A perda de dados é um dos maiores pesadelos de qualquer empresa ou usuário. E, apesar dos diversos investimentos tecnológicos para mitigar essa possibilidade, os profissionais da área de TI e Segurança sabem que as vulnerabilidades não estão ligadas somente aos softwares maliciosos e sim ao elo mais fraco da Segurança da Informação: as pessoas. Diferente de um software, cujo comportamento é previsível e não pode fugir daquilo para o qual foi programado, o fator humano é muito mais complexo e fácil de ser explorado pelos cibercriminosos.
E é por isso que a engenharia social, embora antiga, continua até hoje sendo a técnica mais eficaz utilizada pelos golpistas na hora de elaborar golpes para roubar dados corporativos e pessoais. Esse tipo de ataque é conhecido pelo uso de qualquer estratégia não-técnica que, em grande parte, dependem da interação humana e geralmente envolvem iludir o usuário para desrespeitar as boas práticas de segurança digital, como baixar arquivos suspeitos, abrir links maliciosos ou compartilhar informações confidenciais.
De acordo com Leonardo Fagnani, gerente de Serviços da NetSecurity, empresa especializada em serviços gerenciados de Segurança da Informação, o sucesso dos ataques que utilizam a engenharia social vai depender da habilidade do hacker em manipular as vítimas. “A maior diferença entre esse golpe e o hacking tradicional, é que o primeiro não envolve o comprometimento ou a exploração de sistemas ou softwares. Como não abrange nenhum aspecto técnico que possa ser reconhecido pelas ferramentas de segurança tradicionais, os ataques de engenharia social estão entre as maiores ameaças às empresas atualmente”, explica.
Um grande exemplo dessa modalidade é o hacker norte-americano Kevin Mitnick, que ficou famoso na década de 60 por conseguir informações secretas de grandes empresas dos Estados Unidos apenas telefonando para alguns funcionários e, após conquistar a confiança deles, fazendo algumas perguntas. “Se naquela época já era possível convencer os próprios usuários a fornecerem senhas, hoje com as redes sociais é ainda mais fácil enganar as pessoas para conseguir dados valiosos”, afirma Fagnani.
No meio digital, a engenharia social pode ser feita por meio de e-mails, mensagens em apps, perfis falsos nas redes sociais ou até mesmo por chamadas telefônicas. Ao entrar em contato com a vítima, independentemente do modo, o criminoso tenta ganhar sua confiança para realizar fraudes e convencê-la a compartilhar o golpe com sua rede de contatos. “Esse tipo de estratégia é vantajosa para os criminosos, pois é mais fácil convencer pessoas a cederem seus dados e compartilhar os golpes do que ter o trabalho de hackeá-las. Além disso, golpes que utilizam as redes sociais ainda possuem a capacidade de viralizar, o que permite que muitos outros usuários sejam impactados”, explica Fagnani.
Em tempos de adequação das empresas para a chegada da Lei Geral de Proteção de Dados (LGPD), o especialista ainda ressalta a necessidade de garantir que todo o quadro de colaboradores entenda os perigos da engenharia social. “Qualquer deslize pode resultar em um vazamento de dados que comprometerá toda a credibilidade de sua marca, além de resultar em multas e sanções como penalidade por parte dos órgãos competentes”, finaliza.
Para evitar mais transtornos relacionados ao coronavírus, o especialista da NetSecurity separou cinco medidas simples, mas eficazes, que podem ajudar os usuários a identificar esses golpes e não se tornar vítimas.
1- Cuidado ao mencionar informações sensíveis – Nunca divulgue informações confidenciais ou mesmo informações aparentemente não confidenciais sobre você ou sua empresa, seja por telefone, on-line ou pessoalmente, a menos que você possa primeiro verificar a identidade da pessoa. Além disso, lembre-se sempre que os departamentos de TI reais e seus serviços financeiros nunca pedirão sua senha ou outras informações confidenciais por telefone ou e-mail.
2- Tenha calma. Não aja sob pressão – Os cibercriminosos sabem que cometemos erros quando estamos sob pressão, e eles usam isso contra suas vítimas. Eles querem que você aja primeiro e pense depois. Se a mensagem transmitir um senso de urgência ou usar táticas de vendas de alta pressão, seja cético e prático: nunca deixe sua urgência influenciar sua análise cuidadosa.
3- Evite compartilhar muito nas redes sociais – Os cibercriminosos podem rastreá-lo de forma online devido ao compartilhamento constante de suas informações pessoais. Eles podem conhecer todas as suas características, seu comportamento e obter suas informações pessoais nas redes sociais. Sempre cauteloso em se expor nas redes social, expor seus familiares e se possível, evite postar se sentir que pode ser um alvo.
4- Use a autenticação de dois fatores sempre que possível – A autenticação de dois fatores adiciona outra camada de segurança às suas contas, além da senha. Se você tiver ativado, os cibercriminosos que de alguma forma obtiverem suas senhas ainda não conseguirão acessar suas contas.
5- Adote uma Cultura de Segurança na sua empresa – A melhor maneira de mitigar o risco representado pelos métodos de ataques de engenharia social é por meio de um compromisso organizacional com uma cultura de segurança. O treinamento contínuo em conjunto com as ferramentas de proteção avançada proporcionará aos funcionários as ferramentas necessárias para reconhecer e responder às ameaças de engenharia social.
