Muitos dos ciberataques mais bem-sucedidos não envolvem atacar dispositivos ou sistemas, e sim pessoas. (Foto: Reprodução)
Quando pensamos em um ataque cibernético, logo vem à mente aquela imagem clássica de uma pessoa encapuzada em um quarto escuro, quebrando códigos e explorando falhas de software para invadir um servidor. Mas a realidade do cibercrime pode ser bem mais sutil.
Muitos dos ciberataques mais bem-sucedidos não envolvem atacar dispositivos ou sistemas, e sim pessoas, já que os seres humanos são frequentemente o elo mais fraco da corrente de segurança digital. Isso é o que chamamos de engenharia social, ou seja, manipular a psicologia humana para obter acesso a dados, sistemas ou à infraestrutura da empresa.
Ao contrário da invasão tradicional, que se aproveita das fragilidades de um software, a engenharia social se aproveita de gatilhos psicológicos como medo, curiosidade, confiança, ambição e disposição em ajudar para convencer as pessoas a compartilhar dados sensíveis, clicar em links ou baixar arquivos.
Veja abaixo as 4 fases de um ataque de engenharia social.
– Estabelecer um vínculo: se disfarçando de alguém confiável, como uma empresa fornecedora, um colega ou um diretor, o hacker tenta criar credibilidade e fazer a vítima se sentir confortável;
– Manipular: depois de conquistar algum nível de confiança, o criminoso utiliza um pretexto (urgência, medo) para solicitar a ação, como clicar em um link, baixar um arquivo ou confirmar um dado sigiloso;
– Explorar e escalar: assim que a vítima obedece ao comando, o hacker instala o malware, realiza o desvio financeiro e ou desaparece sem deixar rastros imediatos ou continua acessando os sistemas até que a invasão seja contida.
Veja abaixo os principais tipos de ataques de engenharia social.
Pishing e suas variações
O phishing tradicional usa e-mails genéricos de grandes corporações, mas o perigo aumenta com as variações desse ataque, como o spear phishing, que é personalizado com o nome e o cargo do colaborador para parecer legítimo, ou o whaling, focado em executivos do alto escalão, como C-Level e gerentes.
Há ainda o clone phishing, que copia um e-mail real enviado anteriormente, trocando apenas o link por um malicioso, o homoglyph phishing, em que os hackers criam URLs visualmente idênticas às reais, apenas trocando um “o” por um “0”, por exemplo, o smishing, feito via SMS, e o vishing, em que softwares de alteração de voz são usados para simular atendentes de suporte técnico ou gerentes bancários.
Ataques de identidade e autoridade
No BEC (Comprometimento de E-mail Comercial), o hacker se passa por um executivo exigindo uma transferência urgente. O funcionário, querendo agradar o chefe, obedece sem questionar.
Nos ataques de simulação de identidade, ao se deparar com perguntas padronizadas, a vítima revela dados sensíveis para “verificar a identidade”.
Ataques de isca e troca
A isca (baiting) usa a curiosidade: o hacker deixa um pen drive infectado com o selo “Confidencial” em um local comum para que alguém o conecte ao computador.
No ataque water holing, o criminoso identifica sites que grupos específicos costumam visitar com frequência. Ele então infecta esses sites com malware para que, ao acessá-los, os colaboradores baixem o vírus em um ambiente onde se sentem seguros.
No Quid Pro Quo (isso por aquilo), o criminoso oferece algo em troca da informação, como um brinde ou suporte técnico gratuito para um problema que ele mesmo inventou.
Já o pharming manipula o tráfego da internet, redirecionando a vítima de um site legítimo para uma página falsa de login sem que ela perceba.
Ataques físicos e presenciais
A engenharia social também acontece “ao vivo” através de técnicas como tailgating (pegando carona), como quando um estranho segue um funcionário em uma área restrita aproveitando a cortesia de “segurar a porta”.
Criminosos também usam disfarces fingindo ser bombeiros, funcionários da limpeza ou técnicos de manutenção para roubar dispositivos ou segredos comerciais diretamente das instalações físicas da empresa.
Diferente de um vírus de computador, que pode ser removido com uma varredura, a engenharia social exige um “filtro mental” constante.
– Nunca use o link enviado em um e-mail urgente para acessar uma conta bancária ou algum sistema interno. Digite o endereço do site diretamente no navegador;
– Ative a autenticação multifator e torne-a obrigatória em todos os sistemas para evitar que o hacker consiga avançar etapas na invasão mesmo que ele tenha conseguido descobrir uma senha;
– Utilize senhas complexas, exclusivas e nunca repetidas. O uso de um gerenciador de senhas é essencial para organizar as credenciais sem anotá-las em locais vulneráveis;
– Implemente a segmentação de acesso do tipo privilégio mínimo, limitando o que cada funcionário pode acessar. Se alguém da recepção for enganado, o invasor não deve ter acesso às áreas financeira e comercial, por exemplo;
– Ative o monitoramento de dispositivos para detectar comportamentos incomuns e mantenha todos os softwares e patches de segurança sempre atualizados;
– Utilize soluções de DLP (Prevenção de Perda de Dados) para monitorar e evitar o compartilhamento não autorizado de dados confidenciais por funcionários enganados;
– Aplique filtros Anti-Phishing e Anti-Spam para bloquear mensagens maliciosas antes que elas cheguem à caixa de entrada;
– Estabeleça processos extras de verificação (como confirmar uma transferência bancária por telefone) e exija prova de identidade antes de compartilhar dados sensíveis;
– Realize treinamentos periódicos com simulação. A equipe precisa aprender a identificar golpes comuns para ter mais chances de se proteger;
– Defina uma política de resposta sem culpa, incentivando a denúncia imediata sem o risco de a vítima ser punida.
