Boletim de Segurança da Informação #005
Como se proteger de ataques de engenharia social ? O que é engenharia social?
Engenharia social consiste no uso de técnicas empregadas para se obter acesso à informação valiosa ou sigilosa, de uma pessoa, empresa, produto ou organização.
São estratégias de espionagem que vão desde cartas, emails, telefonemas, até buscas em cestos de lixo. A persuasão faz parte destas técnicas, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações.
É conhecida como: A arte de enganar. Com o crescimento do sequestro de informações de empresas realizadas pela onda de ataque através de malware do tipo ransomware (abordado no Boletim #001), as empresas começaram a se preocupar um pouco mais com a segurança da informação do seu negócio, os gestores começaram a investir em proteção para elevar a maturidade da segurança da informação. Mas, se a segurança é maior, porque os ataques de sucesso aumentam cada vez mais? Pois sabe-se que a melhor chance de burlar um sistema razoavelmente seguro é atacar o elo mais fraco da corrente, o usuário.
Como caímos nos golpes utilizados por engenheiros sociais?
A arte de enganar tem como foco o elo mais fraco da corrente e tem como uma poderosa arma a manipulação de sentimentos, conquistar o sentimento da possível vítima é fundamental para realizar um ataque de sucesso.
- Curiosidade: Podem utilizar e-mails curiosos, promoções tentadoras, para aguçar a curiosidade do alvo. “Parabéns você foi sorteado e ganhou um automóvel zero!” “Essa foto sua é montagem?”
-
Confiança: Quando há confiança, o engenheiro social atua com mais facilidade, é possível utilizar técnicas de invasão para simular ser um diretor e forjar uma autenticação prévia através de um e-mail falso, fazendo com que você seja uma pessoa de confiança dentro da empresa.
-
Simpatia: Adoramos pessoas simpáticas, a dificuldade de dizer “não” quando alguém é simpático, faz com que os engenheiros sociais serem bajuladores profissionais.
-
Culpa: A culpa é um excelente argumento para obter informações, o desespero de alguém que é, ou se sente culpado é um excelente ponto para ser trabalhado por engenheiros sociais.
-
Intimidação: Gerar medo, usando uma voz firme, incluir ameaças à negação dando a entender ser um superior, com frases como “faça isso agora”.
Esses são alguns pontos que engenheiros sociais atuam, mas como caímos nesses truques? Normalmente é devido ao baixo desconfiômetro, revelar dados sem consulta, acessar sistemas duvidosos, curiosidade em excesso ou até mesmo falar sobre dados confidenciais fora do ambiente da instituição.
É importante tomar cuidado com esta técnica não só no ambiente institucional, mas também em nossa vida pessoal. Estamos constantemente correndo este perigo pois todos possuímos informações sigilosas e importantes, que podem ser alvo de alguém mal intencionado.
Como é possível se proteger?
Como vimos, os ataques de engenharia social são focados no usuário, e a única forma de se proteger é estando constantemente alerta e tomando cuidado com estas “armadilhas”. Para isto, nós do CTIC buscamos a conscientização da comunidade acadêmica através dos boletins de segurança da informação.
Quaisquer dúvidas podem ser encaminhadas ao atendimento CTIC
Bom trabalho a tod@s!