Enquanto muitos se preocupam com vírus, malware e hackers, esquecem-se frequentemente que a maior vulnerabilidade está em nós próprios: os humanos.

A engenharia social baseia-se na manipulação psicológica para o levar a revelar informações confidenciais ou a tomar medidas que comprometam a segurança da sua empresa.

O que é a engenharia social e como a reconhecer?

A engenharia social não é nova, mas evoluiu com a tecnologia.

Imagine um hacker que não precisa de quebrar códigos ou entrar em sistemas. Em vez disso, manipula os empregados de uma empresa para obter acesso a informações sensíveis.

Esta abordagem explora a confiança, a curiosidade ou mesmo o medo.

É possível reconhecer uma tentativa de engenharia social quando alguém lhe pede informações sensíveis ou o convida a clicar numa ligação suspeita sob falsos pretextos.

E-mails de phishing, chamadas telefónicas fraudulentas e publicações nas redes sociais são métodos comuns.

Para se proteger a si e à sua empresa, é essencial estar sempre vigilante, verificar sempre os pedidos de informação e nunca partilhar dados sensíveis sem ter a certeza absoluta da autenticidade do requerente.

Casos de vulnerabilidades nas empresas

1. Phishing dirigido a empregadosUma grande empresa foi atacada quando um hacker enviou um e-mail a vários funcionários fazendo-se passar pelo diretor de TI. O e-mail pedia aos empregados que alterassem as suas palavras-passe num site falso, o que permitia ao hacker aceder às contas da empresa.

2. Ataque de phishingNoutra empresa, um pirata informático fez-se passar por um fornecedor regular da empresa e solicitou uma mudança de conta bancária para efetuar pagamentos. A empresa transferiu uma grande soma de dinheiro para a conta do pirata informático antes de se aperceber da fraude.

3. Engenharia social através das redes sociaisUm funcionário partilhou detalhes do seu trabalho e dos sistemas que utilizava nas redes sociais. Um hacker utilizou esta informação para enganar o departamento de apoio técnico da empresa e obter acesso às contas do funcionário.

Histórias de sucesso de empresas que evitaram ataques de engenharia social

1. a tentativa de phishing foi travada pela sensibilização do pessoal

O que os piratas informáticos tentaram: Um grupo de cibercriminosos tentou atacar uma empresa de serviços financeiros enviando e-mails de phishing a vários funcionários. Os e-mails pareciam vir do diretor financeiro da empresa e pediam aos funcionários que introduzissem as suas credenciais num site que imitava a página de início de sessão da empresa. O objetivo era obter acesso às contas dos funcionários e comprometer os sistemas internos.

Como o evitaram: Graças a um programa de formação contínua em cibersegurança, um dos empregados reconheceu a mensagem de correio eletrónico como suspeita. Em vez de clicar na ligação, informou a equipa de segurança da empresa. Esta equipa conseguiu analisar a mensagem eletrónica e confirmar que se tratava de uma tentativa de phishing. De seguida, alertou toda a organização e reforçou as medidas de segurança, impedindo que o ataque fosse bem sucedido.

2) A falsificação de identidade é impedida por uma verificação rigorosa

O que os piratas informáticos tentaram: Noutro caso, um pirata informático fez-se passar por um fornecedor regular de uma empresa transformadora e enviou uma mensagem de correio eletrónico ao departamento de contas a pagar, solicitando a alteração da conta bancária onde eram efectuados os pagamentos. O plano do hacker era desviar uma grande quantidade de dinheiro para uma conta controlada por ele.

Como o evitaram: A política da empresa exigia que qualquer pedido de alteração das informações de pagamento fosse verificado através de uma chamada telefónica direta para o fornecedor. Ao tentar verificar o pedido, o departamento de contas a pagar contactou o fornecedor real, que negou ter solicitado a alteração. Este facto levantou um sinal de alerta e a tentativa de falsificação de identidade foi impedida antes de qualquer transferência de dinheiro.

3. A engenharia social através dos meios de comunicação social foi interrompida pela monitorização proactiva

O que os piratas informáticos tentaram: Numa tentativa de infiltração, os hackers identificaram um funcionário de uma empresa de tecnologia através das suas redes sociais. De seguida, utilizaram as informações publicadas pelo funcionário para criar um perfil falso e fazer-se passar por ele. O plano era entrar em contato com o suporte técnico da empresa e solicitar a redefinição da senha, alegando problemas de acesso.

Como o evitaram: A empresa tinha um sistema proactivo de monitorização das redes sociais, concebido para detetar potenciais riscos de segurança relacionados com a engenharia social. Ao aperceber-se da criação do perfil falso, a equipa de segurança tomou medidas imediatas para proteger as contas dos funcionários e notificou o pessoal de apoio técnico da tentativa de embuste. Como resultado, o hacker não obteve acesso a nenhuma conta e a segurança da empresa permaneceu intacta.

Estes casos mostram como a preparação, a formação e políticas claras podem fazer toda a diferença na prevenção de um ataque de engenharia social bem sucedido. A chave é manter-se vigilante e ter sempre um protocolo de segurança sólido em vigor.

Resumo

A engenharia social é um desafio complexo porque não se baseia na tecnologia, mas na manipulação humana. As empresas devem educar os seus empregados para reconhecerem os sinais de um potencial ataque e estabelecerem procedimentos claros para o tratamento de pedidos de informação. Uma combinação de sensibilização, formação e protocolos de segurança pode ser a chave para a proteção contra estas ameaças.