Segurança

Engenharia social

Você sabe o que é engenharia social?

Trata-se de um método de ataque onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou dados pessoais.

- Fique atento a mensagens, recebidas em nome de alguma instituição, que tentem induzi-lo a fornecer informações, instalar/executar programas ou clicar em links;

- Fique atento a mensagens que apelam demasiadamente pela sua atenção e que, de alguma forma, o ameacem caso você não execute os procedimentos descritos;

- Questione-se por que instituições com as quais você não tem contato estão lhe enviando mensagens, como se houvesse alguma relação prévia entre vocês (por exemplo, se você não tem conta em um determinado banco, não há porque recadastrar dados ou atualizar módulos de segurança);

- Não considere que uma mensagem é confiável com base na confiança que você deposita em seu remetente, pois ela pode ter sido enviada de contas invadidas, de perfis falsos ou pode ter sido forjada.

- Desconfie imediatamente caso o site de comércio eletrônico ou Internet Banking que você está acessando não utilize conexão segura. Sites confiáveis de comércio eletrônico e Internet Banking sempre usam conexões seguras quando dados pessoais e financeiros são solicitados;

- Acesse a página da instituição que supostamente enviou a mensagem e procure por informações (você vai observar que não faz parte da política da maioria das empresas o envio de mensagens, de forma indiscriminada, para os seus usuários).

- Verifique se a página utiliza conexão segura. Sites de comércio eletrônico ou Internet Banking confiáveis sempre utilizam conexões seguras quando dados sensíveis são solicitados; 

- Verifique o link apresentado na mensagem. Golpistas costumam usar técnicas para ofuscar o link real para o phishing. Ao posicionar o mouse sobre o link, muitas vezes é possível ver o endereço real da página falsa ou código malicioso;

- Desconfie de arquivos anexados à mensagem mesmo que tenham sido enviados por pessoas ou instituições conhecidas (o endereço do remetente pode ter sido falsificado e o arquivo anexo pode estar infectado);

- Antes de abrir um arquivo anexado à mensagem tenha certeza de que ele não apresenta riscos, na dúvida não abra;

- Seja cuidadoso ao acessar links. Procure digitar o endereço diretamente no navegador Web;

- Desconfie se, ao digitar um endereço, você for redirecionado para outro site, que tenta realizar alguma ação suspeita, como abrir um arquivo ou tentar instalar um programa;

- Não acesse links recebidos em spams e não responda mensagens deste tipo. Essas ações sevem para confirmar que seu e-mail é válido, e a tendência é ser mais visado para golpes;

- Sempre que alguém solicitar dados sobre você ou quando preencher algum cadastro, reflita se é realmente necessário que aquela empresa ou pessoa tenha acesso àquelas informações;

- Fique atento a ligações telefônicas e e-mails pelos quais alguém, geralmente falando em nome de alguma instituição, solicita informações pessoais sobre você ou sobre sua empresa, inclusive senhas; 

Abaixo, apresentamos duas situações onde descrevemos ataques usando engenharia social:

Situação 1: Você recebe uma mensagem e-mail, onde o remetente diz ser o gerente ou alguém em nome do departamento de suporte do seu banco. Na mensagem ele diz que o serviço de internet banking está apresentando algum problema e que ele pode ser corrigido se você executar o aplicativo que está anexado à mensagem. A execução desse aplicativo apresenta uma tela semelhante àquela que você utiliza para ter acesso à conta bancária, aguardando que você digite sua senha. Na verdade, este aplicativo está preparado para furtar sua senha de acesso à conta e enviá-la para o atacante.

Situação 2: Um desconhecido liga para a sua casa e diz ser do suporte técnico do seu provedor de internet. Nessa ligação, ele diz que sua conexão apresenta algum problema e, então, pede sua senha para corrigi-lo. Caso você fale sua senha, esse suposto técnico poderá realizar uma infinidade de atividades maliciosas, utilizando a sua conta de acesso à internet e, portanto, relacionando tais atividades ao seu nome.

Como me protejo?

Em casos de engenharia social, o bom senso é essencial. Fique atento para qualquer abordagem, seja via telefone, e-mail, SMS ou whatsapp, onde uma pessoa, em muitos casos falando em nome de uma instituição, solicita informações confidenciais a seu respeito. Procure não fornecer muita informação e não forneça, sob hipótese alguma, informações sensíveis, como senhas ou números de cartões de crédito.