Os ataques de engenharia social não causam apenas prejuízos financeiros imediatos, mas também comprometem a cibersegurança das empresas.
Basta apenas alguns segundos para refletirmos sobre o impacto da internet no cotidiano dos brasileiros. Afinal de contas, qual é a primeira e última coisa que você faz em 24 horas? Se a resposta for checar as notificações do seu celular, então você entende muito bem do que estamos falando.
De acordo com uma pesquisa da Consumer Pulse feita neste ano, os brasileiros passam aproximadamente 9 horas por dia perambulando por diferentes aplicativos, páginas da web e qualquer segmento que envolva a internet. E as coisas ficam ainda mais curiosas ao percebermos que, do total de tempo despendido na web, mais de 3 horas são dedicadas apenas ao uso das redes sociais.
Tendo em vista o tempo de conexão, os dados mostram que o Brasil fica acima da média global, o que pode acender um sinal de alerta para a maneira como estamos usando a internet e as próprias redes sociais cotidianamente.
Inúmeros crimes foram se adequando à nova realidade em que a internet dita as tendências, no sentido de angariar mais vítimas online e trazer consequências drásticas em questão de segundos, seja por meio de malware, hacking, ransomware e por aí vai.
Entretanto, ao entrarmos especificamente no contexto corporativo, poucas pessoas sabem que existe uma técnica sofisticada, chamada de engenharia social, que cibercriminosos utilizam para manipular psicologicamente indivíduos ou equipes com o objetivo de obter informações confidenciais, acesso a sistemas ou realizar ações que comprometam a segurança de uma empresa.
Diferente de ataques puramente técnicos, como invasões a servidores ou exploração de vulnerabilidades de software, a engenharia social centraliza sua atenção no elo mais “fraco” da cadeia de segurança: o ser humano, dotado de sentimentos e subjetividades.
Se fôssemos colocar em outras palavras, poderíamos dizer que a engenharia social é uma forma de convencer alguém a “abrir uma porta que deveria estar trancada”.
Em muitos casos, isso acontece sem que a vítima perceba que foi enganada, pois a tática se infiltra por meio da confiança, da pressa ou da distração. E, justamente por isso, é tão difícil de detectar.
Para empresários e gestores de TI, é mais do que essencial compreender os tipos de ataques de engenharia social e aplicar boas práticas de proteção para garantir a resiliência digital da empresa.
E boas práticas vão muito além de firewalls e antivírus. Para falar a verdade, a barreira mais eficaz contra esse tipo de golpe é um time bem treinado, políticas consistentes e monitoramento constante, preferencialmente 24 horas por dia.
Até porque ataques de engenharia social podem causar desde roubo de dados estratégicos até sequestro de informações críticas, com potencial de colocar em risco tanto a reputação da empresa quanto sua continuidade operacional.
Por que a engenharia social é uma ameaça para empresas de qualquer porte?
Mesmo que a engenharia social esteja atualmente relacionada a intenções maliciosas, ela nem sempre foi assim. Sua história, que não começou por agora, remonta a tempos antigos, quando os seres humanos já desenvolviam influência para convencer os outros a agirem conforme seus interesses pessoais.
Estratégias militares na antiguidade eram elaboradas com o uso de subterfúgio e camuflagem, no sentido de enganar os inimigos em prol da vitória. Autoridade, reciprocidade e engano costumavam ser empregados com frequência em diversos contextos, não só maliciosos, embora a terminologia e os conceitos modernos da psicologia ainda estivessem longe de serem conhecidos.
A partir do século XIX, o termo “confidence man” (homem da confiança) ganhou formas e contornos nos Estados Unidos para descrever golpistas que conquistavam a confiança da vítima antes de cometer algum tipo de crime, a exemplo de jogos de confiança e estelionato público em cidades portuárias e centros comerciais.
Com o passar do tempo, a engenharia social foi sendo incorporada ao conceito que conhecemos hoje dentro do escopo de segurança da informação: uma estratégia de manipulação, com viés psicológico, que induz as pessoas ao erro de maneira proposital, enganando-as a partir de narrativas atraentes e supostamente verídicas.
A tática explora vulnerabilidades que só os seres humanos possuem, como o receio de perder uma grande oportunidade ou a necessidade de resolver um problema o quanto antes. Não se trata apenas de golpes financeiros: envolve persuasão, manipulação, propaganda, recrutamento de espiões e ataques híbridos que combinam meios humanos e tecnológicos.
