Ataques de Engenharia Social são uma das principais ameaças dentro de uma organização, pois manipulam pessoas verídicas para compartilhar informações que não deveriam compartilhar, baixar software que não deveriam baixar, visitar sites que não deveriam visitar, enviar dinheiro para criminosos ou cometer outros erros que comprometam sua segurança pessoal ou organizacional.
Introdução
A engenharia social é uma prática que se baseia na manipulação psicológica das pessoas para obter informações confidenciais, acesso a sistemas ou realizar ações prejudiciais. Essa técnica explora a natureza humana, muitas vezes enganando indivíduos através de interações sociais. Este documento tem como objetivo conscientizar e fornecer orientações sobre como as(os) colaboradoras(es) podem se proteger contra ataques de engenharia social.
Este guia é um recurso inicial para aumentar a conscientização sobre engenharia social e fortalecer a segurança das informações. A colaboração de todos é fundamental para manter a integridade e segurança de dados e operações.
Conhecendo os Tipos de Ataques de Engenharia Social
-
Phishing:
E-mails fraudulentos que induzem as pessoas a divulgar informações pessoais ou instalar malware (vírus de computador). -
Pretexting:
Criar uma história fictícia para obter informações confidenciais. -
Quid pro quo:
Oferecer algo em troca de informações, como suporte técnico falso. -
Baiting:
Dispositivos USB ou links maliciosos são deixados para que as pessoas os encontrem e os usem. -
Impersonação:
Fingir ser alguém de confiança para obter informações.
Conhecendo as Táticas de Ataques de Engenharia Social
-
Fazer-se passar por uma marca confiável:
Golpistas frequentemente se fazem passar por empresas conhecidas ou confiáveis para enganar as vítimas. Isso pode incluir a criação de sites falsos ou e-mails que imitam comunicações legítimas. -
Fazer-se passar por uma agência governamental ou figura de autoridade:
Explorando o respeito ou medo da autoridade, os atacantes podem fingir ser de agências governamentais, figuras políticas ou celebridades para obter informações ou induzir ações prejudiciais. -
Induzir medo ou senso de urgência:
Mensagens alarmantes ou apressadas podem levar as vítimas a agir sem pensar, como avisos sobre vírus em dispositivos ou transações não autorizadas. -
Apelar à ganância:
Exemplos clássicos incluem ofertas financeiras falsas, como o famoso golpe do "Príncipe Nigeriano", que promete grandes recompensas em troca de informações financeiras. -
Apelar para a utilidade ou curiosidade:
Mensagens que parecem ser de amigos ou redes sociais podem incentivar as vítimas a clicar em links ou baixar arquivos maliciosos, explorando sua boa vontade ou curiosidade.
Dicas para Identificar e Evitar Ataques de Engenharia Social
-
Desconfie de comunicações não solicitadas:
Não clique em links ou forneça informações pessoais em e-mails, mensagens ou chamadas inesperadas. -
Verifique a identidade:
Confirme sempre a identidade de quem solicita informações. Verifique e-mails e domínios para garantir autenticidade. -
Mantenha senhas fortes e atualizadas:
Utilize senhas robustas e altere-as regularmente para evitar acesso não autorizado. -
Use ferramentas aprovadas:
Trabalhe apenas em sistemas e ferramentas validados pela equipe de segurança da organização. -
Mantenha softwares atualizados:
Garanta que seu sistema operacional e antivírus estejam sempre atualizados para proteger contra vulnerabilidades conhecidas. -
Reporte atividades suspeitas:
Qualquer comportamento estranho deve ser reportado imediatamente à equipe de segurança da organização para avaliação e contenção.
Procedimentos de Resposta a Incidentes de Engenharia Social
-
Isolamento Imediato:
Desconecte o sistema afetado da rede e informe imediatamente o incidente à equipe de segurança. -
Notificação:
Forneça informações completas sobre o incidente para que a equipe possa iniciar uma investigação eficaz. -
Monitoramento contínuo:
Após um incidente, continue monitorando para garantir que a ameaça foi eliminada e prevenir novos ataques.