Um cenário hipotético: um analista está trabalhando e recebe um email com uma oferta de um serviço que parece ser extremamente vantajoso para sua empresa. Para acessá-la, ele deve clicar em um link. Em dúvida, ele clica. Mas em vez do acesso a uma página ou landing page, o que ele recebe é um alerta do firewall. Nosso hipotético analista acaba de ser vítima de uma técnica de Engenharia Social, uma estratégia levada a cabo por cibercriminosos para enganar as pessoas e conseguir que revelem informações sensíveis como senhas e dados pessoa ou que realizem ações que comprometam a segurança, como clicar em links ou instalar softwares maliciosos.
Trata-se de problema crescente no mundo corporativo. Pesquisa da consultoria Check Point Research feita em 2024 aponta que os ataques resultantes de engenharia social aumentaram 17% em todo o mundo, enquanto estudo da Verizon revela que 82% das violações de segurança nas corporações envolvem erros de funcionários.
Como a Engenharia Social se dá na prática? Entre as práticas mais comuns está o phishing (que foi nosso exemplo no início do texto). Nessa categoria, os criminosos utilizam e-mails, mensagens ou sites falsos com aparência legítima para enganar o destinatário. Normalmente, a comunicação simula vir de um banco, empresa ou colega de trabalho e convida o usuário a clicar em um link fraudulento ou abrir um anexo malicioso.
Uma variação é o vishing. Ela ocorre por meio de ligações telefônicas. Nesse caso, o criminoso se passa por alguém de confiança, como um técnico de suporte, e solicita dados confidenciais ou ainda induz a vítima a realizar alguma ação, como transferir dinheiro. Já o smishing e o pretexting seguem a mesma lógica do phishing, mas utilizam mensagens de texto. Nos ataques contra empresas, por exemplo, é comum o envio de mensagens em que o cibercriminoso se passa por um diretor ou gerente e pede dados de cartões de créditos corporativos, dizendo que está em uma situação urgente. Finalmente, há também o baiting, que envolve o uso de “iscas” físicas ou digitais, como pen drives infectados deixados propositalmente em locais públicos ou no ambiente corporativo. Ao conectar o dispositivo ao computador, o usuário instala inadvertidamente um malware no sistema.
Como se defender?
A principal estratégia é investir na conscientização dos funcionários. Para isso, os treinamentos devem procurar engajar, e não punir. Para isso, eles precisam ser realizados com frequência, e devem ser idealmente pensados de acordo com as necessidades de cada empresa. A segurança digital é uma responsabilidade coletiva e começa com a conscientização individual. Os funcionários devem receber a mensagem de que os mesmos cuidados que tomam em suas vidas pessoais contra golpes devem valer para suas vidas corporativas.
Além do treinamento, as empresas devem investir em plataformas digitais integradas, que consigam analisar dados e fornecer insights para a tomada de decisões. Onde os ataques estão ocorrendo mais? Esse tipo de cuidado diminuirá em muito a possibilidade de que uma empresa paralise suas atividades em virtude de um ataque.
A engenharia social é sofisticada e, muitas vezes, difícil de detectar. No entanto, com informação, atenção e atitudes preventivas, é possível evitar que esses golpes tenham sucesso. Estar atento é a melhor forma de proteção.
*Coluna escrita por Renato Batista, formado em Administração de Empresas e Sistemas de Informação e com MBAs em Marketing e Cyber Security Governance & Management, fundador e CEO da Netglobe Cyber Security
As opiniões transmitidas pelo colunista são de responsabilidade do autor e não refletem, necessariamente, a opinião da BM&C News.
Leia mais colunas do autor aqui.