Engenharia social x segurança da informação: entenda a relação

Você investiu em um antivírus e costuma recomendar que todos os seus colaboradores tomem cuidado em relação a possíveis ataques cibernéticos. Agora você se pergunta se o seu negócio está protegido desse tipo de risco. A resposta, infelizmente, é não.  

Os tipos de ataques estão cada vez mais numerosos e sofisticados e entre eles está a engenharia social, assunto deste artigo.  

Se os cibercriminosos encontram dificuldades em obter os seus dados de uma forma comum, eles buscam maneiras mais criativas e elaboradas para consegui-los. 

É por isso que os seus recursos e práticas relacionados à segurança da informação precisam ser constantemente atualizados.  

Se você utiliza os recursos mais recomendados hoje, saiba que vai precisar atualizá-los amanhã.  

E, além deles, também são importantíssimas as boas práticas e estratégias ligadas à segurança da informação. 

Os dados são um importante ativo de uma organização e protegê-los tem sido um grande desafio para os gestores.  

Manter-se informado é o primeiro passo para atingir esse objetivo e, para te ajudar nessa tarefa, elaboramos este artigo sobre engenharia social. 

Esse conceito está relacionado a um conjunto de práticas de farsas e persuasão para obter informações sigilosas e não autorizadas, como veremos. 

Nos próximos tópicos, você vai saber o que é engenharia social, quais são os tipos de ataque, como eles acontecem na prática, qual é a importância da prevenção contra eles e qual é a relação entre engenharia social e segurança da informação. 

Se interessou pelo assunto? Então continue a leitura! 

 

O que é engenharia social? 

A engenharia social é hoje uma das principais ameaças à segurança da informação tanto para as pessoas físicas quanto para as empresas.  

Podemos defini-la como um conjunto de práticas persuasivas utilizadas para obter acesso a dados, sistemas e locais por meio da exploração da psicologia humana. 

Isso significa que os criminosos que adotam essa prática se utilizam das tendências comportamentais das pessoas para conseguirem realizar uma fraude.  

Assim, mesmo que sua empresa tenha adquirido os melhores recursos relacionados à segurança da informação, um engenheiro social poderá convencer um colaborador, por exemplo, a clicar em um link malicioso.  

Ao ler este artigo, pode parecer simples evitar um ataque como esse, mas a fragilidade emocional é própria de qualquer ser humano e é nela que o criminoso vai se basear ao aplicar técnicas bem elaboradas de persuasão. 

Por essa razão, além dos recursos tecnológicos, é muito importante investir em treinamentos e na aplicação cotidiana de boas práticas relacionadas à segurança.  

Todo mundo tem um assunto que o comove, uma pessoa com quem se importa ou um tipo de história que sempre vai parar para ouvir.  

A engenharia social se baseia nesse tipo de informação coletada sobre você ao longo do processo. Quanto mais o criminoso sabe, mais forte é o potencial do ataque. 

O golpe pode ser dividido inclusive em duas etapas. Na primeira, ele busca informações sobre quais são os assuntos que te interessam ou comovem e quais são as suas preferências.  

Na segunda fase, ele volta munido dessas informações e de algumas técnicas de persuasão, pronto para colocar a fraude em prática. 

É claro que podem ter muitas outras fases, porque os criminosos praticantes da engenharia social são bastante persistentes. 

Na verdade, a engenharia social funciona baseada em um sistema de tentativas, como veremos no próximo tópico, e sua grande protagonista é a persuasão.  

 

Como esses ataques acontecem na prática? 

Como vimos, a persuasão é a base do conceito de engenharia social. É preciso ter isso em mente para a compreensão de seu funcionamento, que utiliza um sistema de tentativas e erros.  

Outros tipos de fraudes também funcionam dessa forma, mas no caso da engenharia social, o criminoso retorna cada vez mais forte.  

O ciclo do ataque segue as seguintes etapas: coleta de informações, planejamento, obtenção de ferramentas necessárias ao ataque, ataque e utilização das informações obtidas. 

Caso o processo não obtenha os resultados esperados, ele se reinicia abastecido pelas informações obtidas anteriormente.  

E as novas tentativas vão se tornando cada vez mais convincentes por conta do uso elaborado dessas informações. 

