in Artigos

O que é engenharia social e como sua empresa pode se proteger?

2k Visualizações

Ana Carolina Teles*

No mundo frenético da tecnologia atual, a segurança dos dados é mais do que uma forma de precaução, é uma verdadeira questão de sobrevivência corporativa. Com isso em mente, você já ouviu falar em engenharia social?

Essa estratégia, apesar de astuta, também é profundamente perturbadora, tornando-se uma das mais destacadas ameaças à segurança da informação nos dias atuais. E adivinha quem está no centro do alvo? Exatamente, sua empresa e os seus colaboradores.

A engenharia social é a arte de manipular pessoas para que revelem informações confidenciais. Os tipos de informações que esses criminosos procuram podem variar, tais como nomes de usuários, senhas e informações financeiras das empresas.

Compreender o que é a engenharia social é o primeiro passo para proteger a empresa contra esse tipo de ameaça. Isto porque, antes de qualquer tentativa de ataque invasivo, os cibercriminosos exploram as vulnerabilidades psicológicas das pessoas para obter as vantagens pretendidas. 

Eles usam diversas estratégias para manipular as pessoas e induzi-las a revelar informações confidenciais e uma das mais utilizadas é a persuasão

Por meio dessa estratégia, os hackers a utilizam para fazer com que as pessoas acreditem que estão em situações urgentes ou legítimas. Por exemplo, eles podem alegar que precisam de ajuda para resolver algum problema ou que estão ligando de uma empresa ou instituição financeira confiável, a fim de obter acesso às informações confidenciais dos indivíduos.

E se sucumbir a esse tipo de golpe não deve ser algo aceitável por uma empresa bem estruturada.

Mas, neste mundo tecnológico, onde a segurança da informação tornou-se um fator crítico para o sucesso dos negócios, esse tipo de técnica explora a fraqueza mais vulnerável em qualquer sistema de segurança: o elemento humano. E é aí que reside a urgência e a importância deste tópico. 

Então, se você quer proteger a sua empresa contra as ameaças de engenharia social, continue lendo. Este artigo foi feito para você.

Como a engenharia social funciona? 

Os ataques de engenharia social podem assumir várias formas, mas todos eles têm um objetivo comum: induzir um indivíduo a revelar informações confidenciais que podem ser usadas para ganho ilícito.

Aqui estão algumas das técnicas mais comuns: 

  • Phishing: 

Nesta técnica, os criminosos cibernéticos se disfarçam de uma entidade confiável, como um banco ou uma empresa de tecnologia, e enviam emails solicitando que o destinatário forneça informações confidenciais ou clique em um link que instala malware no seu computador.

  • Como o phishing funciona?

    Em um cenário de phishing, o criminoso cibernético – agora disfarçado de uma entidade confiável – envia um email que contém um link. O texto do email é geralmente formulado para criar uma sensação de urgência. O destinatário é incentivado a clicar no link para resolver uma questão urgente, como uma ameaça à segurança de sua conta, por exemplo.

    Ao clicar no link, o destinatário é levado para um site que parece ser o da entidade confiável. No entanto, este site é falso e qualquer informação inserida nele será capturada pelo criminoso cibernético. Em alguns casos, o simples ato de clicar no link pode resultar na instalação de malware no computador do destinatário. 

  • Baiting: 

Aqui, o criminoso deixa um dispositivo infectado com malware, como um pendrive USB, em um local onde é provável que seja encontrado. A vítima, ao usar o dispositivo, inadvertidamente, instala o malware em seu sistema.

  • E o que esse malware pode fazer com o dispositivo? 

O malware pode ser projetado para realizar várias atividades maliciosas, dependendo do objetivo do criminoso que o criou. Em geral, ele pode causar diversos danos ao sistema, como roubo de dados pessoais, senhas, informações bancárias e credenciais de login, além de permitir o controle remoto do dispositivo pelo invasor. 

  • Pretexting: 

Este é um método sofisticado em que o invasor cria uma história falsa para obter informações pessoais da vítima. Por exemplo, o criminoso pode se passar por um representante de banco e solicitar detalhes da conta para “verificar a identidade” da vítima.

  • Mas como isso acontece na prática no meio corporativo?

Imagine que um funcionário recebe um e-mail de um remetente desconhecido que se faz passar por um representante de uma empresa respeitável, como um fornecedor ou parceiro de negócios. O e-mail solicita que o funcionário forneça informações confidenciais da empresa, como senhas de computador ou informações financeiras, alegando que é necessário para fins comerciais ou de auditoria.

O funcionário, acreditando que o e-mail é legítimo, fornece as informações solicitadas. O invasor, então, usa essas informações para acessar os sistemas da empresa e roubar informações confidenciais, como dados financeiros, segredos comerciais ou informações de clientes.

