Engenharia social é um termo que se refere à arte de manipular as pessoas para obter informações confidenciais, acesso a sistemas ou recursos, ou realizar ações que beneficiem os criminosos.
É uma forma de ciberataque que explora a psicologia humana, a confiança, a curiosidade ou a ingenuidade das vítimas, em vez de usar técnicas técnicas ou tecnológicas.
Como funciona a engenharia social
A engenharia social geralmente usa diferentes meios de comunicação, como e-mails, mensagens, chamadas telefônicas, redes sociais ou sites, para entrar em contato com as vítimas e tentar convencê-las a fazer o que os criminosos querem. Os criminosos podem se passar por pessoas ou entidades legítimas, como funcionários, clientes, parceiros, amigos, familiares ou autoridades, e usar diferentes estratégias, como:
- Elogiar, seduzir, ameaçar ou chantagear as vítimas, para influenciar suas emoções, sentimentos ou comportamentos.
- Oferecer, solicitar, exigir ou recompensar as vítimas, para despertar seu interesse, sua necessidade, sua obrigação ou sua gratidão.
- Informar, alertar, avisar ou instruir as vítimas, para criar uma sensação de urgência, importância, vantagem ou segurança.
- Questionar, confirmar, verificar ou atualizar as vítimas, para obter informações pessoais, financeiras ou de acesso.
O objetivo da engenharia social pode ser o roubo de informações sensíveis, o acesso a sistemas ou recursos, a instalação de malwares, a realização de fraudes, a extorsão ou a sabotagem.
Tipos de engenharia social
Existem vários tipos de engenharia social, que podem ser classificados de acordo com o seu método de execução, o seu alvo, o seu comportamento ou o seu impacto. Alguns dos mais comuns são:
Phishing
É um tipo de engenharia social que usa e-mails ou mensagens falsos para enganar as vítimas, fazendo-as acreditar que estão se comunicando com uma fonte legítima, como um banco, uma empresa, uma instituição ou um contato pessoal.
O objetivo é fazer com que as vítimas cliquem em um link, abram um anexo, forneçam seus dados pessoais, financeiros ou de acesso, ou realizem uma ação que beneficie os criminosos.
Vishing
É um tipo de engenharia social que usa chamadas telefônicas falsas para enganar as vítimas, fazendo-as acreditar que estão se comunicando com uma fonte legítima, como um banco, uma empresa, uma instituição ou um contato pessoal.
O objetivo é fazer com que as vítimas forneçam seus dados pessoais, financeiros ou de acesso, ou realizem uma ação que beneficie os criminosos.
Smishing
É um tipo de engenharia social que usa mensagens de texto falsas para enganar as vítimas, fazendo-as acreditar que estão se comunicando com uma fonte legítima, como um banco, uma empresa, uma instituição ou um contato pessoal.
O objetivo é fazer com que as vítimas cliquem em um link, abram um anexo, forneçam seus dados pessoais, financeiros ou de acesso, ou realizem uma ação que beneficie os criminosos.
Baiting
É um tipo de engenharia social que usa um dispositivo físico ou digital, como um pendrive, um CD, um e-mail ou um site, que contém um malware ou um link malicioso, para atrair as vítimas, fazendo-as acreditar que se trata de algo interessante, útil ou gratuito.
O objetivo é fazer com que as vítimas conectem, abram, baixem ou instalem o dispositivo ou o conteúdo, infectando seus sistemas ou dispositivos.
Pretexting
É um tipo de engenharia social que usa uma história ou um cenário falso, como um problema técnico, uma pesquisa, uma auditoria ou uma emergência, para entrar em contato com as vítimas, fazendo-as acreditar que se trata de algo legítimo, necessário ou urgente.
O objetivo é fazer com que as vítimas forneçam informações pessoais, financeiras ou de acesso, ou realizem uma ação que beneficie os criminosos.
Quizzing
É um tipo de engenharia social que usa um questionário ou um teste online, como um teste de personalidade, de inteligência ou de conhecimento, para atrair as vítimas, fazendo-as acreditar que se trata de algo divertido, curioso ou desafiador.
O objetivo é fazer com que as vítimas forneçam informações pessoais, financeiras ou de acesso, ou cliquem em links maliciosos.
Tailgating
É um tipo de engenharia social que usa a proximidade física ou a simpatia para enganar as vítimas, fazendo-as acreditar que se trata de alguém autorizado, confiável ou necessitado.
O objetivo é fazer com que as vítimas permitam o acesso a áreas ou recursos restritos, como escritórios, salas, computadores ou documentos.
Como se prevenir da engenharia social
A engenharia social é uma ameaça séria e crescente, que pode afetar qualquer usuário, empresa ou instituição, causando perdas financeiras, danos morais, perda de dados ou de privacidade.
Por isso, é importante tomar algumas medidas para se proteger desse tipo de ciberataque. Algumas dicas são:
- Não abra, não responda e não forneça informações pessoais, financeiras ou de acesso por e-mail, mensagem, telefone ou site, a menos que você tenha iniciado o contato e tenha certeza de que está se comunicando com uma fonte legítima. Se tiver dúvidas, verifique a veracidade da fonte e da solicitação, por meio de um canal alternativo, como telefone, chat ou site oficial.
- Não clique em links, abra anexos ou digite códigos que sejam enviados por e-mail, mensagem, telefone ou site, a menos que você tenha solicitado ou esperado recebê-los. Eles podem conter malwares ou levar a sites falsos ou maliciosos.
- Não realize nenhuma ação por e-mail, mensagem, telefone ou site, como fazer um pagamento, uma transferência, uma doação, uma compra ou uma assinatura, sem verificar a veracidade da fonte e da solicitação. Se tiver dúvidas, procure outra forma de confirmar a informação, como um site, um e-mail ou um contato pessoal.
- Não conecte, não abra, não baixe ou não instale dispositivos ou conteúdos que você não conhece ou não confia, como pendrives, CDs, e-mails ou sites. Eles podem conter malwares ou links maliciosos.
- Não participe de questionários ou testes online que peçam informações pessoais, financeiras ou de acesso, ou que contenham links maliciosos. Eles podem ser usados para roubar seus dados ou infectar seus sistemas ou dispositivos.
- Não permita o acesso a áreas ou recursos restritos a pessoas que você não conhece ou não confia, como escritórios, salas, computadores ou documentos. Eles podem ser criminosos disfarçados ou aproveitadores.
- Mantenha o seu antivírus, o seu firewall e o seu sistema operacional atualizados. Eles podem ajudar a detectar e a bloquear tentativas de engenharia social ou de infecção por malwares.
- Em caso de suspeita ou confirmação de engenharia social, tome as providências necessárias para minimizar os danos. Altere suas senhas, cancele seus cartões, monitore suas contas, faça uma varredura no seu dispositivo, denuncie o caso às autoridades competentes e alerte seus contatos sobre o ocorrido.
É fundamental estar atento, informado e preparado para se defender dessa ameaça.