Varonis debuts trailblazing features for securing Salesforce. Learn More

Apresentamos a automação de privilégios mínimos para Microsoft 365, Google Drive e Box

Saiba Mais

Engenharia social: Entenda o golpe

A engenharia social envolve a manipulação do usuário para que ele realize uma ação que permita que hackers tenham acesso a informações confidenciais.
Emilia Bertolli
5 minuto de leitura
Publicado 6 de Outubro de 2022
Engenharia social

Basicamente, a engenharia social envolve a manipulação psicológica do usuário para que ele realize uma ação que permita que hackers tenham acesso a informações confidenciais e privadas, por exemplo, quando um usuário recebe um e-mail afirmando que ele precisa atualizar seus dados para continuar tendo acesso ao seu serviço de streaming e, com isso, induzi-lo a clicar em links mal intencionados, realizar transações financeiras e compartilhar dados confidenciais. 

De acordo com a Febraban, esse tipo de golpe cresceu 165% no primeiro semestre de 2021, sendo que alguns tipos de golpe se destacam: o golpe do falso motoboy que cresceu 271%, das falsas centrais telefônicas e falsos funcionários, com crescimento de 62%, o que mostra que esse tipo de golpe não é exclusividade do mundo digital. 

O termo “engenharia social” foi introduzido pela primeira vez em 1894, pelo industrial holandês J.C. Van Marken que acreditava que engenheiros sociais poderiam resolver todos os problemas do ser humano. Se suas ideias visavam o bem-estar dos trabalhadores, a engenharia social, hoje, também é vista como uma das ameaças cibernéticas mais difundidas, baratas e fáceis de ser executada. Nos anos 1990, Kevin Mitnick, contribuiu para tornar o temo mais popular, mesmo que muitas das técnicas já existissem. 

O famoso golpe nigeriano é um dos mais famosos. Nele, o golpista afirma ser funcionário do governo da Nigéria ou de algum banco e diz precisar de acesso a uma conta no exterior para transferir fundos presos em uma conta nigeriana congelada. Tudo em troca de uma comissão. Com isso, o golpista convence a vítima a enviar uma pequena quantia de dinheiro para quitar valores associados a impostos ou taxas e ele possa realizar a transação. Quando a vítima envia o dinheiro, o golpista simplesmente desaparece. 

O impacto da tecnologia

Hoje, os golpes de engenharia social evoluíram e se tornaram mais sofisticados e complexos, criando, depois que a vítima realiza a ação desejada, brechas de segurança que podem ser utilizadas para que hackers invadam sistemas, além de permitir que informações sobre acesso à rede e dados da empresa sejam roubados sem serem detectados. 

De acordo com o relatório Global Cybersecurity Outlook 2022 do Fórum Econômico Mundial (WEF), a engenharia social se tornou a segunda maior preocupação entre os líderes de segurança da informação no mundo, com o ransomware em primeiro lugar. 

Durante a pandemia, com o mundo passando por uma gigantesca transformação na maneira com que as pessoas interagiam umas com as outras, o uso de videochamadas, SMS e mensagens instantâneas se tornou uma seara lucrativa para os golpistas de plantão. Agora, com o trabalho híbrido se tornando padrão, outras vulnerabilidades estão aparecendo, principalmente pelo uso cada vez maior de dispositivos móveis. 

Com isso, atores de ameaças encontram na engenharia social um mundo de oportunidades para serem bem-sucedidos. 

Quais as fraquezas exploradas pela engenharia social

Investir contra os pontos fracos de usuários é muito mais fácil e simples que buscar por vulnerabilidades na infraestrutura de uma empresa. Por que gastar tempo para invadir a infraestrutura quando é possível usar as pessoas para contornar as defesas? Afinal, basta apenas que um funcionário cometa um único erro para abrir as portas para criminosos virtuais. 

Por meio de técnicas simples e extremamente persuasivas, criminosos podem se passar por uma pessoa que o funcionário confia ou podem oferecer uma proposta irrecusável para atraí-lo. Há poucos anos, cibercriminosos usaram a inteligência artificial para simular a voz de um diretor de uma grande empresa dos Emirados Árabes Unidos para convencer um gerente de banco a realizar uma transferência de US$ 35 milhões. 

Quais os tipos de ataque mais comuns

A engenharia social só é bem-sucedida por apostar que o usuário vai ficar tentado a clicar em um link ou realizar uma determinada ação. Ou seja, o erro humano é explorado por novas técnicas de ataques. 

Phishing

O phishing é o tipo mais comum de ataque de engenharia social, e também o mais simples e eficaz. O golpe consiste em convencer o usuário a abrir e-mails, clicar em anexos e links maliciosos e, com isso, coletar credenciais, dados privados e espalhar malware pelas redes. E-mails solicitando que os usuários troquem suas senhas ou afirmando que uma sua conta será cancelada se não realizar uma atualização são alguns dos exemplos de mensagens supostamente legitimas, mas cada vez mais difíceis de serem detectadas. 

Spear phishing

Semelhante ao phishing e também baseado em e-mail traz uma mensagem mais personalizada e, normalmente, visa um indivíduo ou empresa específica, não um grupo de pessoas heterogêneas. A tática envolve uma pesquisa mais profunda sobre a vítima antes do ataque ser iniciado. Para isso, criminosos usam informações reais da vítima para tornar a mensagem mais atraente e convincente, aumentando a probabilidade que o usuário clique no link ou abra o arquivo malicioso. 

Smishing

São mensagens de texto utilizadas para coletar informações, solicitar dinheiro ou distribuir malware. Assim como o Spear Phishing, essas mensagens buscam se passar por mensagens verídicas para convencer o usuário a realizar uma ação. 

