Quando se fala em segurança cibernética, normalmente, associa-se as ameaças à vulnerabilidade dos sistemas através de tentativas de cibercriminosos em invadir as redes e roubar senhas e dados dos usuários. Contudo, não são apenas as imperfeições e brechas deixadas pelo meio virtual que podem trazer problemas para empresas e clientes. Afinal, erros humanos acontecem, comprometendo, igualmente, a segurança online. E é exatamente aí onde mora um perigo: a engenharia social.
Nos golpes virtuais, a engenharia social normalmente atinge pessoas desatentas ou sem experiência suficiente com a internet. Desse modo, pela falta de atenção e conhecimento, as vítimas podem não somente ter seus computadores infectados por vírus como também podem ter informações pessoais ou corporativas roubadas. Esses dados são utilizados para aplicar golpes, sobretudo financeiros, acarretando muitos prejuízos.
Para se ter uma ideia da dimensão do problema, a pesquisa mais recente da Federação Brasileira dos Bancos (Febraban) sobre segurança digital revela que o número de fraudes financeiras envolvendo métodos de engenharia social avançou 165% no Brasil entre o primeiro semestre e o segundo semestre de 2021. Daí a importância de saber como a engenharia social funciona e, por sua vez, como escapar de possíveis armadilhas.
O que significa engenharia social
Embora muita gente não se dê conta, na era da tecnologia da informação e da comunicação, os dados são ativos valiosos não só para as empresas, mas para a sociedade como um todo. Diante desse fato, os criminosos virtuais estão sempre à espreita, à procura de meios para acessá-los e aplicarem golpes e fraudes.
Uma dessas formas acontece através da engenharia social, que reúne técnicas visando manipular as pessoas para que revelem dados pessoais, corporativos ou facilitem o comprometimento de sistemas de informação.
Geralmente, os golpistas se valem de métodos psicológicos de persuasão e convencimento usando a tecnologia – embora a engenharia social também se aplique por meio de ligações telefônicas ou mesmo presencialmente -, para enganar e influenciar as pessoas a fim de obter o que desejam.
Ademais, à medida que as inovações tecnológicas surgem, paralelamente, novas brechas de segurança acabam sendo criadas pelos cibercriminosos, que estão sempre a tirar proveito de eventuais falhas humanas.
A forma de atuação dos criminosos vai desde uma abordagem nas redes sociais, visando ganhar a confiança dos usuários e obter informações, até o uso de malwares, ou seja, softwares maliciosos. Por meio desses programas é possível entrar ilicitamente em um sistema de computador, com o intuito de provocar danos, alterações ou roubar informações.
Como funciona na prática
Um exemplo é quando uma pessoa recebe um e-mail dizendo que o destinatário ganhou uma certa quantia e que para recebê-la, basta informar o CPF ou algum outro dado pessoal para o remetente. Ou então aparece uma mensagem de uma fonte aparentemente confiável, mas que, na verdade, leva quem a recebeu a um site falso exposto a um malware.
Situações como essas acontecem todos os dias e são abordagens comuns de engenharia social. Para além disso, os golpes se sofisticam a cada dia e vários são os métodos para aplicá-los. Por isso, buscar informação e ficar atento às táticas utilizadas pelos cibercriminosos é a maneira mais eficaz de se prevenir e impedir a ação de pessoas mal intencionadas.
Além disso, é preciso saber que além do e-mail, redes sociais, aplicativos de comunicação instantânea – a exemplo do WhatsApp -, SMS (mensagens de textos de celular) e ainda ligações telefônicas também são meios utilizados para aplicar os métodos que hoje conhecemos na engenharia social. As técnicas mais utilizadas são as seguintes.
Principais métodos de engenharia social
O golpista costuma deixar um dispositivo, como um pen drive contendo malware, à vista das pessoas. Uma possível vítima o encontra e, curiosa para ver o que está dentro, insere em seu computador, resultando na invasão do sistema.
Phishing
Aqui, os cibercriminosos usam formas variadas para convencer a vítima a passar seus dados. A saber, a intimidação é a mais comum, colocando a pessoa em uma situação de urgência, geralmente envolvendo uma conta bancária ou qualquer outra conta online. Também pode acontecer de enviarem um e-mail onde eles tentam se passar por uma empresa, porém com links que podem infectar o dispositivo com vírus.
Violação de e-mail e envio de spam aos contatos
Uma vez obtido o endereço de e-mail e a senha da vítima, o criminoso acessa a conta e logo começa a enviar spam aos contatos na tentativa de espalhar malwares ou convencer as pessoas a informarem dados pessoais.
Farming
Nesse caso, o criminoso constrói uma relação com a vítima, enquanto, na verdade, deseja apenas roubar seus dados.
Smishing
É uma forma de phishing por meio de mensagens de texto ou SMS. Esses ataques pedem uma ação imediata da vítima, incluindo links maliciosos para clicar ou um número de telefone para contatar.
Pretextos
Trata-se de histórias criadas pelos cibercriminosos a fim de “fisgar” a vítima, apelando para o emocional.
Quid Pro Quo
Aqui, a vítima é seduzida com prêmios ou vantagens. Mas, em troca, ela precisa preencher um formulário com informações pessoais. No entanto, o cibercriminoso quer somente roubar sua identidade.
Vishing
O cibercriminoso telefona para o funcionário de determinada empresa passando-se por alguém do seu banco ou de uma empresa parceira. Durante o diálogo tenta obter informações pessoais. Na sequência, liga novamente, fingindo ser um colega de trabalho que perdeu a senha, pedindo a senha da vítima.
Confira também:
Fraude, cibersegurança e o boom digital na pandemia
Cibersegurança: Bancos apostam na educação digital para evitar fraudes
Autenticação de dois fatores: o que é e como deixar as transações online mais seguras
O que é assessment e qual sua contribuição para a segurança da informação
Gerenciamento de identidade: o que é e qual sua importância para a cibersegurança