No caso do iPhone, é possível localizar o aparelho mesmo se ele estiver desligado. Foto: Reprodução No caso do iPhone, é possível localizar o aparelho mesmo se ele estiver desligado. (Foto: Reprodução) Só quem teve o celular roubado ou perdido sabe como é assustador imaginar um desconhecido tendo acesso aos seus dados e contas bancárias. …
Um feed zerado não é, necessariamente, sinal de inatividade nas redes. (Foto: Tânia Rêgo/Agência Brasil) Dia após dia, a estudante Milena Rosa Félix, de 18 anos, foi apagando as fotos do histórico de seu Instagram até que ele ficasse completamente vazio. Ela é adepta do “feed zero” ou “grid zero” — uma tendência entre as …
Android 16 deve ser anunciado na semana que vem. (Foto: Reprodução) O Google deve anunciar oficialmente o Android 16 na próxima semana, em um evento marcado para 13 de maio, voltado exclusivamente ao sistema operacional. A apresentação acontece poucos dias antes da conferência anual de desenvolvedores da empresa, o Google I/O, prevista para o dia …
Apesar de a Meta AI elaborar respostas complexas para diversas questões, não é aconselhável confiar cegamente em suas respostas. (Foto: Divulgação) Com a chegada gradual da ferramenta Meta AI ao WhatsApp dos brasileiros, uma pergunta vem à tona: a empresa usará dados pessoais dos usuários para treinar seus robôs? A ferramenta usa a inteligência artificial …
O que é engenharia social? Veja exemplos de técnicas usadas pelos hackers
Muitos dos ciberataques mais bem-sucedidos não envolvem atacar dispositivos ou sistemas, e sim pessoas. (Foto: Reprodução)
Quando pensamos em um ataque cibernético, logo vem à mente aquela imagem clássica de uma pessoa encapuzada em um quarto escuro, quebrando códigos e explorando falhas de software para invadir um servidor. Mas a realidade do cibercrime pode ser bem mais sutil.
Muitos dos ciberataques mais bem-sucedidos não envolvem atacar dispositivos ou sistemas, e sim pessoas, já que os seres humanos são frequentemente o elo mais fraco da corrente de segurança digital. Isso é o que chamamos de engenharia social, ou seja, manipular a psicologia humana para obter acesso a dados, sistemas ou à infraestrutura da empresa.
Ao contrário da invasão tradicional, que se aproveita das fragilidades de um software, a engenharia social se aproveita de gatilhos psicológicos como medo, curiosidade, confiança, ambição e disposição em ajudar para convencer as pessoas a compartilhar dados sensíveis, clicar em links ou baixar arquivos.
Veja abaixo as 4 fases de um ataque de engenharia social.
– Estabelecer um vínculo: se disfarçando de alguém confiável, como uma empresa fornecedora, um colega ou um diretor, o hacker tenta criar credibilidade e fazer a vítima se sentir confortável;
– Manipular: depois de conquistar algum nível de confiança, o criminoso utiliza um pretexto (urgência, medo) para solicitar a ação, como clicar em um link, baixar um arquivo ou confirmar um dado sigiloso;
– Explorar e escalar: assim que a vítima obedece ao comando, o hacker instala o malware, realiza o desvio financeiro e ou desaparece sem deixar rastros imediatos ou continua acessando os sistemas até que a invasão seja contida.
Veja abaixo os principais tipos de ataques de engenharia social.
Pishing e suas variações
O phishing tradicional usa e-mails genéricos de grandes corporações, mas o perigo aumenta com as variações desse ataque, como o spear phishing, que é personalizado com o nome e o cargo do colaborador para parecer legítimo, ou o whaling, focado em executivos do alto escalão, como C-Level e gerentes.
Há ainda o clone phishing, que copia um e-mail real enviado anteriormente, trocando apenas o link por um malicioso, o homoglyph phishing, em que os hackers criam URLs visualmente idênticas às reais, apenas trocando um “o” por um “0”, por exemplo, o smishing, feito via SMS, e o vishing, em que softwares de alteração de voz são usados para simular atendentes de suporte técnico ou gerentes bancários.
