Na atualidade, as empresas possuem muitas preocupações e cautelas contra ataques de hackers tradicionais. Ou seja, ataques em que os hackers tentam comprometer diretamente a disponibilidade de um sistema. Portanto, explorando alguma falha em um determinado software. Assim, comprometendo o funcionamento de um determinado serviço.

Obviamente que todas essas precauções são completamente legítimas e necessárias. Contudo, existe também um tópico que muitas empresas acabam não dando a devida importância, mas que é utilizado com frequência por criminosos virtuais.

Portanto, esse tópico trata dos ataques relacionados à Engenharia Social.

É sobre este tema que iremos falar neste artigo.

ENGENHARIA SOCIAL

Provavelmente você já deve ter ouvido falar. Entretanto, o que seria uma Engenharia social?

A Engenharia social é uma estratégia utilizada por criminosos virtuais para enganar usuários. Assim, através de ataques virtuais, os usuários são induzidos a praticar ações indevidas, como: realizar pagamentos para “suposto resgate de informações” ou simplesmente clicar em links com malware contaminando seus respectivos computadores.

Existem diversas táticas de ataques através do uso de Engenharia social.

Portanto, vamos listar alguns destes tipos de ataques e quais as ações recomendadas.

TIPOS DE ATAQUES

 Phishing

O ataque de Phishing é baseado na tentativa de captar dados pessoais do usuário, para obter benefícios ilícitos. O criminoso pode utilizar qualquer mídia de comunicação com o intuito de fazer o usuário cair em uma determinada armadilha.

Esta é uma das tentativas de ataques que mais ocorrem na atualidade.

Um exemplo comum é o recebimento de emails informando que o usuário está inadimplente com determinado pagamento e que precisa regularizá-lo. Desse modo, o email solicita o encaminhamento das informações pessoais do usuário.

Para esse tipo de situação, a recomendação é de nunca encaminhar dados sigilosos. Na dúvida da autenticidade do conteúdo, o apropriado é entrar em contato diretamente com a respectiva empresa através dos canais oficiais de atendimento e sanar a dúvida.

Sextorsão 

O ataque de Sextorsão baseia-se na intimidação do usuário com o intuito de amedrontá-lo. Com isso  fazê-lo pagar uma determinada quantia para que um específico conteúdo íntimo não seja divulgado publicamente. 

Um exemplo de ataque desse tipo é quando um usuário recebe um email apresentando um possível conteúdo íntimo, o criminoso com o intuito de amedrontá-lo, o ameaça sobre um “possível vazamento” de informações.

Para ilustrar, vejamos abaixo um exemplo de um texto elaborado por um “suposto criminoso” na tentativa deste ataque: 

“Achas estranho ter recebido um email através do seu próprio email? Não é estranho, é que ontem sem notar, você acabou clicando em um link malicioso e agora tenho total acesso ao seu email, bem como ao conteúdo do seu computador. Tenho acesso total às suas fotos e vídeos pessoais. Para que você não tenha todas as suas informações vazadas, siga o procedimento a seguir para realizar o pagamento de resgate, caso contrário irei expor todas suas fotos e vídeos publicamente, bem como seus arquivos confidenciais. Creio que você não queira isso, correto?”

Perceba que o texto de exemplo acima, o “suposto criminoso” tenta causar a sensação de medo no usuário. 

Como reagir então?

A resposta é: 

Calma, não tenha medo! 

Uma boa parte dos ataques de Engenharia social, o criminoso tentará induzir que tem dados ultra sigilosos sobre você e que pode fazer algo para lhe prejudicar. 

Na maioria das vezes isto é um “blefe” e o criminoso nada mais fez do que contar uma história para tentar induzi-lo a fazer algum pagamento ou algo que venha a comprometer a rede da sua empresa, ou mesmo os dados do seu computador. 

Mantenha a calma e avise a equipe de TI. Muito provavelmente, outros usuários também receberam e-mails com conteúdos falsos.

Quid Pro Quo 

Esse tipo de ataque visa ludibriar o usuário. Assim, fazendo com que o mesmo acredite que poderá ganhar um determinado prêmio. 

Normalmente, o criminoso irá entrar em contato com o usuário, propondo “possíveis sorteios” para concorrer a diversos tipos de produtos. Diante desse cenário, em troca o usuário necessita passar algum dado sigiloso ou clicar em links infectados com vírus.

Neste caso, a recomendação é simplesmente ignorar esses tipos de “sorteios” e não clicar em nenhum link desconhecido.

Pretexting 

Nesse tipo de ataque, o criminoso tenta se passar por alguém conhecido do usuário para conseguir capturar informações confidenciais de forma ilegal. O criminoso então tenta se aproximar do usuário, a fim de passar credibilidade para sua vítima. Com isso, uma vez tendo este tipo de confiança, o criminoso pode encaminhar links infectados. Finalmente até o usuário acabar contaminando o computador.

Em situações como estas, desconfie sempre e nunca encaminhe informações confidenciais.

Em caso de dúvida, entre em contato com o departamento de TI da empresa, e informe o ocorrido. Não tenha receio em “perder a confiança” ou “diminuir o seu networking”.

Pessoas bem intencionadas não entrarão em contato pedindo informações confidenciais. Principalmente que possam comprometer você ou a sua empresa.

CONSIDERAÇÕES FINAIS

Estes foram apenas alguns tipos de ataques de Engenharia social. Porém, existem diversos outros.

A melhor forma de combater ataques oriundos de Engenharia social é a informação.  Que em conjunto com soluções de monitoramento de redes, filtros de e-mails e firewall irão potencializar as ações para mitigar essa ameaça.

Por esta razão, compartilhe informações úteis com os respectivos usuários de sua empresa. Também realize a divulgação sobre os possíveis tipos de ataques. Mantenha a visibilidade da sua rede e utilize as ferramentas de controle para reduzir as vulnerabilidades.

Isto sem dúvidas trará maior tranquilidade para os usuários ao lidar com um possível ataque de Engenharia social, bem como diminuir os riscos de um tipo de ataque como este ser bem-sucedido.

Neste sentido, não há dúvidas sobre a importância do investimento no gerenciamento da rede. Dessa forma, trazendo não apenas benefícios para a visibilidade da rede, mas também sendo uma forma complementar de buscar a prevenção de problemas que possam causar a queda de serviços da rede.

Pensando nisto, a Telcomanager que está desde 2002 no mercado, líder da América Latina no setor de software para gerência de redes, com uma metodologia única e inovadora, disponibiliza soluções inteligentes no monitoramento de dados que irão prover visão estratificada do tráfego, permitindo que a sua empresa acompanhe os principais aspectos de sua rede em tempo real.