Entrar
Navegação do blog
  1. Premium
  2. Blog
  3. Engenharia Social

Engenharia social: seis dicas para se proteger

Engenharia social: o que é, como se manifesta e dicas para se proteger dos ataques virtuais

Publicado em: 8 de julho de 2024

Categoria Segurança na internetTempo de leitura: 5 minutos

Texto de: Time Serasa

Mídia de marketing digital (anúncio de site, e-mail, rede social, SEO, vídeo, aplicativo móvel) Conceito de comércio eletrônico e compras on-line com ícones, painel Pay Per Click (PPC), desenvolvimento de tecnologia de negócios

Um e-mail anuncia um desconto imperdível na compra de um telefone celular que só dura aquele dia. Outra mensagem parece ser de um amigo pedindo ajuda ou solicitando informações confidenciais. Um alerta do banco avisa sobre movimentações estranhas na conta corrente. Tudo isso são exemplos de técnicas que utilizam engenharia social para extrair dados pessoais todos os dias.

O nome é pouco conhecido, mas a prática é muito popular. Entenda aqui o que é engenharia social, como ela se manifesta e o que fazer para se proteger.

Assista | O que é Phishing e como se proteger?

O que é engenharia social

Engenharia social é uma técnica de manipulação que explora erros, fraquezas e a vulnerabilidade das pessoas para obter vantagens, especialmente financeiras. Trata-se, na prática, de uma forma de fraude que induz as pessoas a fornecer informações privadas, como dados pessoais e senhas, que dão ao golpista acesso praticamente ilimitado a redes, sistemas e contas bancárias.

Apesar de ser mais comum no mundo virtual, a engenharia social também faz vítimas de forma presencial. Isso é muito evidente naqueles casos em que pessoas desconhecidas se aproximam de idosos e aposentados e oferecem ajuda para sacar dinheiro, por exemplo.

Como funciona a engenharia social

  • O ciclo de ataque que utiliza técnicas de engenharia social começa com a persuasão. O criminoso procura alguma forma de convencer a vítima a tomar uma ação específica. Essa ação vai permitir o acesso a informações que possam render benefícios ao golpista. Algumas dessas ações são:
  •  
  • ● clicar em um link;
  • ● visitar algum site;
  • ● fazer algum download;
  • ● efetuar alguma compra;
  • ● passar algum dado relevante;
  • ● enviar dinheiro.

 

Para levar as pessoas a tomar atitudes que não aconteceriam em outras circunstâncias, o criminoso usa diferentes táticas. Uma delas é se aproveitar da boa-fé, ingenuidade ou falta de conhecimento da vítima.

Ele também pode explorar emoções, como curiosidade, medo, raiva ou culpa, ou trazer um senso de urgência. Nesse caso, a armadilha está na pressão: se a pessoa não agir rapidamente, supostamente perderá a oportunidade de ganhar um prêmio, recompensa ou resolver o problema de uma compra não autorizada.

Outra forma ainda é passar credibilidade para conquistar a confiança da vítima. Para isso, ele se apresenta como uma autoridade ou representante de loja ou banco para não levantar suspeitas.

Leia também | Caí em um golpe pela internet: o que fazer?

Tipos de engenharia social

São muitas as ferramentas utilizadas para atingir as vítimas e cometer a fraude. Com certeza, a maioria das pessoas já recebeu ou vai receber um desses ataques.

Confira os mais comuns:

Phishing

O phishing é um dos tipos mais usados pelos criminosos. Por e-mail, o fraudador tenta estabelecer uma comunicação fingindo ser uma empresa legítima (em geral bancos, financeiras e instituições de cartão de crédito).

Para isso utiliza design realista e parecido com o original. A ideia é persuadir a vítima a expor dados pessoais, como RG, senha bancária ou número do cartão de crédito.

Baiting

O baiting abusa da curiosidade natural das pessoas para manipulá-la e explorá-la. Em geral, oferece algo gratuito, exclusivo ou até uma oferta valiosa para convencer a vítima a fazer um download ou clicar em determinado link para, com isso, infectar a vítima com malware.

Scareware

No scareware, os criminosos utilizam-se do medo para assustar a vítima e fazê-la agir de forma precipitada e sem pensar muito. Em geral, isso acontece por meio de avisos ou advertências alarmantes sobre contas que estão comprometidas ou infecções falsas por malware, por exemplo.

