Engenharia social: usuários precisam estar vigilantes

Mesmo usuários mais atentos a ameaças podem ser facilmente iludidos para passar informações na web

Os filtros de spam já melhoraram muito ao longo dos anos, impedindo que os uma série de e-mails falsos contendo promessas milagrosas não chegassem às caixas de entrada dos usuários.

A evolução, no entanto, não é o suficiente para acompanhar a sofisticação dos ataques de engenharia social. Basta uma olhada rápida em sua caixa de spam para encontrar intermináveis e-mails prometendo perdas de peso milagrosas ou ganhos incríveis de dinheiro sem sair de casa.

Os ataques de engenharia social, no entanto, vão mais além para tirar vantagem da principal causa das violações de dados: o usuário.

Infelizmente, mesmo os indivíduos mais atentos às ameaças cibernéticas podem facilmente cair em um ataque de engenharia social e passar informações.

Não existe uma solução tecnológica para isso, a única solução é realmente prestar mais atenção ao que fazemos na web.

Identifique um ataque de engenharia social

Neste ano, vimos os tradicionais e-mails de phishing se tornarem mais perigosos com os ataques de comprometimento de e-mails corporativos (em inglês, business email compromise – BEC), um tipo de golpe de e-mail mais sofisticado no qual os criminosos se apresentam como executivos e solicitam a subordinados que eles efetuem transações bancárias ou algo similar ─ dados do FBI divulgados em junho deste ano estimam que grupos de hackers já tentaram roubar US$ 3,1 bilhões dessa maneira.

Agora, os hackers evoluíram para tentar usar as informações postadas pelos usuários nas redes sociais em suas mensagens, de forma a torná-las mais parecidas com mensagens autênticas de amigos e colegas de trabalho.

Uma maneira de evitar ser vítima desse tipo de ataque é estar atento aos seus estágios mais comuns. Conheça alguns deles:

– Gatilho: O ataque geralmente tem início com um e-mail, mas os cibercriminosos também podem usar SMS e mensageiros mobile. Para que o ataque siga adiante, o usuário deve confiar ou, ao menos, não desconfiar dos propósitos da comunicação;

– Sinergia: O hacker deve conhecer minimamente sua vítima para pedir apenas os dados aos quais ela tenha acesso. “Não adianta ele pedir as credenciais do Banco do Brasil de uma vítima que só tem conta na Caixa Econômica Federal.

– Descoberta: O cibercriminoso precisa iludir a vítima para obter as informações desejadas. Isso inclui, por exemplo, não pedir informações demais para não levantar suspeitas.

O estudo The Cost of Phishing & Value of Employee Training, divulgado pelo Instituto Ponemon no último ano, concluiu que as empresas que tem, em média, 10 mil funcionários gastam cerca de US$ 3,7 milhões lidando com ataques de phishing.

Tanto no caso dos ataques tradicionais de phishing quanto nos casos de engenharia social, os programas de conscientização do usuário podem fazer a diferença para gerar funcionários mais atentos a ações suspeitas. De acordo com o relatório do Instituto Ponemon, empresas que investiram em programas de conscientização reduziram a taxa de cliques em e-mails de phishing em 64%, em média.

*Cleber Marques é diretor comercial da KSecurity, empresa brasileira de cibersegurança.

Fonte: ComputerWorld