Ataques de identidade e autoridade
No BEC (Comprometimento de E-mail Comercial), o hacker se passa por um executivo exigindo uma transferência urgente. O funcionário, querendo agradar o chefe, obedece sem questionar.
Nos ataques de simulação de identidade, ao se deparar com perguntas padronizadas, a vítima revela dados sensíveis para “verificar a identidade”.
Ataques de isca e troca
A isca (baiting) usa a curiosidade: o hacker deixa um pen drive infectado com o selo “Confidencial” em um local comum para que alguém o conecte ao computador.
No ataque water holing, o criminoso identifica sites que grupos específicos costumam visitar com frequência. Ele então infecta esses sites com malware para que, ao acessá-los, os colaboradores baixem o vírus em um ambiente onde se sentem seguros.
No Quid Pro Quo (isso por aquilo), o criminoso oferece algo em troca da informação, como um brinde ou suporte técnico gratuito para um problema que ele mesmo inventou.
Já o pharming manipula o tráfego da internet, redirecionando a vítima de um site legítimo para uma página falsa de login sem que ela perceba.
Ataques físicos e presenciais
A engenharia social também acontece “ao vivo” através de técnicas como tailgating (pegando carona), como quando um estranho segue um funcionário em uma área restrita aproveitando a cortesia de “segurar a porta”.
Criminosos também usam disfarces fingindo ser bombeiros, funcionários da limpeza ou técnicos de manutenção para roubar dispositivos ou segredos comerciais diretamente das instalações físicas da empresa.
Diferente de um vírus de computador, que pode ser removido com uma varredura, a engenharia social exige um “filtro mental” constante.
– Nunca use o link enviado em um e-mail urgente para acessar uma conta bancária ou algum sistema interno. Digite o endereço do site diretamente no navegador;
– Ative a autenticação multifator e torne-a obrigatória em todos os sistemas para evitar que o hacker consiga avançar etapas na invasão mesmo que ele tenha conseguido descobrir uma senha;
– Utilize senhas complexas, exclusivas e nunca repetidas. O uso de um gerenciador de senhas é essencial para organizar as credenciais sem anotá-las em locais vulneráveis;
– Implemente a segmentação de acesso do tipo privilégio mínimo, limitando o que cada funcionário pode acessar. Se alguém da recepção for enganado, o invasor não deve ter acesso às áreas financeira e comercial, por exemplo;
– Ative o monitoramento de dispositivos para detectar comportamentos incomuns e mantenha todos os softwares e patches de segurança sempre atualizados;
– Utilize soluções de DLP (Prevenção de Perda de Dados) para monitorar e evitar o compartilhamento não autorizado de dados confidenciais por funcionários enganados;
– Aplique filtros Anti-Phishing e Anti-Spam para bloquear mensagens maliciosas antes que elas cheguem à caixa de entrada;
– Estabeleça processos extras de verificação (como confirmar uma transferência bancária por telefone) e exija prova de identidade antes de compartilhar dados sensíveis;
– Realize treinamentos periódicos com simulação. A equipe precisa aprender a identificar golpes comuns para ter mais chances de se proteger;
– Defina uma política de resposta sem culpa, incentivando a denúncia imediata sem o risco de a vítima ser punida.
Related Posts
iPhone, Samsung, Xiaomi: saiba como rastrear seu celular
No caso do iPhone, é possível localizar o aparelho mesmo se ele estiver desligado. Foto: Reprodução No caso do iPhone, é possível localizar o aparelho mesmo se ele estiver desligado. (Foto: Reprodução) Só quem teve o celular roubado ou perdido sabe como é assustador imaginar um desconhecido tendo acesso aos seus dados e contas bancárias. …
Entenda por que jovens estão apagando seus rastros nas redes sociais e aderindo a postagens temporárias
Um feed zerado não é, necessariamente, sinal de inatividade nas redes. (Foto: Tânia Rêgo/Agência Brasil) Dia após dia, a estudante Milena Rosa Félix, de 18 anos, foi apagando as fotos do histórico de seu Instagram até que ele ficasse completamente vazio. Ela é adepta do “feed zero” ou “grid zero” — uma tendência entre as …
Android 16 deve ser anunciado na próxima semana; saiba o que esperar
Android 16 deve ser anunciado na semana que vem. (Foto: Reprodução) O Google deve anunciar oficialmente o Android 16 na próxima semana, em um evento marcado para 13 de maio, voltado exclusivamente ao sistema operacional. A apresentação acontece poucos dias antes da conferência anual de desenvolvedores da empresa, o Google I/O, prevista para o dia …
Ferramenta de inteligência artificial generativa está sendo disponibilizada pouco a pouco para os brasileiros desde o início do mês
Apesar de a Meta AI elaborar respostas complexas para diversas questões, não é aconselhável confiar cegamente em suas respostas. (Foto: Divulgação) Com a chegada gradual da ferramenta Meta AI ao WhatsApp dos brasileiros, uma pergunta vem à tona: a empresa usará dados pessoais dos usuários para treinar seus robôs? A ferramenta usa a inteligência artificial …