A partir daí, o scareware induz a pessoa a comprar um software fraudulento ou divulgar detalhes privados como suas credenciais de conta.

Como se proteger

Muitos usuários não sabem como identificar ataques de engenharia social. Como as técnicas mexem com as emoções e fragilidades das vítimas, então qualquer um pode ser pego em um momento desprevenido.

Essa é a armadilha: é mais difícil impedir essas manobras porque elas estão mais vinculadas à psicologia do que necessariamente à tecnologia.

Confira algumas possibilidades que ajudam a proteger e não cair em golpes.

  1. Verifique o remetente

    Ao receber uma mensagem suspeita, verifique sempre a origem dela. Alguns endereços de e-mail têm letras trocadas ou ausência de elementos oficiais (“com.br” em vez de “gov.br”, por exemplo). O conteúdo das mensagens também pode ter erro de grafia.

    Quando a mensagem vem de um amigo ou está em nome dele, entre em contato por meio de outros canais para confirmar o envio. Afinal, outras pessoas podem estar se passando por eles.

     

  2. Desconfie de ofertas imperdíveis

    Todo mundo gosta de uma boa promoção e de fazer compras pagando valores bem reduzidos. Mas nada vem de graça. O segredo é sempre desconfiar: se a oferta parece boa demais para ser verdade, provavelmente ela é falsa. Esteja sempre atento, pois até dados básicos, como endereço de e-mail, podem ser coletados e vendidos para anunciantes indesejáveis.

     

  3. Jamais abra anexos ou links suspeitos

    Nunca clique em links ou anexos de nenhum e-mail ou mensagem, especialmente se foi enviado em um contexto estranho ou inadequado. Se for o caso, prefira digitar a URL manualmente na barra de endereço. Caso ele pareça vago ou estranho, reconsidere a autenticidade de toda a comunicação.

     

  4. Evite compartilhar dados pessoais e curiosidades sobre sua vida

    Não são apenas os dados pessoais mais óbvios, como nome, data de nascimento e CPF, que não devem ser compartilhados online. Detalhes sobre sua vida privada (e que podem parecer irrelevantes) também precisam de atenção, como o modelo do carro, nome de animais de estimação ou a escola dos filhos.

    Tudo isso ajuda o golpista a saber partes da senha ou respostas para perguntas de segurança.

     

  5. Use autenticação multifator

    As contas online se tornam mais seguras quando vão além da senha. É o caso da autenticação multifator, como biometria, reconhecimento facial ou senhas temporárias enviadas por mensagem de texto.

    Essa estratégia adiciona camadas extras para verificar a identidade do usuário na hora de fazer login em uma conta.

     

  6. Use senhas fortes

    Essa é clássica e eficiente: tenha uma senha diferente para cada conta e faça com que elas sejam complexas, longas e com caracteres de diversos tipos (incluindo maiúsculas, números e símbolos). Se for o caso, use um gerenciador de senhas para armazená-las e ajudá-lo a lembrar de cada uma com segurança.

O Serasa Premium aumenta a segurança online

As técnicas de engenharia social estão por todos os lados. Por isso, acompanhar regularmente tudo que acontece com seus dados é um bom caminho para identificar situações suspeitas.

O Serasa Premium é o serviço de assinatura da Serasa que monitora 24 horas por dia o CPF e CNPJ do assinante. Traz informações em tempo real e alertas sobre consultas ao CPF, variação do Serasa Score, vazamento de dados na Dark Web e muito mais. 

  • O serviço avisa sempre que: 

  • ●      seu CPF e CNPJ for consultado; 
  • ●      seu Serasa Score variar; 
  • ●      uma negativação* estiver prestes a acontecer (antes do comunicado oficial, que é gratuito e para todos os consumidores); 
  • ●      seus dados vazarem na Dark Web. 


A assinatura Premium também proporciona atendimento exclusivo na Serasa e permite o bloqueio do Serasa Score para consultas de empresas. 

serasa score
Conheça o Serasa Premium

*Importante: a Serasa comunica previamente todos os consumidores sobre negativações em seu CPF, sem qualquer custo. O alerta de negativações do Serasa Premium é apenas uma funcionalidade adicional desse serviço (que permite a ciência em tempo real), mas não substitui o comunicado oficial.

Compartilhe o artigo

Este artigo foi útil?

Escolha de 1 a 5 estrelas para avaliar

Artigos relacionados