Engenharia social
Engenharia social é a arte de manipular pessoas para que elas divulguem informações confidenciais. Todo crime cibernético começa com um ataque de engenharia social. Vamos ver como funciona e como te protegeres contra isso.
Developer
Introdução
Quando se trata de segurança cibernética, a maioria das pessoas pensa em ataques técnicos, como injeção de SQL, cross-site scripting, ataques man-in-the-middle ou malware. No entanto, os ataques mais comuns e eficazes muitas vezes não são técnicos. A engenharia social é a arte de manipular pessoas para que divulguem informações confidenciais. Todo crime cibernético começa com um ataque de engenharia social.
Aqui está a definição da Wikipedia:
No contexto da segurança da informação, a engenharia social é a manipulação psicológica de pessoas para que realizem ações ou divulguem informações confidenciais. Um tipo de golpe de confiança com o objetivo de recolher informações, fraudar ou obter acesso ao sistema, difere de um golpe tradicional em que geralmente é um dos vários passos de um esquema de fraude mais complexo.[1] Também foi definido como "qualquer ato que influencie uma pessoa a tomar uma ação que pode ou não ser do seu interesse."
Os tipos de informações que esses criminosos procuram podem variar, mas quando os alvos são pessoas, os criminosos geralmente tentam enganar-te para que divulgues as tuas senhas, informações pessoais ou ganhem acesso ao teu computador para instalar secretamente software malicioso - que lhes dará acesso às tuas senhas e informações bancárias, além de lhes permitir controlar o teu computador.
Como funciona a engenharia social?
Os ataques de engenharia social acontecem em uma ou mais etapas. A maioria dos ataques de engenharia social depende de comunicação real entre atacantes e vítimas. É comum que as vítimas sejam alvo de múltiplos atacantes por um período prolongado, e os ataques são cuidadosamente elaborados para evitar a deteção. Um ataque bem-sucedido envolve os seguintes passos:
%3btext-align:center%3b%7d%23mermaid-0 .edgeLabel p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .edgeLabel rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .labelBkg%7bbackground-color:rgba(232%2c 232%2c 232%2c 0.5)%3b%7d%23mermaid-0 .cluster rect%7bfill:%23ffffde%3bstroke:%23aaaa33%3bstroke-width:1px%3b%7d%23mermaid-0 .cluster text%7bfill:%23333%3b%7d%23mermaid-0 .cluster span%7bcolor:%23333%3b%7d%23mermaid-0 div.mermaidTooltip%7bposition:absolute%3btext-align:center%3bmax-width:200px%3bpadding:2px%3bfont-family:arial%2csans-serif%3bfont-size:12px%3bbackground:hsl(80%2c 100%25%2c 96.2745098039%25)%3bborder:1px solid %23aaaa33%3bborder-radius:2px%3bpointer-events:none%3bz-index:100%3b%7d%23mermaid-0 .flowchartTitleText%7btext-anchor:middle%3bfont-size:18px%3bfill:%23333%3b%7d%23mermaid-0 rect.text%7bfill:none%3bstroke-width:0%3b%7d%23mermaid-0 .icon-shape%2c%23mermaid-0 .image-shape%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3btext-align:center%3b%7d%23mermaid-0 .icon-shape p%2c%23mermaid-0 .image-shape p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bpadding:2px%3b%7d%23mermaid-0 .icon-shape rect%2c%23mermaid-0 .image-shape rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 :root%7b--mermaid-font-family:arial%2csans-serif%3b%7d%3c/style%3e%3cg%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointEnd'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 0 L 10 5 L 0 10 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='4.5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointStart'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 5 L 10 10 L 10 0 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='11' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleEnd'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='-1' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleStart'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='12' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossEnd'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='-1' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossStart'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cg class='root'%3e%3cg class='clusters'/%3e%3cg