Atualidade Cibersegurança

O que é engenharia social (social engineering)?

No contexto da cibersegurança, engenharia social, normalmente referido como social engineering é um termo dado à manipulação psicológica de pessoas para a extorsão de dinheiro ou divulgação de informações.

Estes ataques consistem na manipulação da vítima para a levar a fazer aquilo que o atacante pretende. Esta manipulação é feita de forma subtil e tendo por base conhecimentos sobre a pessoa que poucas pessoas teriam construindo assim uma base de confiança.

O ciclo deste tipo de ataques, permite aos criminosos a construção de um processo capaz de o enganar.

  1. Preparar informação sobre si ou um grupo social a que faça parte (pessoas conhecidas, empresas, associações, etc)
  2. Infiltrar-se nesse grupo estabelecendo uma relação ou iniciando uma interação que seja a base da confiança.
  3. Explorar a vitima. Assim que a confiança esteja estabelecida, passam ao ataque.
  4. Desaparecer. Uma vez cumprido o objectivo, os atacantes “desaparecem do mapa”.

Exemplo prático:

Fazer-se passar por funcionário de uma empresa conhecida da vítima e dar dados pessoais da mesma para tentar obter dados adicionais. “Olá Sr. José, fala o Nuno da EmpresaX. Estamos a atualizar os dados dos nossos clientes, poderia-nos confirmar se o seu número mantém-se o 910000000? Sim? E o e-mail, continua a ser o srjose@gmail.com? Perfeito. Não temos aqui os dados da sua esposa, poderia nos facultar o nome completo e contacto telefónico?”

Posteriormente, estes dados novos poderão ser utilizados para subscrever a serviços, aceder a informação privilegiada no local de trabalho ou quem sabe envio de uma campanha de phishing digital.

Mas este é apenas um dos muitos exemplos do tipo de ataque que pode utilizar engenharia social. Desconfie de chamadas, e-mails, mensagens ou SMS que tenham informações sobre si que não se recorda de fornecer.

Porque é tão perigoso?

Porque dificilmente soam os sinos do alarme nas nossas cabeças quando recebemos uma chamada/e-mail ou mensagem de alguém que diz pertencer a uma empresa/grupo/ser amigo de alguém que conhecemos e que claramente tem informações sobre nós que poucas pessoas teriam. Tem de ser verdade, não é? Não.

Se não tem a certeza, não divulge dados adicionais, não aceda aos pedidos, não se deixe enganar. Se a pessoa diz pertencer à empresa X, contacte directamente a empresa X e confirme que aquela pessoa lá trabalha. Se lhe dizem vir por parte de Y que perdeu acesso aos dados da empresa, ligue com Y para confirmar que deverá permitir acesso.

É sempre preferível gastar mais alguns momentos mas agir com cautela.

Quer verificar se a sua informação foi revelada online ou se o seu e-mail está comprometido? Clique aqui.

×