Os ataques de engenharia social são bem-sucedidos porque exploram fatores humanos que dificilmente podem ser eliminados por tecnologias de segurança tradicionais. Inclusive, o psicólogo comportamental Robert Cialdini denota sete princípios fundamentais de influência psicológica, que tendem a ser usados para influenciar as tomadas de decisão.
- Reciprocidade: em suma, é a tendência humana de retribuir favores, presentes ou concessões. Quando alguém nos faz algum tipo de “agrado”, sentimos a necessidade de devolver. Exemplo: criminosos oferecendo algo aparentemente gratuito (um brinde, um arquivo “útil”, uma informação) ou fazem uma “gentileza” para, depois, pedir um favor maior, como acessos, credenciais, transferências;
- Compromisso/consistência: estratégia de manter comportamentos coerentes com escolhas ou compromissos anteriores. Uma vez que alguém aceita um pequeno pedido, fica mais propenso a aceitar solicitações maiores que sigam a mesma linha. Exemplo: um teste “de conformidade” que, depois, serve de pretexto para exigir dados sensíveis;
- Prova social/conformidade: tendência a seguir o comportamento percebido como “normal” ou aceito por outros, usando a ação dos demais como atalho para decidir. Exemplo: supostas evidências de que outros já aprovaram algo (testemunhos falsos, listas de usuários, números) ou criam senso de que “todo mundo” está fazendo aquilo, para reduzir suspeitas;
- Autoridade: basicamente, obedecer ou acreditar em pessoas vistas como especialistas, superiores ou figuras institucionais. Exemplo: e-mail falso “do CEO” pedindo transferência urgente;
- Simpatia/afeição: nos tornamos mais influenciáveis por quem gostamos, com quem temos afinidade ou quem nos elogia. Exemplo: mensagem de alguém com interesses profissionais semelhantes oferecendo ajuda;
- Escassez: valor imaginado aumenta quando algo parece limitado ou prestes a acabar, criando pressão temporal (“somente hoje”, “última chance”) para forçar decisões precipitadas sem verificação. Exemplo: e-mails de troca de senha dizendo que a conta será desativada em 10 minutos;
- Unidade: aquela conhecida sensação de identidade compartilhada (família, grupo, cidade natal, ex-alunos) que aumenta confiança e obrigação entre membros do mesmo grupo. Exemplo: e-mail que começa “Sou do grupo de ex-alunos X” e pede ajuda.
Com isso, o “combo” entre manipulação emocional e falta de atenção transforma a engenharia social em uma das maiores ameaças para empresas, independentemente de seu porte. Existem diversos tipos de cibercrimes que são gerados por meio da engenharia social.
Engenharia social: tipos de ataques mais praticados
1. Phishing
Sem dúvidas, o phishing é um dos ataques mais difundidos e conhecidos quando o assunto é engenharia social e cibersegurança. A tática envolve o envio de e-mails ou mensagens falsas que imitam comunicações legítimas, como uma mensagem que simula ser do banco solicitando atualização de senha.
No meio corporativo, um dos principais riscos está relacionado à possibilidade de comprometer as credenciais, o que pode levar à permissão de acesso a sistemas críticos e confidenciais.
2. Spear Phishing
Versão ainda mais sofisticada e preocupante do phishing, onde os cibercriminosos conseguem ser direcionados a um alvo específico, geralmente executivos ou gestores de TI.
Um e-mail falso enviado ao CFO com dados de fornecedores reais, por exemplo, pode virar uma bola de neve se o diretor não estiver atento o suficiente, ocasionando vazamento de informações sigilosas.
3. Business Email Compromise (BEC)
No geral, trata-se de um ataque em que criminosos se passam por executivos ou parceiros para solicitar pagamentos ou informações sensíveis.
E isso pode até mesmo causar danos à reputação da empresa.
4. Vishing (Voice Phishing)
Sim, a engenharia social também pode ocorrer por meio de ligações telefônicas, sendo uma das táticas mais usadas atualmente.
Imagine os danos que a empresa sofreria se o funcionário passasse login e senha do sistema para alguém se passando pelo suporte de TI?
5. Smishing (SMS Phishing)
A engenharia social pode aparecer em diversos segmentos diferentes, inclusive em celulares corporativos.
Ao clicar em link falso enviado por SMS, com o pretexto de “atualização bancária”, o funcionário pode autorizar a instalação de malwares.
6. Pretexting (Pretexto)
Nesse tipo de ataque, o criminoso cria um storytelling convincente para justificar o pedido de informações, considerando o contexto da vítima que será abordada.
É o caso de mensagens e/ou e-mails de alguém se passando por auditor interno pedindo relatórios financeiros, para citar um exemplo.
7. Baiting (Isca digital)
Envolve oferecer algo atrativo como bait (isca) para induzir a vítima a executar uma ação específica.