class='edgePaths'%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_A_B_0' d='M133.058%2c62L127.888%2c66.167C122.718%2c70.333%2c112.379%2c78.667%2c107.209%2c86.333C102.039%2c94%2c102.039%2c101%2c102.039%2c104.5L102.039%2c108'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_B_C_1' d='M102.039%2c166L102.039%2c170.167C102.039%2c174.333%2c102.039%2c182.667%2c102.039%2c190.333C102.039%2c198%2c102.039%2c205%2c102.039%2c208.5L102.039%2c212'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_C_D_2' d='M102.039%2c270L102.039%2c274.167C102.039%2c278.333%2c102.039%2c286.667%2c106.69%2c294.582C111.341%2c302.497%2c120.642%2c309.993%2c125.293%2c313.742L129.944%2c317.49'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_D_A_3' d='M200.059%2c320L205.229%2c315.833C210.399%2c311.667%2c220.738%2c303.333%2c225.908%2c290.5C231.078%2c277.667%2c231.078%2c260.333%2c231.078%2c243C231.078%2c225.667%2c231.078%2c208.333%2c231.078%2c191C231.078%2c173.667%2c231.078%2c156.333%2c231.078%2c139C231.078%2c121.667%2c231.078%2c104.333%2c226.427%2c91.918C221.777%2c79.503%2c212.475%2c72.007%2c207.824%2c68.258L203.174%2c64.51'/%3e%3c/g%3e%3cg class='edgeLabels'%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3cg class='nodes'%3e%3cg transform='translate(166.55859375%2c 35)' id='flowchart-A-0' class='node default'%3e%3crect height='54' width='125.828125' y='-27' x='-62.9140625' style='' class='basic label-container'/%3e%3cg transform='translate(-32.9140625%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='65.828125'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3ePesquisa%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(102.0390625%2c 139)' id='flowchart-B-1' class='node default'%3e%3crect height='54' width='89.34375' y='-27' x='-44.671875' style='' class='basic label-container'/%3e%3cg transform='translate(-14.671875%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='29.34375'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eIsca%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(102.0390625%2c 243)' id='flowchart-C-3' class='node default'%3e%3crect height='54' width='188.078125' y='-27' x='-94.0390625' style='' class='basic label-container'/%3e%3cg transform='translate(-64.0390625%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='128.078125'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eJogos emocionais%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(166.55859375%2c 347)' id='flowchart-D-5' class='node default'%3e%3crect height='54' width='130.265625' y='-27' x='-65.1328125' style='' class='basic label-container'/%3e%3cg transform='translate(-35.1328125%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='70.265625'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eExecu%c3%a7%c3%a3o%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/svg%3e)
-
Pesquisa: O atacante reúne informações sobre o alvo, como potenciais pontos de entrada e protocolos de segurança fracos, necessários para realizar o ataque. No mundo de hoje, é muito fácil encontrar informações sobre uma pessoa online. Por exemplo, consegues encontrar o endereço de email, número de telefone e até o endereço residencial de uma pessoa no perfil de redes sociais dela. Também podes descobrir onde ela trabalha, o que faz e com quem trabalha. Essas informações podem ser usadas para criar um email de phishing ou uma ligação telefónica muito convincente na próxima etapa.
-
Isca: O atacante usa essas informações para criar um cenário crível para atrair a vítima para fazer aquilo que o atacante deseja. Por exemplo, o atacante pode ligar para a vítima e se passar por um agente de atendimento ao cliente do banco dela, pedindo para que verifique as informações da conta. Ou, pode ligar para um funcionário de uma empresa e se passar por um suporte de TI, pedindo para que redefina a senha.
-
Jogos emocionais: O atacante joga com as emoções para que a vítima aja imediatamente, sem pensar. Por exemplo, o atacante pode ameaçar a vítima com multas, penalidades ou ações legais se não cumprir o pedido naquele momento. Ou, pode apelar para a ganância da vítima, prometendo uma grande quantia de dinheiro ou recompensa em troca de ajuda.
-
Execução: O atacante executa o ataque, o que pode assumir diversas formas. Por exemplo, pode:
- Enganar a vítima para que instale malware no seu computador.
- Enganar a vítima para que revele informações sensíveis por email ou telefone.
- Enganar a vítima para que envie dinheiro ao atacante.
- Enganar a vítima para que clique em um link malicioso em um email ou mensagem de texto.
