Proteja sua empresa: Entenda a Engenharia Social e suas ameaças

E ai… Qual teu papo?

Você pode já ter ouvido o termo “engenharia social”. A engenharia social refere-se a uma forma de tática de ataque em que uma parte externa usa para enganar ou manipular um funcionário para revelar informações confidenciais, como detalhes de login ou informações da conta. Isso cria problemas de segurança para seus empregadores, especialmente nos casos em que as senhas e outros dados confidenciais de segurança são divulgados.

Os ataques de engenharia social são um problema enorme para a privacidade dos funcionários e para o negócio como um todo. É importante lembrar que o elo mais fraco na segurança de sua organização geralmente são as pessoas que trabalham lá, tanto os novos contratados, quanto os veteranos da empresa. Embora as empresas possam proteger as informações de seus clientes, investindo recursos significativos em segurança de TI e tecnologias relacionadas, seus funcionários nem sempre tomam precauções semelhantes com suas próprias estações de trabalho e detalhes de login. Os empregadores coletam uma grande quantidade de dados pessoais de seus funcionários e, com tantos dados disponíveis para a reunião, muitas abordagens diferentes podem levar ao mesmo resultado final.

Violações de privacidade de funcionários podem causar danos significativos a uma empresa (e à própria segurança pessoal do funcionário) de maneiras que sejam financeiras e de reputação, levando a uma perda de clientes e negócios futuros. E se os dados pessoais de um funcionário caírem em mãos maliciosas devido a treinamento inadequado ou infra-estrutura técnica defeituosa da empresa, o funcionário provavelmente ficará descontente e repassará essas informações para amigos e colegas, causando mais danos à reputação da empresa.

É por isso que é sempre uma boa ideia familiarizar-se com algumas das táticas mais comuns de engenharia social: ao saber de que forma os ataques ocorrem, você pode proteger melhor a privacidade de seus funcionários e, por extensão, de seus clientes.

Privacidade do funcionário e segurança de senso comum

Nesse contexto, a privacidade dos funcionários está relacionada às informações sobre as pessoas que trabalham na empresa. Isso pode incluir uma grande quantidade de informações variadas: documentos fiscais, registros médicos, informações sobre depósitos diretos, serviços bancários pela Internet e assim por diante. A coleta de informações sobre os funcionários começa antes mesmo de garantir uma posição na empresa: desde a solicitação de emprego, a verificação de segurança e as fases de integração, até as correspondências por e-mail e entrevista.

Com todas essas informações confidenciais de funcionários armazenadas, é importante garantir que todas as pessoas que têm acesso a esses dados a considerem como privada e confidencial. Os funcionários devem entender os procedimentos internos que precisam ser seguidos ao lidar com esses dados, pois é muito fácil para um invasor se passar por um gerente ou membro da equipe de recursos humanos para tentar obter informações sobre um indivíduo.

Alguns ataques de engenharia social representam apenas a ponta do iceberg e geralmente são um prelúdio para um ataque de sistema mais extenso ou invasão de conta. Os funcionários devem sempre ter extremo cuidado ao lidar com partes externas que solicitam informações pessoais pelo telefone, especialmente se não puderem confirmar sua identidade.

O mesmo acontece com e-mails de fontes suspeitas ou e-mails aparentemente legítimos que não parecem confiáveis. Uma forma comum de detectar esses emails é examinar a ortografia e a gramática: quanto pior, menor a probabilidade de vir de uma fonte legítima. Se logotipos ou símbolos da empresa parecerem estranhos ou fora do lugar, tome cuidado e não abra anexos que possam estar contidos no e-mail. Nunca clique em hiperlinks embutidos em tais emails.

E lembre-se: se e-mails solicitando dados pessoais forem provenientes de membros de departamentos que você nunca conheceu ou se alguém solicitar que esses dados sejam enviados de maneira rápida ou discreta, é especialmente importante confirmar a identidade do remetente. Se você leva cinco minutos para percorrer um corredor ou se tem a opções de pegar o telefone para entrar em contato com o suposto remetente do e-mail, é muito importante que o faça, afinal esta pequena atitude poderá poupar muitos problemas e esforços mais tarde.

As 5 ameaças mais comuns à privacidade do funcionário

Existem muitas ameaças de engenharia social que afetam empresas modernas. Enquanto vamos mencionar os mais populares que foram realizados por criminosos cibernéticos nos últimos anos, é importante lembrar que também há variações desses ataques, bem como combinações desses ataques que você também deve estar ciente de…

1 – Phishing

O phishing é provavelmente uma das técnicas de engenharia social mais conhecidas usadas pelos cibercriminosos para violar a privacidade dos funcionários e é certamente uma das mais eficazes. O phishing geralmente ocorre quando um terceiro envia comunicações de uma fonte aparentemente legítima – por exemplo, imitando um gerente, colega ou provedor de serviços. Esse ataque é realizado por e-mail, dificultando a verificação das comunicações aparentemente legítimas para funcionários não treinados.

