Tel.: +55 11 3892-9000
  • Home
  • Soluções
      • Back
      • Armazenamento de Dados
      • Backup, Proteção e Gestão de Dados
      • Segurança de Dados
      • Virtualização e Nuvem
  • Serviços
  • Casos de Sucesso
  • A StorageOne
      • Back
      • Blog
      • Contato
      • Parceiros
      • Sobre Nós
Entrar em Contato

Ataques de engenharia social: Como seus colaboradores podem preveni-los?

1 julho 2021
adminsky
0
Categories: Blog, segurança de dados

As companhias têm investido cada vez mais em cibersegurança. Porém, por mais que sistemas e softwares fiquem protegidos, não podemos nos esquecer que todas as máquinas são comandadas por seres humanos.

Como os ataques de engenharia social têm foco, exatamente, no usuário, acabam tendo também uma alta taxa de sucesso. Ou seja, é importante cuidar da segurança tecnológica, mas todo esse investimento pode ir por água abaixo caso seus colaboradores não estejam alertas e informados sobre esses tipos de ataque.

Ataques de engenharia social: o que são?

Essa estratégia, apesar de não ser tão técnica, é muito utilizada por cibercriminosos. Por considerarem o ser humano como o elo mais frágil, os invasores manipulam os usuários para ganhar acessos aos sistemas e informações.

Os ataques de engenharia social têm um único foco: ganhar acesso legítimo e autorizado a dados confidenciais, sem depender de softwares e brechas de infraestrutura.

Nesse contexto, educar seus colaboradores e permear uma cultura de segurança passa também por explicar todos os riscos e brechas. Os invasores que utilizam a engenharia social se valem, justamente, de informações amplamente disponíveis na internet para passarem confiança às suas vítimas.

Todavia, o mundo corporativo é mais restrito e, quando um ataque é bem-sucedido, pode não ser notado tão facilmente. Assim, os criminosos podem se valer da engenharia social para acessar o seu ambiente e, depois, instalarem malwares ou até abrirem brechas para investidas futuras.  

4 Tipos de ataques de engenharia social

Todas as categorias de ataques contam com o fator humano como brecha. Apesar disso, podemos separá-los em diversos tipos. Com o conhecimento de como os invasores agem, você pode ajudar a sua equipe a se preparar.

1 – Phishing

Os ataques por meio de phishing são antigos, mas efetivos. Essa técnica tem diversas versões, sendo por e-mail, VOIP, SMS e até mensagens de WhatsApp. Por meio deles, os criminosos seguem atrás de informações confidenciais como senhas, acessos e outros dados.

Com o fácil acesso à internet e redes sociais corporativas, não é difícil encontrar o organograma da companhia e, então, enviar um e-mail “isca” que apresente uma situação urgente e/ou vinda de um superior hierárquico. Afinal, funcionários não costumam negar ou sequer desconfiar de comunicações quando são enviadas da diretoria ou presidência da empresa.

2 – Spear phishing

A grande diferença entre o phishing “comum” e sua versão “spear” é a personalização. Nesse caso, o tipo de ataque tem como objetivo pessoas ou organizações específicas. Escrevemos aqui no blog um artigo que dá mais detalhes sobre essa modalidade específica — confira aqui!

No caso, o criminoso se passa por um executivo dentro da companhia, requisitando uma tarefa urgente ou um pedido de ajuda para acessar alguma informação. Casos mais diretos podem até focar em transações financeiras imediatas.

3 – Pretexting

Ainda com a finalidade de assumir identidades que parecem ser reais ou que imitam uma pessoa importante, no pretexting os invasores focam diretamente em conseguir acessos a sistemas críticos.

Uma das principais técnicas é se passar, supostamente, como equipe de TI, para coagir o usuário a entregar informações sigilosas, como credenciais de acesso.

4 – Quid pro quo

Diariamente, os setores de Help Desk ajudam diversos departamentos dentro de uma empresa. No caso quid pro quo, ou “isso por aquilo”, os invasores costumam se passar por prestadores desses serviços, buscando usuários que pediram algum auxílio tecnológico.

Ao abordar os funcionários, é de praxe que algum tenha um chamado real. Então, os criminosos se oferecem para resolver tais questões, mas demandam informações críticas para que seja possível realizar as ações necessárias.

Nesse caso, ao conseguirem acesso, os hackers podem desabilitar sistemas e softwares, além de instalarem malwares para garantir um acesso futuro à empresa.

