Tempo de leitura: 2 minutos
A visão hollywoodiana de crimes virtuais remete ao uso de técnicas sofisticadas e alta tecnologia para a obtenção de dados confidenciais empresariais. Curiosamente, essa performance não faz parte da Engenharia Social convencional que determina o uso de interação humana como peça chave para que criminosos consigam dados sem serem barrados pelos sistemas de segurança convencionais (conhecidos popularmente como Antivírus).
Sob essa perspectiva, pode-se definir a Engenharia Social como o uso de interação humana para obter informações sigilosas. Ao manipular o usuário, seja por falta de políticas de segurança na empresa ou por um breve descuido, o criminoso pode facilmente atingir o seu objetivo sem deixar rastros.
Entre as técnicas de Engenharia Social, estão:
1. Spear Phishing
O phishing comum refere-se ao uso de estratégia de e-mail falso. Para isso, os criminosos utilizam chamadas atraentes, como descontos, itens grátis e por aí vai. Ao clicar em algum link, um malware é instalado no computador do usuário.
Já o spear phishing tenta ser um pouco mais objetivo: a partir de temas comuns ao ambiente empresarial (um parceiro do negócio, o banco utilizado para transações…) o criminoso elabora um e-mail falso para que a vítima interaja sem hesitação.
2. Baiting
É uma técnica que se utiliza da curiosidade humana. Ao deixar algum dispositivo externo infectado em uma mesa ou até mesmo distribuí-lo gratuitamente, o criminoso espera que os curiosos de plantão abram o dispositivo e executem arquivos, podendo infectar máquinas e possivelmente a rede corporativa.
3. Tailgating
Lamentavelmente, a gentileza por vezes pode ser uma forma de descuido. Ao chegar em algum local controlado de forma eletrônica e utilizar suas credenciais, um dos funcionários escuta alguém pedindo para que segure a porta, pois tem alguma reunião e está atrasado. Assim, o criminoso acaba conseguindo acesso ao ambiente físico sem muito esforço.
4. Vishing
O vishing é um dos métodos que mais utiliza interação humana. Nesse delito, o criminoso entra em contato com o usuário por telefone fingindo ser algum ente confiável e relacionado ao ambiente corporativo. Durante a conversa, são solicitados dados informações da vítima ou da empresa.
Outro bom exemplo é o de alguém se passando por algum colega de trabalho que perdeu as credenciais para um determinado acesso. Ao solicitar ajuda, sem que exista um processo de autenticação, o criminoso obtém os dados de login (podendo posteriormente modificá-los para que a empresa não tenha mais acesso ao sistema).
Cultura de Segurança é a melhor prevenção
É perceptível que os golpes geralmente são executados com sucesso por puro descuido ou ausência de processos de autenticação. Para evitar esse tipo de situação, estratégias de gestão de risco devem utilizar também como base de estudo o potencial risco que a Engenharia Social pode oferecer.
Afinal, os golpes não param apenas no roubo de informações. Ao conseguir acesso em qualquer ponto da rede corporativa, é possível que o criminoso desabilite os sistemas de defesa e crie portas para a instalação de processos maliciosos, como o famoso ransomware, responsável por prejuízos milionários pelo mundo.
Leia também: Cibersegurança para empresas – as melhores práticas para proteger seu negócio
Portanto, a cultura dentro de todas as empresas pode e deve evoluir cada dia mais. Uma empresa que tem preferência por boas práticas de segurança, atualizadas regularmente e compartilhadas entre seus colaboradores, só tem a ganhar no mundo dos negócios.
Texto do time de segurança Infomach
