This post is also available in: Português English Español
A engenharia social tornou-se uma das técnicas mais utilizadas para explorar a vulnerabilidade de pessoas. Ela acontece com grande frequência em ambientes corporativos e, inclusive, foi a principal forma de ataque às empresas no ano de 2015, de acordo com a pesquisa Human Factor Report, da empresa de segurança Proofpoint.
Conhecida como uma “arte de enganar”, a engenharia social está diretamente ligada ao sucesso de técnicas utilizadas para promover ataques virtuais direcionados. O ataque visa explorar o elo mais fraco em uma estrutura de segurança, que são as pessoas. Seu objetivo primário é manter contato com indivíduos – nesse caso, colaboradores – para, então, comprometer o arsenal de segurança da empresa, trazendo prejuízos dos mais variados tipos.
Para saber mais sobre a engenharia social e os impactos que podem ser acometidos ao ambiente corporativo, é só continuar com a leitura desse blog post.
O que é engenharia social?
O conceito de engenharia social está diretamente ligado ao de persuasão. É um termo referente a manipulação psicológica de pessoas para realizarem atividades que, seguindo a boa prática da Segurança da Informação, não deveriam realizar.
Com tal armadilha, que necessita da interação humana, os criminosos podem ter acesso a dados confidenciais – passíveis de roupo pela ingenuidade de um colaborador da empresa, por exemplo. Por essa razão, é um conceito fortemente estudado pelo segmento de Segurança da Informação.
Apesar de ser utilizada com fins negativos, a engenharia social também pode ser usada como uma ferramenta de descoberta de falhas. Com ela, é possível encontrar erros humanos em organizações e maneiras adequadas de corrigi-los.
Embora tenha esse lado, a engenharia social é frequentemente usada com fins negativos e podem causar inúmeros problemas para as organizações, sendo um dos grandes desafios dos profissionais de tecnologia nos dias atuais.
Os perigos no ambiente corporativo
Existem muitas técnicas e ataques criminosos que utilizam a engenharia social. Por trás de seus métodos de abordagem é possível, acima de tudo, o roubo de informações confidenciais e corporativas, necessárias para a continuidade do negócio.
Por isso, selecionamos os principais tipos de abordagens utilizadas por criminosos que praticam a engenharia social. Confira!
Phishing
E-mails são ótimas formas de caçar vítimas e o phishing tem exatamente essa finalidade. É o clássico ataque que incentiva o clique, com chamadas referentes a cadastros e alterações bancárias, ou até mesmo a divulgação de ofertas imperdíveis vindas de um remetente desconhecido.
Em corporações, a principal variação dessa ameaça é denominada spear phishing. Isso porque os cibercriminosos coletam informações extremamente específicas e objetivas por meio da engenharia social, além de visarem precisamente determinadas organizações. Dessa forma, os ataques são menores, mas muito mais potentes e invasivos.
Pharming
Essa prática é muito semelhante ao phishing. A grande diferença é que o ataque acontece em um site – legítimo – que tem o tráfego direcionado para operar de forma criminosa. Assim, existe a possibilidade de o usuário instalar, sem consciência, programas maliciosos em sua própria máquina. Como o phishing, o pharming induz as vítimas a realizarem atividades que geram consequências trágicas para a organização.
Mídias Sociais
Em muitas empresas, tornou-se comum liberar as mídias sociais para uso dos colaboradores. Seja para realizar tarefas que vão de encontro ao propósito da organização ou como uma fuga para amenizar o estresse do dia a dia, as redes sociais são ambientes inteiramente propícios para a prática da engenharia social.
Por bate-papos privados ou publicações livres nas plataformas, os colaboradores correm o risco de serem abordados por cibercriminosos com o objetivo de manipular as vítimas. Dessa forma, é comum ocorrer a extorsão de informações confidenciais da empresa, colocando-a em risco.
Ligações telefônicas
Embora não seja um dos métodos mais eficazes, é uma tática extremamente tradicional e uma das várias possibilidades da engenharia social. Em apenas uma ligação, o criminoso pode se passar por algum parceiro, colaborador ou gestor. Assim, induz o compartilhamento de dados sigilosos da organização por meio de uma conversa totalmente manipulada.
Como se proteger?
Uma das dicas chave para se proteger dos ataques de engenharia social é ter bom senso. Mas como bom senso é algo bastante subjetivo no meio corporativo, é importante que analistas de tecnologia disseminem boas práticas para evitar este tipo de sinistro, tais como:
- Conscientizar os colaboradores a não clicar em links suspeitos;
- Evitar abertura de mensagens com remetentes de endereços estranhos ou desconhecidos;
- Jamais fornecer informações para pessoas cuja abordagem seja suspeita;
- Em circunstância alguma disponibilizar informações sigilosas sobre você ou sobre a organização.
Além das práticas altamente relevantes, profissionais de tecnologia precisam buscar por investimentos periódicos em segurança corporativa. Muitas empresas ainda não seguem parâmetros adequados da Segurança da Informação e, por esse motivo, sofrem com diversos tipos de ameaças virtuais – tão nocivas quanto a engenharia social. Para isso, existem muitas soluções e métodos aconselháveis que cabem perfeitamente no ambiente corporativo.
- A aquisição de Firewalls UTM é uma prática extremamente necessária, pois garantirá visibilidade e segurança para a arquitetura de rede, podendo evitar acesso a urls/sites com conteúdos maliciosos, evitando sinistros associados a Pharming;
- Utilização de antispams corporativos, vital para filtrar as mensagens que chegam até a caixa de entrada dos colaboradores. O antispam minimiza as chances de sucesso da engenharia social através da estratégia de phishing, além de garantir maior segurança para as transações realizadas por e-mail.
Por fim, é fundamental que os gestores criem planos de conscientização dos times de colaboradores. São muitos os cuidados essenciais na internet e, tratando-se de ambientes corporativos, a equipe interna precisa estar ciente de como se prevenir contra as ameaças digitais. Por isso, certificar que os colaboradores estão alinhados a este propósito é uma etapa essencial no processo de prevenção contra engenharia social e outros ataques virtuais.
This post is also available in: Português English Español