Como o e-mail parece tão convincente, os usuários geralmente clicam em links ou prompts de login inseridos na mensagem, pensando que estão fazendo logon em um site legítimo. Esses links redirecionam o usuário para um site fraudulento onde seus detalhes de login são coletados, geralmente por softwares keylogging ou raspadores de dados.

2 – Pretexting

Esse tipo de engenharia social usa engano e identidades falsas para manipular um alvo. Podemos ver isso com frequência em golpes on-line em que um invasor chama o alvo e informa que ele precisa verificar algumas informações da conta, que podem usar como parte de seu ataque. As informações divulgadas normalmente são de natureza privilegiada, facilitando o acesso dos invasores a contas e logins de usuários.

Usando esse método, os criminosos podem se apresentar como membros seniores da equipe, convencendo os funcionários a revelar informações sobre determinados indivíduos dentro da organização. Se a pessoa que está sendo enganada estiver longe o suficiente na empresa e não tiver se encontrado pessoalmente com esse supervisor antes, talvez não pense em ir pessoalmente ao escritório da pessoa para verificar se essa é uma solicitação legítima.

3 – Baiting

Baiting é um método para induzir alguém a criar uma senha para uma nova conta falsa, na esperança de que ela reutilize uma senha que possa ser explorada em outro lugar. Formas comuns de isca incluem a promessa de brindes como filmes, música ou até mesmo brindes de produtos.

Em um contexto de negócios, a isca pode vir na forma de uma mensagem aparentemente do RH pedindo inscrições para o piquenique da empresa, ou alguém de um departamento diferente enviando um cartão de felicitações de aniversário falso. Os usuários serão solicitados a se inscrever e criar um nome de usuário e uma senha para si próprios, geralmente usando a mesma senha que eles usam para outras contas mais confidenciais. Às vezes, os usuários usam a mesma senha para logons confidenciais, como sua conta comercial principal, e se essa mesma conta tiver sido usada como endereço de email para o novo logon, os invasores agora terão acesso a essa conta de email.

4 – Watering Hole

Um ataque watering hole é quando um invasor consegue injetar código malicioso em um site que um destino conhecido provavelmente visitará, como um portal de negócios ou uma página inicial. O alvo é identificado por outras técnicas de engenharia social com antecedência, permitindo que os atacantes decidam se o indivíduo vale seu tempo para atacar. Quando o alvo visita o site, o código backdoor infecta o computador do alvo e permite que os hackers acessem remotamente a máquina ou dispositivo agora infectado.

5 – Vishing

O phishing de voz (vishing) ocorre quando um invasor usa um telefone normal ou um software de IVR avançado para atrair os funcionários para a repetição de informações confidenciais, onde são gravadas. Isso varia do pretexto acima, em que não se trata apenas da solicitação de dados, mas da captura da voz da pessoa para superar os sistemas de defesa ativados por voz aos quais o funcionário pode ter acesso.

Uma técnica comum usada em conjunto com uma IVR está solicitando aos usuários números PIN e senhas. Cada entrada que é tentada pelo telefone falhará e retornará como uma tentativa incorreta, fazendo com que o funcionário experimente várias senhas pessoais diferentes – todas as quais são coletadas e salvas. Se o invasor puder identificar outras contas que possam ser comprometidas, elas poderão usar as tentativas de senha armazenada para encontrar uma senha ou PIN que funcione.

Sugestões e Recomendações para Evitar a Engenharia Social

Como vimos, a natureza dos ataques de engenharia social é orgânica e em constante evolução. Não existem regras definidas que possam ser seguidas para isolar completamente a sua organização, mas existem alguns passos básicos que podem ser tomados para mitigar sua exposição aos efeitos prejudiciais de tal ataque.

A maneira mais fácil e eficaz de proteger sua organização é oferecer programas de treinamento e conscientização para seus funcionários. Um excelente exemplo disso é o curso de Ataques de Engenharia Social com Setoolkit. Ele inclui simulações de phishing, todas as técnicas de ataques da ferramenta Setoolkit para dar a você e sua equipe uma representação realista de como seria o cenário de um ataque de Engenharia Social e como você pode evitar ser vítima de tal esquema.