Engenharia social é uma técnica empregada por criminosos virtuais para induzir usuários desavisados a enviar dados confidenciais, infectar seus computadores com malware ou abrir links para sites infectados. [1] Além disso, os hackers podem tentar explorar a falta de conhecimento do usuário. Graças à velocidade da tecnologia, muitos clientes e funcionários não percebem o verdadeiro valor dos dados pessoais e não sabem exatamente como proteger essas informações.
Cibercriminosos usam a engenharia social para invadir informações pessoais e de empresas. Uma vez que tenha a senha de um funcionário confiável, ele pode simplesmente fazer o login e procurar informações confidenciais. Com um cartão de acesso ou código para entrar fisicamente em uma instalação, o criminoso pode acessar dados e roubar ativos.
Enquanto os ataques tradicionais alavancam vulnerabilidades de sistemas baseados em tecnologia, como erros de software e configurações incorretas, os ataques de engenharia social tiram proveito das vulnerabilidades humanas. Usam o engano para fraudar as vítimas, que são direcionadas a realizar ações prejudiciais.
A maioria desses golpes funcionam porque as vítimas acreditam que se trata de algo verdadeiro. O principal objetivo do criminoso nesse caso, é convencer a vítima a entregar suas informações voluntariamente em vez de usar ameaças ou intimidação forçada.
É o caso em que uma pessoa de má-fé abusa da ingenuidade ou da confiança de um usuário para persuadi-lo a fornecer informações sensíveis, como números de cartões de crédito, senhas, documentos pessoais, entre outros.
Essa categoria de fraude ou de crime digital também pode acontecer dentro das empresas. O criminoso começa a ter contato com um colaborador, ou então utiliza artimanhas para induzir essa pessoa a realizar uma ação que favoreça o ataque.
Tudo é baseado na interação humana e conduzido por criminosos que usam o engano das pessoas para violar os procedimentos de segurança que elas deveriam ter seguido. Assim, os criminosos utilizam a manipulação psicológica para convencer os usuários a cometerem erros de segurança ou divulgarem informações confidenciais. Em 2019, ocorreu com a Toyota Boshoku Corporation, fornecedora de peças automotivas, foi vítima de um ataque de engenharia social e BEC (Business Email Compromise). O dinheiro perdido chega a US$ 37 milhões. Usando persuasão, os invasores persuadiram um executivo financeiro a alterar as informações da conta bancária do destinatário em uma transferência eletrônica.[2]
A Engenharia Social explora emocionalmente as vítimas em potencial, testando diversas iscas até ativar o gatilho que deixa o alvo vulnerável. Geralmente, são aproveitados temas atuais, promoções atrativas ou falsos anúncios de premiações para realizar essa persuasão.
A importância da internet na sociedade é indiscutível, dessa forma, cria-se leis para blindar seus usuários de atitudes ilícitas. Temos a Lei dos Crimes Cibernéticos, de nº 12.737/2012 (Lei Carolina Dieckmann), A Lei 12.965/2014 chegou para conferir os direitos e deveres dos usuários da rede, Lei 13.709/2018 (LGPD – Lei Geral de Proteção de Dados) Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Há duas tipificações criminais para ataques de engenharia social. A primeira está dentro do artigo 155, parágrafo 4° e diz respeito ao furto mediante fraude. Contudo, a maioria dos crimes é tipificada como estelionato artigo 171.[3]
Contudo, deve ser destacado que não é suficiente, é preciso que cada um esteja em constante alerta para minimizar as violações que a cada dia se renovam.
A segurança da informação deve ser analisada sob a ótica do risco, entendido enquanto uma “combinação da probabilidade de um evento e sua consequência”, conforme a norma ISO 27001[4]. Destacam-se dois componentes essenciais nesta análise: o impacto e a probabilidade.
O engenheiro social explora justamente o aspecto que corriqueiramente é renegado para segundo ou até mesmo terceiro nível de prioridade na segurança, qual seja, a conscientização dos vetores humanos no trato e proteção da informação. Controles de acesso físico ou remotos podem ser facilmente contornados com o convencimento de um funcionário despreparado, ou, dependendo da complexidade do ataque, de um parente ou amigo desse funcionário, que pode servir de “credencial” até ele para que então o verdadeiro ataque seja executado.
Quais são os cuidados contra os ataques de engenharia social?
Em primeiro lugar, para evitar o roubo de dados por meio da engenharia social em sua empresa, seja cauteloso e use o bom senso. Algumas dicas:
- Oriente e treine os funcionários. Se as pessoas não são orientadas e treinadas para os tipos de ataques que estão sendo usados, então elas não podem se defender contra eles;
- Esteja ciente das informações que estão sendo transmitidas;
- Defina quais dos seus ativos são mais valiosos para proteger;
- Elabore uma política de segurança e faça um bom treinamento de conscientização;
- Mantenha seus softwares atualizados;
- Quando for solicitada alguma informação, busque compreender se a pessoa com quem você está falando precisa realmente da informação solicitada;
- Preste atenção às perguntas que não se encaixam no contexto.
- Sempre desconfie de e-mails com promoções, doações, heranças, e com links para validar seus dados pessoais.
Palavra de ordem é: Desconfie.
______________
1 https://www.kaspersky.com.br/
2 https://br.claranet.com/blog/engenharia-social-o-que-e-e-como-se-proteger
3 https://www.planalto.gov.br/ccivil_03/decreto-lei/del2848compilado.htm
4 https://www.27001.pt/