Vishing

Também conhecido como Voice Phishing usa de ligações ou mensagens de voz para coletar informações pessoais, números de cartões de crédito ou credenciais que serão utilizadas para o roubo de identidade. 

Tailgating

É uma forma de golpe de engenharia social em que o golpista tenta entrar em uma área restrita simplesmente acompanhando uma pessoa que tenha acesso liberado.  Mais eficaz em pequenas e médias empresas que contam com uma política de acesso menos eficiente. 

Baiting

Ganância ou curiosidade são fatores importantes para que um golpe de engenharia social seja bem-sucedido. Nesse caso, os criminosos usam uma unidade USB, por exemplo, marcada com um assunto que chame a atenção do usuário e o faça conectá-la ao seu computador para ver o conteúdo, com isso, o malware é instalado. 

Quid Pro quo

Expressão latina que significa “tomar uma coisa por outra” visa buscar informações em troca de algo. Nesse caso, o criminoso se passa por um executivo ou funcionário de alguma empresa e promete um serviço em troca de informações confidenciais. 

Pretexting

O criminoso se passa por um colega de trabalho ou uma autoridade para coletar informações da vítima com base na confiança. Normalmente, essas mensagens parecem ter sido enviadas por algum conhecido, o que torna sua identificação como golpe mais difícil. 

Scareware

É uma técnica que usa anúncios pop-ups para explorar um medo do usuário. Visa induzir a vítima a comprar um aplicativo para resolver um problema inexistente de segurança cibernética. Por exemplo, quando o usuário entre em um determinado site e um pop-up surge afirmando que o dispositivo está infectado. 

Sinais de alerta de engenharia social

Apesar de desenhados para parecerem histórias reais e convincentes, os ataques de engenharia social, muitas vezes, não são barrados por filtros de SPAM, de e-mails maliciosos ou antivírus, então, alguns sinais devem ser observados: 

  1. Receber uma mensagem inesperada de algum colega, superior ou alguma pessoa conhecida 
  2. Obter ofertas “boas demais para serem verdadeiras” 
  3. Receber uma oferta incomum que peça que uma ação seja realizada, senão algo terrível irá acontecer 
  4. Receber um pedido para algo urgente 
  5. Receber mensagens de texto, e-mails ou áudio de pessoas ou números desconhecidos 
  6. Receber mensagens solicitando a confirmação de informações pessoais 
  7. Receber mensagens para alterar senhas imediatamente 
  8. Receber mensagens informando sobre o bloqueio ou encerramento de algum serviço 

Como evitar riscos

Não existe uma solução única para evitar ataques de engenharia social, mas é possível reduzir riscos. 

Segurança de dados precisa ser parte da cultura da empresa

Combater ataques cibernéticos exige um esforço de todos dentro da empresa, não apenas da área de TI. Portanto incentive os funcionários a relatar incidentes ou suspeitas, desenvolva políticas de segurança e um plano de resposta a incidentes eficiente. 

Educação é fundamental

Quanto mais informações os usuários tiverem, mais fácil eles poderão detectar um possível golpe. Implemente programas de treinamento e testes para avaliar o conhecimento dos funcionários e reduzir riscos. 

Autenticação de dois fatores ou multifator

Contar apenas com uma senha forte já não é mais suficiente para garantir a segurança das contas. Portanto, implementar a autenticação de dois fatores ou multifator se torna essencial para garantir maior proteção e redução de riscos de ataques de engenharia social. 

Ferramentas de cibersegurança

Implementar ferramentas de segurança de dados torna suas informações mais seguras. Antivírus, programas de monitoramento de endpoints e credenciais são apenas alguns exemplos de como a tecnologia pode ser uma grande aliada. 

Backup

Se tudo falhar é essencial poder recuperar suas informações rapidamente, por isso os backups têm papel fundamental em uma estratégia de segurança de dados eficiente. 

Os usuários são o elo mais fraco da cadeia de segurança de uma empresa, então, entender como os cibercriminosos aproveitam essa fragilidade para que seus golpes sejam bem-sucedidos é essencial para criar uma barreira eficiente contra golpes de engenharia social. Portanto, é fundamental coletar e analisar informações sobre incidentes de segurança, identificar ameaças e notificar a equipe de TI para que a resposta seja a mais ágil possível. Saiba como a Varonis pode ajudar sua empresa nessa tarefa. Entre em contato e solicite uma demonstração gratuita. 

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Try Varonis free.
Get a detailed data risk report based on your company’s data.
Deploys in minutes.
Keep reading
o-que-é-uma-avaliação-de-risco-de-dados-e-por-que-você-deve-fazer
O que é uma avaliação de risco de dados e por que você deve fazer
A avaliação de risco dados é essencial para saber onde os dados estão armazenados, quem os utiliza e se estão em segurança 
dspm-x-cspm:-unindo-dados-e-segurança-na-nuvem-com-a-varonis
DSPM x CSPM: unindo dados e segurança na nuvem com a Varonis
Soluções DSPM e CSPM são fundamentais para que as organizações garantam que sua infraestrutura na nuvem e dados estejam seguros 
certificação-do-modelo-de-maturação-da-segurança-cibernética-2.0-(cmmc-2.0)
Certificação do modelo de maturação da segurança cibernética 2.0 (CMMC 2.0)
O DoD está implementando o programa de Certificação do Modelo de Maturidade de Segurança Cibernética 2.0 
ameaças-internas:-3-maneiras-pelas-quais-a-varonis-ajuda-você
Ameaças internas: 3 maneiras pelas quais a Varonis ajuda você
Ameaças internas são difíceis de combater por que os insiders podem navegar em dados confidenciais sem serem detectados