Em qualquer sistema de segurança da informação o elo mais fraco é o ser humano, o qual possui traços comportamentais e psicológicos que o tornam vulnerável a esse tipo de ataque. Dentre essas características, destacam-se as seguintes: Vaidade pessoal / profissional; Querer ajudar / ser útil; Persuasão emocional; Redes Sociais; Querer ter vantagem; Colocar informação no lixo.
Os riscos da Engenharia Social são significativamente altos e as organizações devem abordar essas situações aos seus usuários, pois são utilizadas diversas técnicas elaboradas para se ter êxito nesses ataques, dentre elas se destacam as seguintes:
Vírus que se espalham por e-mail: Criadores de vírus geralmente usam e-mail para a propagação de suas criações. Na maioria dos casos, é necessário que o usuário ao receber o e-mail execute o arquivo em anexo para que seu computador seja contaminado. O criador do vírus pensa então em uma maneira de fazer com que o usuário clique no anexo. Um dos métodos mais usados é colocar um texto que desperte a curiosidade do usuário.
E-mails falsos (spam): Este é um dos tipos de ataque de engenharia social mais comuns e é usado principalmente para obter informações financeiras da pessoa, como número de conta-corrente e senha. A tática usada é a seguinte: o criminoso adquire uma lista de e-mails usados para SPAM que contém milhões de endereços, depois vai a um site de um banco muito conhecido, copia o layout da página e o salva em um site provisório, que tem a url semelhante ao site do banco, sendo que o engenheiro social desenvolve um site com o layout extremamente semelhante ao do banco.
Ataques de engenharia social são difíceis de se defender, porque são projetados para atacarem as características humanas inatas, contudo algumas práticas podem ser adotadas para evitar o sucesso desses ataques:
- Confira a fonte que está solicitando o dado para você;
- Questione sobre o que a fonte sabe sobre você;
- Mantenha a calma e verifique os dados;
- Peça identificação das pessoas nos lugares e use um bom filtro de spam.
- Realize treinamentos sobre Segurança da Informação.
“Como Sociedade e sem Privacidade vamos perder a nossa Identidade, assim proteger os Dados Pessoais é atualmente um dos pilares mais Importantes do Contrato Social!” Mário Peixinho – DPO