Como preparar a sua equipe para a prevenção?

Manipular e enganar algum usuário para que a senha seja fornecida é muito menos trabalhoso (e custoso) para os criminosos do que investir em softwares para realizar invasões.

Cientes disso, independentemente dos procedimentos adotados na área de segurança da informação, é preciso ter em mente que o ser humano é passível de falhas, ainda mais quando não tem consciência dos riscos atrelados a algumas ações.  

Treine todos os colaboradores

Se o foco principal dos ataques são as pessoas que trabalham na companhia, comece com um treinamento. Todos os usuários devem ser instruídos em relação aos ataques de engenharia social e precisam seguir os processos de segurança da empresa. Diretrizes como não acessar links suspeitos, não permitir o download de arquivos de uma fonte não-confiável e criar senhas fortes devem ser sempre indicadas.

Utilize antivírus confiáveis e mantenha os softwares atualizados

O mercado oferece diferentes ferramentas para aumentar a segurança dos seus dados. Disponha de softwares como antivírus, firewalls e dispositivos anti-phishing nos navegadores.

Lembre-se também que todos os dispositivos, móveis ou não, podem se tornar brechas em potencial. Para tanto, é possível automatizar sistemas inteiros a serem atualizados por meio de toda a rede, para que essa demanda não fique dependente dos usuários.

Configure os provedores de e-mail de forma mais rígida

É possível alterar as configurações do seu sistema de e-mails para torná-lo mais rígido em relação a spams. Bons filtros determinam automaticamente quando uma mensagem é fortemente suspeita ou tem potencial de causar danos. Explique para os colaboradores como utilizar esse tipo de ferramenta e emita um alerta dizendo que nenhuma empresa não requisitará usuários, senhas e informações sensíveis por e-mail. Na dúvida, entre em contato por meio de canais oficiais do emissor da mensagem.

Conte com um parceiro especializado

A maior recomendação é contar com uma empresa que seja experiente na área. Isso porque, apesar de tomar todos os cuidados, ter um especialista de prontidão diminui os prejuízos que esses ataques podem causar.

Além do suporte, a sua empresa ganha em inteligência de segurança, melhorando os processos e implantando protocolos para prevenção e recuperação de dados.

A StorageOne ajuda companhias sob três perspectivas: segurança, desempenho e compliance. Fale com um de nossos especialistas agora mesmo!

0 Comentários

Deixe um comentário

Clique aqui para cancelar a resposta.

XHTML: Você pode usar estas tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Posts Recentes

  • 15 elementos chaves para uma estratégia de proteção de dados empresariais bem-sucedida

    15 elementos chaves para uma estratégia de proteção de dados empresariais bem-sucedida

    Saiba Mais
  • Consultoria em TI: A importância de um projeto sob medida para sua empresa

    Consultoria em TI: A importância de um projeto sob medida para sua empresa

    Saiba Mais
  • Continuous Data Protection (CDP): entenda a importância desse método para o disaster recovery

    Continuous Data Protection (CDP): entenda a importância desse método para o disaster recovery

    Saiba Mais
  • O que é Plano de Continuidade Operacional e qual a importância para seu negócio?

    O que é Plano de Continuidade Operacional e qual a importância para seu negócio?

    Saiba Mais
  • Como elaborar e executar um Plano de Recuperação de Desastres (PRD)?

    Como elaborar e executar um Plano de Recuperação de Desastres (PRD)?

    Saiba Mais
  • 1

Categorias

  • armazenamento
  • gerenciamento de dados
  • segurança de dados

Integradora de soluções em tecnologia de infraestrutura de TI. Nosso foco é customizar soluções de acordo com a necessidade de cada cliente, principalmente sob três perspectivas: segurança, desempenho e compliance. Assim, trabalhamos para que os dados armazenados pela sua empresa estejam disponíveis e seguros, em total conformidade com as novas leis de proteção de dados.

Assine Nossa Newsletter

Unidade São Caetano
Al. Terracota, 215 – CJ: 1324 – CEP: 09531-190

Unidade Campinas
Av. Orozimbo Maia, 360 – CJ: 1404 – CEP: 13024-045

Soluções

  • Armazenamento de Dados
  • Backup, Proteção e Gestão de Dados
  • Segurança de Dados
  • Virtualização e Nuvem

Empresa

  • Blog
  • Materiais Gratuitos
  • Contato