BRANDS' ECO Engenharia Social: a arte do saber enganar

  • ECO + EY
  • 12 Outubro 2022

As comunicações entre colaboradores, em que são transmitidas informações confidenciais, tornaram-se o veículo perfeito para que agentes mal-intencionados tentem obter acesso a esta informação.

A pandemia da Covid-19 veio alterar o paradigma laboral ao permitir que muitas das funções que seriam tradicionalmente realizadas a partir do escritório passassem a ser realizadas remotamente. Esta alteração trouxe um aumento significativo da utilização de ferramentas de colaboração que permitem a comunicação e cooperação entre colaboradores, como a utilização do correio eletrónico. Estas comunicações entre colaboradores, onde muitas vezes são transmitidas informações confidenciais, tornaram-se o veículo perfeito para que agentes mal-intencionados tentem obter acesso a esta informação.

Através da exploração das vulnerabilidades do ser humano, como as suas emoções, o seu instinto natural para ajudar o próximo e até mesmo a forma como este reage e responde a comunicações de aparente carácter urgente evidenciam a crescente necessidade de existir um esforço por parte das organizações para assegurar que os seus colaboradores estão capacitados para corretamente identificar ataques desta tipologia.

Dentro de uma enorme variedade de ataques de Engenharia Social, é de destacar o Phishing. Os ataques de Phishing consistem na receção de emails que podem conter uma hiperligação para um website não confiável, onde se requer a inserção de informação como credenciais corporativas, um anexo, como um ficheiro Microsoft Excel em que foi incluído código malicioso, ou, até mesmo, a mera requisição de informação através do texto no corpo do email.

João Guita Almeida, Senior Associate, EY Portugal, Cybersecurity, Consulting Services

Estes emails apelam a um sentimento de urgência na vítima para que esta não tenha tempo para efetivamente processar a informação que recebeu, e forçá-la a atuar rapidamente sobre o mesmo. Essa é uma das características que permitem detetar emails maliciosos. Existem ainda outras características que podem ser utilizadas para a deteção de potenciais emails de Phishing, como o domínio do email ou da ligação, que poderá não corresponder a uma entidade confiável (embora possa ser muito semelhante ao de uma tal entidade), erros ortográficos ou ainda alguma referência institucional descontextualizada. Em situações limite, estes emails poderão ser enviados a partir de uma conta de email confiável, de um colega de trabalho ou amigo, que tenha sido comprometida e que esteja a ser utilizada como ferramenta de ataque. É importante pensar sempre antes de atuar sobre o conteúdo de um email recebido.

Ao contrário do Phishing, onde geralmente o ataque acontece em massa, o Spear Phishing, permite realizar ataques direcionados a um indivíduo ou grupo de indivíduos. Estes ataques são, normalmente, mais eficazes, no sentido que permitem utilizar contexto específico do indivíduo ou da organização com o propósito de aumentar a credibilidade potencial do ataque. Ainda relativamente a variantes de ataques de Engenharia Social, existe o Whale Phishing, cujo objetivo é alcançar indivíduos com influência ou em posições de poder. Quando estes ataques são direcionados a organizações, as vítimas costumam fazer parte da gestão de topo. Desta forma, é possível ao atacante obter informação sensível ou confidencial acerca da organização vítima do ataque.

Existe uma outra variante de ataques de Engenharia Social, o Vishing, onde através de chamadas telefónicas, os atacantes tentam extrair informação privilegiada. Mais uma vez, recorrendo ao poder da persuasão e de urgência para posicionar a sua vítima num estado emotivo para a cedência destes dados. É ainda de realçar o Smishing, que de igual forma recorre a dispositivos móveis para atuar, mas onde o ataque é realizado através do envio de SMS fraudulentos.

Os ataques elencados neste artigo são, nos dias de hoje, dos ataques mais eficazes, pois permitem explorar, acima de tudo, as pessoas. E como uma organização não se faz sem pessoas, é importante garantir que estas se encontram preparadas para uma rápida e correta identificação e resposta a este tipo de ataques. A execução de simulações de ataques de Engenharia Social e a realização da respetiva sensibilização tornam-se elementos críticos que permitem distinguir um incidente de segurança de apenas mais uma tentativa falhada de um atacante. Desta forma, torna-se vital a implementação de um plano de sensibilização para a Cibersegurança que seja robusto e que permita capacitar as organizações e respetivos colaboradores com as ferramentas necessárias para lidar corretamente com ataques de Engenharia Social.

Texto por João Guita Almeida, Senior Associate, EY Portugal, Cybersecurity, Consulting Services

Assine o ECO Premium

No momento em que a informação é mais importante do que nunca, apoie o jornalismo independente e rigoroso.

De que forma? Assine o ECO Premium e tenha acesso a notícias exclusivas, à opinião que conta, às reportagens e especiais que mostram o outro lado da história.

Esta assinatura é uma forma de apoiar o ECO e os seus jornalistas. A nossa contrapartida é o jornalismo independente, rigoroso e credível.

Comentários ({{ total }})

Engenharia Social: a arte do saber enganar

Respostas a {{ screenParentAuthor }} ({{ totalReplies }})

{{ noCommentsLabel }}

Ainda ninguém comentou este artigo.

Promova a discussão dando a sua opinião