Esses ataques são especialmente perigosos porque são difíceis de detectar.

As mensagens de phishing, por exemplo, se esforçam para parecer legítimas e convencem até mesmo usuários experientes. O malware de baiting se disfarça como dispositivos inocentes que atraem pouca suspeita. E os pretextos inventados do pretexting são convincentes o suficiente para enganar as vítimas.

Esses ataques cada vez mais sofisticados levantam questões importantes sobre a conscientização da organização para que ela esteja preparada para gerenciar e evitar a concretização desses golpes. 

E como proteger a empresa?  

A melhor maneira de proteger sua empresa contra ataques de engenharia social é através da educação e conscientização dos funcionários. 

Aqui estão algumas medidas que sua empresa pode adotar:

  1. Educar os funcionários:

Realize treinamentos periódicos de segurança da informação para ensinar aos funcionários sobre as ameaças de engenharia social e como identificá-las. Ensine-os a identificar e-mails suspeitos, links e anexos, além de solicitações incomuns de informações pessoais ou corporativas. A conscientização constante sobre essas ameaças pode fazer uma grande diferença na segurança das informações da organização.

  1. Implementar políticas de segurança robustas:

Desenvolva políticas e procedimentos de segurança claros, e garanta que todos na empresa os conheçam e os sigam. Isso pode incluir políticas sobre como manusear informações confidenciais, como responder a solicitações de compartilhamento de informações e como relatar suspeitas de atividades de engenharia social. Garanta que essas políticas sejam revisadas e atualizadas regularmente para acompanhar as mudanças nas táticas de engenharia social.

  1. Use tecnologia de segurança atualizada:

Certifique-se de que sua empresa está usando a tecnologia de segurança mais recente e eficaz. Isso deve incluir firewalls para proteger sua rede, software antivírus para proteger contra malware e filtros de spam para ajudar a bloquear e-mails e conteúdos suspeitos. Também é recomendável que atualizações e patches sejam aplicados regularmente para garantir a máxima eficácia dessas ferramentas.

  1. Adote a autenticação de dois (ou mais) fatores:

A autenticação de dois fatores adiciona uma camada extra de segurança, tornando mais difícil para um criminoso cibernético acessar contas, mesmo que eles tenham obtido uma senha. Este método exige que o usuário forneça dois (ou mais) tipos de identificação – algo que eles conhecem, como uma senha, e algo que eles têm, como um código enviado a um dispositivo móvel. Isso pode ajudar a proteger contra uma variedade de ataques, incluindo phishing e outras formas de engenharia social.

Um ponto é muito claro: proteger sua empresa contra a engenharia social requer uma abordagem multifacetada. 

A conscientização e a educação dos funcionários são extremamente importantes para proteger a empresa contra a engenharia social. Os funcionários precisam ser treinados a desconfiar de solicitações incomuns e verificar a fonte das comunicações antes de fornecer qualquer informação confidencial. Eles também precisam aprender sobre as táticas comuns de engenharia social para que possam reconhecê-las.

Além da educação, políticas e tecnologias de segurança robustas ajudarão a complementar os esforços humanos. Isso envolve implementar soluções de prevenção de phishing, softwares antivírus atualizados, detecção e prevenção de invasão, autenticação multifator, corta-fios e segmentação de rede. Todas essas camadas ajudam a proteger dados e ativos digitais, mesmo quando os funcionários ocasionalmente cometem erros.

Portanto, um programa holístico de segurança contra engenharia social não deve se concentrar apenas em um viés, mas em educação, políticas e tecnologias abrangentes que complementam uns aos outros.

Os humanos cometem erros, mas os sistemas podem ajudá-los a se recuperar. Lembre-se, essa prática explora a natureza confiante dos seres humanos, então, ensine os funcionários a sempre desconfiar antes de confiar.

Leia também: 

Desvendando a relação entre Inteligência Artificial e Direitos Autorais

Privacidade, proteção de dados pessoais e a prática de background check

ANPD e a retroatividade das multas na aplicação da LGPD

O que esperar da ANPD em 2023? 

Ana Carolina Teles: é advogada especialista em Proteção de Dados, Direito Digital e Tecnologia, responsável por prestar consultoria jurídica voltada para negócios e empresas de tecnologia. É Data Protection Officer (“DPO”) certificada pela EXIN (ISFS; PDPF e PDPP) e DPO As a Service de empresas de tecnologia.

Reportar

Política Nacional de Cibersegurança

A urgência de uma Política Nacional de Cibersegurança
contrato eletrônico

A força executiva de um contrato eletrônico – Saiba como não depender mais de testemunhas!