Os passos acima podem acontecer em um período muito curto de tempo ou podem acontecer ao longo de semanas ou meses. O atacante pode mirar em uma pessoa ou pode atacar um grupo de pessoas. A conexão pode ser estabelecida através de uma chamada telefónica, email, mensagem de texto ou conversas em redes sociais. Mas isso acaba sempre numa ação que tomas, como partilhar as tuas informações ou expor-te a malware.
Tipos de ataques de engenharia social
Existem muitos tipos de ataques de engenharia social, e cada um tem seu próprio propósito e objetivo. Aqui estão alguns dos tipos mais comuns de ataques de engenharia social:
Phishing em massa
Phishing em massa é o tipo mais comum de ataque de engenharia social. É um tipo de ataque de phishing onde o atacante envia milhões de emails para pessoas aleatórias, esperando que algumas delas caiam no golpe. Os emails geralmente são enviados de um endereço de email falso e muitas vezes contêm um link para um website malicioso ou um anexo malicioso. O objetivo do ataque é enganar a vítima para que clique no link ou abra o anexo, o que instala malware no seu computador.
Exemplo
Imagina que recebes um email não solicitado na tua caixa de entrada com uma linha de assunto tentadora que afirma que ganhaste um prémio em dinheiro substancial. O título do email afirma que ganhaste $1.000.000 e que precisas de reclamar o teu prémio imediatamente.
Ao abrir o email, encontras uma mensagem a parabenizar-te pela tua suposta vitória na lotaria. Pode incluir promessas extravagantes, como uma quantia de dinheiro que muda a vida. O email costuma conter um link ou informações de contacto para reclamares o teu prêmio.
Este email exibe sinais clássicos de um ataque de phishing em massa:
-
Não solicitado: Nunca participaste em nenhuma lotaria ou concurso, então não deverias ter ganho nenhum prémio.
-
Bom demais para ser verdade: A promessa de uma grande quantia de dinheiro sem razão aparente é uma tática comum usada para atrair as vítimas.
-
Ação urgente: O email pode afirmar que deves agir rapidamente para reclamar teu prémio, criando uma sensação de urgência.
-
Pedidos de informações pessoais ou dinheiro: Para "reclamares" o teu prémio, podes ser solicitado a fornecer informações pessoais, pagar taxas ou transferir dinheiro para cobrir supostos custos de processamento.
Spear Phishing
Spear phishing é um tipo de ataque de phishing onde o atacante mira em uma pessoa específica ou grupo de pessoas. O atacante faz pesquisa sobre o alvo e então envia-lhes um email personalizado que parece vir de uma fonte confiável. O email geralmente contém um link para um website malicioso ou um anexo malicioso. O objetivo do ataque é enganar a vítima para que clique no link ou abra o anexo, o que instala malware no seu computador. Ao contrário do phishing em massa, ataques de spear phishing são altamente direcionados e personalizados, sendo muito mais prováveis de serem bem-sucedidos.
Exemplo
Neste cenário de spear phishing, recebes um email que parece ser de um colega ou alguém que conheces. O email contém uma linha de assunto que sugere ser um aviso de segurança importante. O que torna o spear phishing diferente do phishing regular é que o atacante visa um indivíduo específico e muitas vezes possui algum conhecimento sobre o alvo.
Ao abrir o email, encontras uma mensagem que afirma ser do teu consultor de TI, Charles. O email menciona-te pelo nome completo e menciona uma alegada violação de segurança na tua conta de trabalho. O email solicita que cliques num link ou façam download de um anexo para garantir a segurança da tua conta. Clicas no link e ele leva-te para um website que parece exatamente com a página de login da tua empresa. Inseres o nome de usuário e senha, e agora o atacante tem acesso à tua conta.
Este email exibe sinais clássicos de um ataque de spear phishing:
-
Personalização: O email menciona-te pelo nome completo, dando-lhe uma aparência de legitimidade.
-
Urgência: A mensagem transmite uma sensação de urgência, sugerindo que precisas de agir imediatamente para resolver um problema de segurança.
-
Solicitação de Ação: O email pede para que cliques num link ou faças download de um anexo. Estes links ou anexos muitas vezes contêm malware ou sites de phishing.
Baiting
Baiting é um tipo de ataque de engenharia social onde o atacante oferece algo atraente para a vítima em troca das informações pessoais dela. Por exemplo, o atacante pode oferecer um vale-presente grátis ou um download de filme gratuito em troca do endereço de email da vítima. O objetivo do ataque é enganar a vítima para que ela divulgue as suas informações pessoais, que o atacante pode então utilizar para roubar a identidade dela ou cometer fraude. O ataque tira vantagem da curiosidade ou ganância da vítima.
Exemplo
Neste cenário de baiting, os atacantes deixam um pendrive numa área pública, como uma cafetaria ou um estacionamento. O pendrive é rotulado como "Confidencial" ou "Privado" e contém um programa malicioso que instalará malware no computador da vítima quando ela o conectar. O objetivo do ataque é enganar a vítima para que conecte o pendrive ao livro do seu computador, o que instalará malware no sistema dela.
Conectas o pendrive ao teu computador, esperando encontrar informações valiosas. Parece conter um ficheiro chamado "Confidential_Project_Data.csv". Ao tentares abrir o ficheiro, ele aciona um script oculto que infecta o teu computador com malware.
Neste ataque de baiting:
- A isca é o pendrive, que está rotulado como "Confidencial" ou "Privado", tornando-o atraente para qualquer pessoa que o encontre, especialmente em um ambiente profissional ou de trabalho.
- Fator de curiosidade: A curiosidade humana é explorada como uma vulnerabilidade, incitando as pessoas a tomar ações que de outro modo evitariam.
Watering Hole
Watering Hole é um tipo de ataque de engenharia social em que o atacante visa um grupo específico de pessoas ao infectar um website que elas provavelmente visitarão. Por exemplo, o atacante poderia infectar um site de notícias popular ou um site de rede social. O objetivo do ataque é enganar a vítima para que visite o website infectado, o que irá instalar malware no computador dela.
Exemplo
Um grupo de atacantes visa comprometer a segurança de uma associação específica da indústria que representa uma comunidade de profissionais de cibersegurança. Os atacantes pretendem roubar dados sensíveis e infiltrar-se nos sistemas de especialistas em cibersegurança.
Os atacantes identificam um website conhecido e respeitado, usado por essa comunidade. Neste caso, escolhem o website oficial da associação da indústria de cibersegurança. Os atacantes identificam e exploram uma vulnerabilidade no website da associação. Eles podem usar métodos técnicos, como injeção de SQL ou scripting entre sites (XSS), para obter acesso não autorizado ao sistema de gestão de conteúdo do site. Depois de obter acesso ao website, os atacantes injetam código malicioso nas páginas do site. Esse código é projetado para executar malware nos dispositivos dos visitantes das páginas comprometidas.
Então os atacantes aguardam que os profissionais de cibersegurança visitem o website. Eles sabem que muitos especialistas em cibersegurança verificam regularmente o site em busca de atualizações, notícias e recursos.
À medida que os profissionais de cibersegurança visitam o site da associação da indústria para ler artigos, assistir a webinars ou fazer o download de recursos, sem saber, expõem-se ao malware injetado. O malware pode roubar informações sensíveis, como credenciais de login ou dados pessoais. Ele também pode fornecer aos atacantes um ponto de apoio para lançar ataques adicionais, incluindo spear phishing ou exploração de vulnerabilidades conhecidas nos sistemas das vítimas.
Neste ataque de Watering Hole:
- O ponto de água é o website da associação da indústria, que é um destino popular para profissionais de cibersegurança.
- Público alvo: Os atacantes miram num grupo específico de pessoas, neste caso, profissionais de cibersegurança.
- Exploitar a confiança: Os atacantes exploram a confiança que os profissionais de cibersegurança têm no website da associação da indústria.
- Exploração de vulnerabilidades: Os atacantes exploram vulnerabilidades no sistema de gestão de conteúdo do website para injetar código malicioso nas páginas do site.
Como te protegeres de ataques de engenharia social
Proteger-te de ataques de engenharia social requer uma combinação de conscientização, ceticismo e melhores práticas. Aqui estão alguns passos essenciais para te protegeres contra ataques de engenharia social:
-
Educa-te: Aprende sobre as táticas comuns de engenharia social, incluindo phishing, pretexto, baiting e tailgating. Mantém-te informado sobre as últimas técnicas e tendências de engenharia social.
-
Verifica a identidade: Verifica sempre a identidade de indivíduos ou organizações que solicitam informações pessoais ou sensíveis. Não confies apenas em números de telefone, emails ou websites fornecidos pela pessoa que te contata. Usa informações de contato oficiais obtidas de fontes confiáveis de forma independente.
-
Questiona os pedidos: Sê cético quanto a pedidos não solicitados de informações pessoais, financeiras ou confidenciais. Organizações legítimas geralmente não solicitam essas informações via email ou telefone. Se alguém pedir informações sensíveis, pergunta por que são necessárias e como serão usadas.
-
Cuidado com a urgência e pressão: Engenheiros sociais frequentemente criam uma sensação de urgência para te pressionar a tomar decisões sem pensar. Reserva um tempo para considerar os pedidos ou ofertas. Verifica a legitimidade da situação.
-
Protege o acesso físico: Protege o teu espaço de trabalho de acessos não autorizados. Bloqueia o teu computador e dispositivos quando não estiverem em uso. Sê cauteloso ao permitir que indivíduos desconhecidos entrem em áreas seguras.
-
Treinamento para funcionários: Se fazes parte de uma organização, fornece conscientização sobre engenharia social para os funcionários. Ensina os funcionários a reconhecer e reportar atividades suspeitas.
-
Usa fontes confiáveis: Obtém informações de fontes confiáveis e verificadas. Evita confiar em websites não oficiais ou notícias não verificadas.
-
Criptografa os dados: Criptografa dados sensíveis, tanto em repouso quanto durante a transmissão, para protegê-los de acessos não autorizados.
Pratica comportamentos seguros online
Para desenvolvedores e donos de negócios. Se estás a desenvolver uma aplicação web, deves seguir as melhores práticas para proteger os teus usuários de ataques de engenharia social. Existem várias maneiras de ativar segurança adicional para a tua aplicação:
- Usa senhas fortes. A maioria das pessoas usa senhas fracas que são fáceis de adivinhar com base nas suas informações pessoais. Para implementar um sistema de gestão de identidade de usuário seguro e confiável, deves habilitar políticas de senhas fortes. Isso prevenirá os usuários de usarem senhas fracas sem as devidas medidas de segurança.
- Ativa a autenticação multifatorial. A autenticação multifatorial (MFA) adiciona uma camada extra de segurança à conta dos teus usuários ao exigir que eles insiram um código no telemóvel ou em outro dispositivo, além da senha. Isso torna muito mais difícil para os atacantes acederem à conta dos teus clientes. Mesmo que as senhas dos teus clientes sejam comprometidas, os atacantes não conseguirão aceder às contas sem o segundo fator.
- Criptografa os dados dos usuários. A criptografia dos dados dos usuários é uma boa forma de protegê-los de acessos não autorizados. Se um atacante conseguir aceder ao teu banco de dados, ele não conseguirá ler os dados sem a chave de criptografia. Isso os impedirá de roubar as informações pessoais dos teus clientes.
- Roda as chaves de acesso frequentemente. Chaves de acesso são usadas para acessar os recursos da tua aplicação. Se um atacante conseguir aceder às tuas chaves de acesso, ele poderá acessar os recursos da tua aplicação sem a tua permissão. Para evitar isso, deverias rodar as chaves de acesso frequentemente.
- Usa sistemas modernos de autenticação. Protocolos de autenticação modernos como OAuth 2.0 e OpenID Connect são muito mais seguros do que protocolos antigos como SAML e WS-Federation. Eles usam algoritmos criptográficos modernos e são muito mais difíceis de atacar.
- Pré-regista as URLs de redirecionamento de login e dispositivos Se estiveres a usar OAuth 2.0 ou OpenID Connect para a autenticação, deverias pré-registar as URLs de redirecionamento de login e dispositivos. Isso impedirá que atacantes usem as contas dos teus clientes para entrarem na tua aplicação a partir dos seus próprios dispositivos.