Como vencer os golpes de engenharia social

David Strom 25 mai 2022

O phishing nunca deixou de estar presente nos cibercrimes. Estamos todos sobrecarregados de trabalho e, por isso, podemos cometer mais erros de segurança.

Se você já ouviu falar do processo de engenharia social, a capacidade de um cibercriminoso para induzir você a revelar seus dados privados, então você já pode ter se encontrado a hacker ética Rachel Tobac*. Ela é a CEO da SocialProof Security e membro do conselho da Women in Security and Privacy*. Eu assisti virtualmente a uma das suas mais recentes palestras, durante a qual explicou as suas funções e deu algumas sugestões sobre como todos podemos melhorar a nossa segurança pessoal e tornar o trabalho dos cibercriminosos mais difícil.

Tobac realizou algumas acrobacias de segurança* no passado, como invadir as contas de uma reportagem da CNN ao vivo e roubar a sua milhagem numa companhia aérea. “Faço hacking ético para que as pessoas possam entender como os cibercriminosos pensam e espero que você não cometa os mesmos erros”, disse ela ao público.

Durante sua palestra, ela mostrou o vídeo dessa façanha e depois revisou o seu trabalho. Nesse incidente em particular, ela não falou diretamente com o repórter, mas aproveitou as informações que havia coletado de fontes públicas, como o aniversário, o endereço de e-mail e o endereço residencial dele. Usando um aplicativo de troca de voz e um número de telefone falso, Tobac conseguiu obter mais informações e acabou transferindo milhares de pontos de companhias aéreas para a sua própria conta.

A palestra de Tobac é oportuna, porque, como ela diz, “Phishing é algo ainda mais comum agora porque muitas pessoas optaram por uma vida criminosa e porque a pandemia se tornou uma isca para os golpes de phishing bem-sucedidos. Estamos todos sobrecarregados e, por isso, podemos cometer mais erros de segurança”.


Leitura adicional: Uma entrevista com um hacker de chapéu branco*.


Ela falou sobre estar ciente dos “golpes de hackers preguiçosos”. São golpes de baixo custo que incluem alertas para o envio de encomendas que nunca existiram, falsas chamadas de suporte técnico, golpes de alguém fingindo ser o seu banco, golpes de cartão-presente ou solicitações de dinheiro emprestado. “Todo mundo pode ser uma vítima hoje em dia”, disse ela. “Eles acontecem porque funcionam. Alguém se apaixona por essas coisas diariamente. Você não pode confiar no identificador de chamadas ou e-mails que dizem que você tem um vírus no seu computador”.

Como são os ataques de engenharia social?

Ela apontou alguns truques comuns de engenharia social, incluindo:

  • Introduzir alguma urgência para que você não seja tão cuidadoso(a) e aja emocionalmente e por impulso.
  • Encontrar um vínculo comum entre os cibercriminosos e seus alvos, para tornar tudo mais crível e convincente.
  • Entendendo a “escada do sim”, onde os hackers podem fazer com que você concorde com o ponto de vista deles para remover qualquer constrangimento e melhorar a confiança a fim de obter seus dados.

Então, como combater essas técnicas testadas pelo tempo? Tabac tem várias ótimas sugestões.

Primeiro, seja educadamente paranoico. A recomendação dela é usar a autenticação multifatorial para confirmar a sua identidade sempre que receber uma ligação ou uma mensagem de texto. Para aprender mais sobre as técnicas de engenharia social, ela recomenda a leitura do livro de Robert Cialdini, Influence: The Psychology of Persuasion*.

Muitas vezes escrevemos sobre o uso de autenticação multifatorial (MFA)* para proteger suas contas. Ela recomenda começar com qualquer categoria de MFA e depois passar para versões mais seguras. “Convencerei minha tia-avó a usar uma chave de hardware FIDO amanhã? Provavelmente não, mas posso iniciá-la usando MFA baseado em SMS, esse é um bom primeiro passo”, disse ela durante sua palestra. Obviamente, o melhor MFA é usar um FIDO* se você em público ou tiver acesso de administrador. “Isso torna meu trabalho muito difícil”, disse ela.

Em seguida, não atrase a aplicação das atualizações de segurança nos seus sistemas. Tobac usou essa técnica quando foi convidada para invadir o computador do magnata do cinema Jeffrey Katzenberg.

Além disso, reduza o número de informações em suas mídias sociais* e coleções de fotos online com cuidado. Isso foi algo que percebi que estava arriscando: eu tinha cópias das minhas senhas no iCloud porque uma vez tirei uma foto delas do meu telefone. Parte do processo de poda também é remover as empresas com as quais você se relaciona nas suas redes sociais, isso inclui fotos dos seus móveis personalizados, coisas que você comprou na Amazon e assim por diante. Essas são todas as pistas que o engenheiro social pode usar para descobrir mais informações sobre você ou usar em uma conversa para tentar ganhar sua confiança.

Além disso, limite sua exposição e superfície de ameaça. Se você é dono(a) de uma empresa, uma maneira fácil de fazer isso é reduzir o número de pessoas com acesso de administrador às suas redes e contas. Lembre-se da grande  invasão do Twitter*? Na época, mais de 1.500 funcionários tinham esse acesso, e é por isso que foram invadidos com tanta facilidade. Outra maneira é trabalhar em apenas uma máquina e isolar o seu trabalho e suas pegadas pessoais na internet. Existem algumas ferramentas para fazer isso: use contêineres de várias contas para o Chrome ou outros navegadores seguros para segregar suas diferentes identidades.

Finalmente, pense em usar o que Tobac chama “endereços postais descartáveis”. “Todos sabemos o que são os telefones descartáveis, mas ela dá um passo além ao criar propositalmente endereços postais falsos ao preencher formulários que exigem um endereço. Se você precisar acompanhar esses dados, coloque-os no seu gerenciador de senhas.

Se você estiver interessado em ouvir mais histórias de hackers, eu recomendo que você assista a alguns episódios do Avast Hacker Archives, uma série onde a CISO da Avast, Jaya Baloo, investiga essas situações.


A Avast é líder global em segurança cibernética, protegendo centenas de milhões de usuários em todo o mundo. Saiba mais sobre os produtos que protegem sua vida digital em nosso site e receba todas as últimas notícias sobre como vencer as ameaças virtuais através do nosso Blog, no Facebook ou no Twitter.

* Original em inglês.

--> -->