Quando vemos representações de hackers em filmes e programas de televisão, geralmente não pensamos na relação entre engenharia social e segurança cibernética. Mas a manipulação emocional desempenha um papel tão importante em um ataque cibernético bem-sucedido quanto a técnica. Descubra mais sobre engenharia social abaixo para se manter seguro online.

O que é engenharia social

Os cibercriminosos estão sempre procurando a vulnerabilidade mais fácil para explorar. E uma das vulnerabilidades é abusar da confiança de alguém ou manipular seus sentimentos. São ataques desse tipo que entram na categoria de engenharia social. Os hackers usam essa técnica para enganar as vítimas, fazendo com elas lhes deem dados confidenciais, como senhas ou informações bancárias.

Às vezes, a engenharia social tira proveito da confiança que as pessoas depositam em colegas ou empresas. Outras vezes, ataca as pessoas quando elas se sentem vulneráveis ou com medo – por exemplo, quando estão sozinhas e procuram uma conexão humana durante uma pandemia. Com tantas pessoas contando com a tecnologia para grande parte de suas atividades, é fundamental detectar os sinais de uma tentativa de engenharia social.

Phishing, smishing, vishing e muito mais

Você provavelmente já está familiarizado com phishing, que é o tipo mais comum de ataque de engenharia social. Um e-mail de phishing parece ser de um remetente legítimo e usa uma linguagem urgente para fazer você clicar em um link malicioso. O site que aparece irá pedir que você divulgue algumas informações ou vai instalar um malware silenciosamente em seu dispositivo. Depois de fazer o que foi pedido, o invasor tem o que precisa para cometer um crime cibernético.

Variações de phishing, como BEC (Business Email Compromise) ou fraude de CEO, geralmente envolvem falsificar a identidade de colegas de trabalho para roubar informações. Depois que o hacker engana um funcionário para que divulgue os dados corretos, ele pode rapidamente obter acesso à rede corporativa. Esses ataques são ainda mais eficazes quando um hacker faz o reconhecimento de um alvo com antecedência, descobrindo o máximo que puder sobre a vítima online. Dessa forma, o cibercriminoso pode criar uma mensagem mais autêntica, com uma chance melhor de ganhar a confiança da vítima.

O phishing começou por e-mail, mas agora acontece em todos os canais digitais. Uma tentativa de phishing pode chegar via SMS, em uma técnica conhecida como smishing, ou aparecer em uma mensagem de mídia social. Os hackers também lançam ataques de vishing usando ligações, muitas vezes assustando as vítimas pretendidas e levando-as a compartilhar informações na hora por medo de entrar em conflito com a Receita Federal ou perder o acesso a uma conta financeira. Os cibercriminosos podem até tentar fazer com que suas vítimas digam palavras específicas ao telefone, gravando-as no processo. Eles podem então usar essas gravações para passar avisos de autenticação de voz e obter acesso fraudulento às contas de suas vítimas mais tarde.

Ataques em apps de namoro e redes sociais

Os hackers sabem que as pessoas estão alertas em relação a ataques de phishing que chegam por meio de rotas tradicionais, como e-mail ou mensagem de texto. Assim, eles buscam também usuários em aplicativos de namoro e até mesmo enviando solicitações falsas de amizade em redes sociais. Depois que uma conexão é feita, eles podem tentar manipular emocionalmente suas vítimas para que enviem dinheiro. Esses ataques atingem pessoas que podem estar se sentindo vulneráveis e buscando intimidade humana, e podem ser muito eficazes. De acordo com a Comissão Federal de Comércio dos EUA, esses golpes “românticos” causaram um recorde de US$ 304 milhões em perdas relatadas em 2020.

Os memes das redes sociais também são um terreno fértil para ataques de engenharia social. Se você já viu um meme que o convida a compartilhar informações de identificação pessoal, como seu aniversário, tome cuidado. Os hackers podem muito bem usar os detalhes compartilhados para roubar identidades, cometer fraudes financeiras, invadir contas online ou até mesmo induzir as pessoas a fornecer ainda mais informações pessoais no futuro. Esse tipo de ataque explora o desejo de se expressar e se conectar com outras pessoas. Apesar de parecer divertida e inofensiva, essa engenharia social pode ter graves consequências.

Como se proteger de ataques de engenharia social

Aqui estão algumas dicas para impedir que você seja vítima desse tipo de manipulação online:

• Suspeite de mensagens não solicitadas. Se você receber uma mensagem que não estava esperando, tenha cuidado, mesmo que a mensagem pareça legítima à primeira vista.
• Nunca use as informações de contato de uma mensagem suspeita. Se você recebeu uma mensagem potencialmente suspeita, entre em contato com o suposto remetente usando as informações que você pesquisou de forma independente para se certificar de que ele realmente enviou a mensagem.
• Não presuma que seus apps favoritos sejam seguros. Os hackers sabem que você tem maior probabilidade de ficar atento a e-mails de phishing, e é por isso que eles estão cada vez mais tentando contato por meio de aplicativos e sites que você confia. Eles sabem que têm uma chance melhor de pegá-lo com a guarda baixa nas redes sociais, por exemplo.
• Não presuma que as comunicações da sua empresa estejam seguras. Se você recebeu um e-mail de um colega de trabalho que parece estranho, ouça seus instintos. Fale com esse colega de trabalho usando outro método de comunicação, como um telefonema, e certifique-se de que ele realmente enviou a mensagem.
• Seja mesquinho ao compartilhar informações pessoais online. Os cibercriminosos não apenas verão seus comentários em memes do Facebook para roubar sua identidade usando informações pessoais ou para invadir uma de suas contas mais tarde, mas também vasculharão suas postagens nas redes sociais em busca de fragmentos de informações que eles possam usar para ganhar sua confiança em um futuro ataque de phishing.
• Use autenticação multifator (MFA), que oferece uma camada adicional de proteção, algo especialmente útil mesmo se você tiver sofrido um ataque de engenharia social. Mesmo que um hacker já tenha sua senha, ele não conseguirá entrar em sua conta, a menos que também seja capaz de fornecer outra forma de autenticação que você escolheu, como uma senha de um aplicativo autenticador. Evite reutilizar senhas e mantenha credenciais fortes em todas as suas contas, assim você torna mais difícil a invasão de cibercriminosos.

Descubra como o LastPass pode prevenir ataques de engenharia social. Fale conosco: [email protected].