Nesse sentido, os cibercriminosos vão testando suas vítimas emocionalmente, até encontrarem o gatilho emocional que as torna vulneráveis. 

curiosidade é um gatilho quase sempre presente no início de um processo de engenharia social. 

Podem ser explorados assuntos atuais ou alimentada a esperança de uma grande vantagem que a vítima acha que pode obter se seguir determinadas instruções. ]

 

Quais são os tipos de práticas usadas na engenharia social? 

Os tipos de fraude nunca se esgotam. Sejam práticas antigas reformuladas ou sejam novas fraudes, sempre vai haver uma novidade na área da engenharia social.  

É muito provável que, enquanto você lê este artigo, os cibercriminosos já estão planejando uma nova forma de persuadir suas vítimas.  

Então, tenha em mente que vamos citar as principais formas como a engenharia social tem sido aplicada, mas obviamente sua utilização não se restringe a elas. 

Em primeiro lugar, a forma mais utilizada para esse tipo de fraude é a tentativa de phishing 

 

Phishing

Nesse caso, a vítima pode ser contatada por e-mail, aplicativo de mensagens, mensagem de texto, comentários nas redes sociais ou qualquer outra forma de comunicação eletrônica.  

A impressão será de que o contato está sendo feito por uma pessoa ou empresa idônea e confiável.  

A mensagem pode solicitar ajuda para uma instituição com a qual a vítima simpatiza, afirmar que ela venceu algum concurso ou informar que seu nome está no SPC ou Serasa.  

Para resolver o suposto problema, ter acesso ao prêmio ou ajudar alguém, a vítima é orientada a clicar em um link ou baixar um conteúdo suspeito. 

Seguidas as instruções informadas nas mensagens, os dados serão roubados pelo cibercriminoso.  

 

Pharming

Uma outra possibilidade utilizada na engenharia social é a técnica chamada de pharming, que consiste em um envenenamento do servidor DNS e no redirecionamento do tráfego para um site falsificado.  

Essa técnica é muito utilizada quando o cibercriminoso deseja se passar por representante de uma instituição financeira, por exemplo. 

Também é comum o uso de pharming para capturar usuários e senhas de sistemas corporativos.  

 

Telefonemas falsos

Por fim, não poderíamos deixar de lembrar das abordagens informais, como os telefonemas em que o criminoso se passa por um profissional de confiança e pergunta dados aparentemente irrelevantes para a segurança da empresa, mas que podem munir os planejadores do ataque.

 

Qual é a relação entre a engenharia social e a segurança da informação? 

A segurança da informação engloba recursos e práticas que atuam no sentido de proteger os mais variados tipos de dados com os quais uma empresa lida 

Como o fator humano é considerado o elo mais fraco de um sistema de segurança, o foco dos criminosos está sempre nele. 

Além disso, por mais elaborado que seja um sistema adquirido para assegurar a segurança da informação em uma empresa, são as pessoas que os operam. 

Assim, se o criminoso convencer um colaborador a tomar uma atitude incompatível com a garantia da segurança dos dados, ele terá atingido seu objetivo. 

Para evitar essa situação, são necessários dois passos: não subestimar a engenharia social e investir na parte humana da segurança da informação.  

Não pense que a engenharia social é um tipo de golpe batido e que sua empresa está isenta de passar por esse tipo de problema. 

Esses ataques são reais, numerosos e atraem muitas vítimas. Uma delas pode ser você ou um dos seus colaboradores. E isso vai acontecer quando você estiver se sentindo totalmente seguro.   

Além disso, você precisa ver a segurança da informação como uma meta e uma obrigação da sua empresa que não se resume à aquisição de boas tecnologias 

A parte humana da segurança da informação é a mais importante porque são as pessoas que operam os sistemas. 

Portanto, invista em treinamentos, mantenha seus colaboradores engajados e busque sempre informações atuais sobre as melhores técnicas relacionadas à segurança da informação. 

Agora que você já entende como funciona a engenharia social, é hora de aprender um pouco mais sobre segurança da informação. A anonimização de dados é um processo que pode ajudar muito um negócio a manter seus dados seguros. 

 

Receba novidades:







    Deixe um comentário

    O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *