Em um sentido mais amplo, qualquer tipo de manipulação ligada à psicologia comportamental pode ser considerada engenharia social. No entanto, o conceito nem sempre está relacionado a atividades criminosas ou fraudulentas. Na verdade, a engenharia social está sendo amplamente utilizada e estudada em diversos contextos, em campos como ciências sociais, psicologia e marketing.
Quando se trata de segurança cibernética, a engenharia social é utilizada com segundas intenções. Se refere a um conjunto de atividades maliciosas que tentam manipular as pessoas a tomar ações prejudiciais como revelar informações pessoais ou confidenciais que podem ser usadas posteriormente contra elas mesmas ou contra sua empresa. A fraude realizada por falsidade ideológica é uma consequência comum desses tipos de ataques e, em muitos casos, pode levar a perdas financeiras significativas.
Como funciona?
O medo, a ganância, a curiosidade e até mesmo a disposição de ajudar os outros se voltam contra as vítimas através de diferentes maneiras. Entre os vários tipos de engenharia social maliciosa, o phishing é certamente um dos exemplos mais comuns e conhecidos.
Phishing
Os emails de Phishing muitas vezes imitam uma correspondência de uma empresa legítima, como uma rede bancária nacional, uma loja online conhecida ou um provedor de email. Em alguns casos, esses emails “clones” avisam o usuário que sua conta precisa ser atualizada ou apresentou algum tipo de atividade incomum, exigindo que eles forneçam informações pessoais como forma de confirmar a sua identidade e regularizar sua conta. Muitas vezes a vítima clica sem hesitar e navega para um site falso para fornecer seus dados pessoais solicitados. Neste ponto, a informação já estará nas mãos dos hackers.
Scareware
Técnicas de engenharia social também são aplicadas para espalhar o chamado Scareware. Como o nome sugere, scareware é um tipo de malware projetado para assustar e chocar os usuários. Eles normalmente envolvem a criação de falsos alarmes que tentam enganar as vítimas e convencê-las a instalar um software fraudulento que pareça legítimo ou a acessar um site que infecta seu sistema. Essa técnica geralmente depende do medo dos usuários de ter seu sistema comprometido, convencendo-os a clicar em um banner ou pop-up da web. As mensagens geralmente dizem algo do tipo: "Seu sistema está infectado, clique aqui para limpá-lo."
Baiting
Baiting é um termo utilizado com o significado de “isca”. É outro método de engenharia social que causa problemas para muitos usuários desatentos. Envolve o uso de iscas para atrair vítimas com base em sua ganância ou curiosidade. Por exemplo, os golpistas podem criar um site que oferece algo de graça, como arquivos de música, vídeos ou livros. Mas, para acessar esses arquivos, os usuários são obrigados a criar uma conta, fornecendo suas informações pessoais. Em alguns casos, não há a necessidade de uma conta pois os arquivos são diretamente infectados por malwares que invadem o sistema do computador da vítima e coletam seus dados pessoais.
Esquemas de Baiting também podem ocorrer no mundo real através do uso de pen drives e discos rígidos externos (HDs). Os golpistas podem intencionalmente deixar os dispositivos infectados em algum lugar público para que qualquer pessoa curiosa pegue para verificar o conteúdo, infectando seu computador pessoal.
Engenharia social e criptomoedas
Como prevenir ataques de engenharia social
Como mencionado, os golpes de engenharia social funcionam porque apelam às fraquezas da natureza humana. Eles costumam usar o medo como um motivador, induzindo as pessoas a agir imediatamente, a fim de se proteger (ou proteger seu sistema) de uma ameaça que não é real. Os ataques também contam com a ganância humana, atraindo vítimas para vários tipos de fraudes de investimento. Por isso, é importante ter em mente que, se uma oferta parece boa demais para ser verdade, ela provavelmente é uma fraude.
Embora alguns golpistas sejam sofisticados, outros cometem erros perceptíveis. Alguns e-mails de phishing e até mesmo banners de scareware, geralmente contêm erros de sintaxe ou palavras incorretas e só são eficazes contra usuários que não prestam atenção suficiente à gramática e à ortografia. Por isso, fique atento.
Para evitar ser vítima de ataques de engenharia social, você deve considerar as seguintes medidas de segurança:
- Procure educar a si mesmo, a sua família e amigos. Ensine-os sobre os casos comuns de engenharia social maliciosa e informe-os sobre os princípios gerais de segurança.
- Seja cauteloso com anexos de e-mail e links. Evite clicar em anúncios e sites de origem desconhecida;
- Instale um antivírus confiável e mantenha seus aplicativos de software e sistema operacional atualizados;
- Utilize soluções de autenticação multifator sempre que puder para proteger suas contas de e-mail e outros dados pessoais. Configure a autenticação de dois fatores (2FA) em sua conta Binance.
- Para empresas: considere treinar seus funcionários para serem capazes de identificar e prevenir ataques de phishing e esquemas de engenharia social.
Considerações finais
Os criminosos estão constantemente à procura de novos métodos para enganar os usuários, com o objetivo de roubar seus fundos e informações confidenciais, por isso é muito importante educar a si mesmo e àqueles ao seu redor. A Internet oferece um refúgio para esses tipos de golpes, e eles são particularmente freqüentes no ambiente das criptomoedas. Seja cauteloso e fique alerta para evitar cair em armadilhas de engenharia social.
Fique ligado para mais conteúdo e não se esqueça de conferir nossos outros artigos e vídeos na Binance Academy!