password forte nem sempre é suficiente. É melhor não confiar na autenticação de fator único para dados importantes. Além de passwords, a verificação multifator pode incluir digitalização de impressões digitais, tokens de autenticação ou códigos SMS.

Atualmente, a melhor defesa contra ataques de engenharia social é a educação dos colaboradores complementada com soluções tecnológicas para melhor detetar e responder aos ataques. Ao ter plena consciência de como funciona, e tomando precauções básicas, será muito menos provável que se torne uma vítima da engenharia social.