Quer um exemplo? Pen drives infectados que são deixados em ambientes corporativos e estão repletos de softwares maliciosos.
8. Tailgating (Acesso físico)
A tática é simples: o invasor aproveita uma distração para entrar fisicamente em áreas restritas.
Aqui já estamos falando de uma abordagem criminosa mais “tradicional”, quando alguém segue um funcionário que abre a porta de acesso por crachá, por exemplo.
9. Engenharia social em redes sociais
É claro que não poderíamos esquecer da tática usada especificamente em redes sociais.
Nesse caso, os criminosos exploram informações compartilhadas em perfis pessoais e/ou profissionais para criar ataques personalizados.
Por exemplo, pessoas mal-intencionadas podem utilizar dados do LinkedIn para direcionar spear phishing a executivos, criando uma atmosfera convincente com base em informações verídicas e públicas.
Como proteger a empresa contra ataques que usam engenharia social?
Como podemos perceber, os golpes de engenharia social não causam apenas prejuízos financeiros a curto prazo. Existe uma gama de consequências, dependendo das informações que foram comprometidas.
Entre os principais impactos, estão: perda de credenciais críticas (e-mails, ERP, sistemas internos), roubo de dados estratégicos, exposição à LGPD e multas regulatórias em caso de vazamento de dados pessoais, prejuízos à reputação da marca, perda de confiança de clientes e assim por diante. Sim, a lista não para por aqui.
Para prevenir ataques de engenharia social, é necessária uma combinação de fatores que envolvem tecnologia, processos e pessoas. Antes de mais nada, a empresa deve pensar em campanhas de conscientização sobre phishing e golpes digitais, adotando treinamentos contínuos e exemplos práticos para que as informações fiquem claras.
Vale a pena até mesmo planejar simulações periódicas com o objetivo de preparar os colaboradores em cenários reais de tentativas de golpes. O incentivo a denúncias de atividades suspeitas deve ser pensado como uma cultura de cibersegurança entre os funcionários, reforçando que a responsabilidade cabe a todos para além do setor de TI.
Com o treinamento, os colaboradores tendem a desconfiar de mensagens ou e-mails inesperados, verificando a autenticidade da fonte primária de informação antes de tomar decisões, clicar em links, abrir anexos, baixar arquivos, etc.
Além disso, os diretores responsáveis pela companhia devem entrar em consenso para definir processos formais de validação financeira. Uma boa prática corresponde à autenticação de múltiplos fatores, uma das funcionalidades oferecidas pela Integratto Tecnologia no que tange à solução de continuidade dos negócios.
Também é de extrema importância manter os softwares corporativos sempre atualizados para mitigar vulnerabilidades exploradas em programas com versões “datadas”. Inclusive, investir em serviços de monitoramento constante, de preferência 24 horas por dia, é fundamental para atividades de detecção de anomalias antes de chegar ao ponto de reparar danos e remediar prejuízos em larga escala.
O SOC (Security Operations Center), por exemplo, assegura uma camada adicional de proteção e, portanto, torna-se fundamental quando consideramos o atual cenário de ataques cibernéticos que comprometem a vitalidade das empresas de qualquer porte. A tecnologia é capaz de reduzir riscos de ataques bem-sucedidos por meio de monitoramento constante e respostas ativas às ameaças.
Além disso, o SOC tem resposta rápida a incidentes que, consequentemente, acelera a recuperação do sistema. Isso sem contar no aprimoramento total da visibilidade com uma expertise que muitas organizações buscam ter internamente. As empresas não precisam de equipe interna ou altos investimentos para ter segurança corporativa de alto nível, considerando o custo previsível e escalável de um SOC.
Em seu portfólio para corporações de qualquer porte, a Integratto Tecnologia fornece soluções completas de SOC. Tudo isso para que as empresas estejam sempre um passo à frente das ameaças digitais, tendo em vista um mundo corporativo cada vez mais online e suscetível a ataques que comprometem a cibersegurança.
Agende uma consultoria com nosso time de experts
Devido ao know-how em infraestrutura e cibersegurança de alta confiabilidade, a Integratto possui inúmeros cases de sucesso com grandes clientes de diversos segmentos. Os especialistas certificados possuem experiência real em projetos complexos para gerar resultados de negócios; e isso faz toda a diferença.
Ademais, a Integratto estabeleceu uma base sólida de parceiros globais como Oracle, Dell Technologies, Fortinet, Veeam, VMware e Microsoft, que elevam ainda mais o padrão de excelência a partir de soluções completas para o mercado brasileiro.
