O que é manipulação social? Conheça como age e como se proteger desse golpe

A engenharia social se refere a um conjunto de táticas de manipulação que visam enganar indivíduos, levando-os a revelar informações confidenciais ou a seguir determinadas ações que podem comprometer a segurança de seus dados. Normalmente, esses golpes culminam em fraudes, como o roubo de senhas e a invasão de sistemas.

Após estabelecer contato com a potencial vítima, o cibercriminoso emprega diversas táticas para persuadi-la a fornecer dados pessoais, clicar em links maliciosos ou permitir acesso a suas informações. Esses métodos incluem, mas não se limitam a ataques de phishing, baiting, tailgating e vishing.

Neste artigo, você terá uma visão detalhada sobre o que é engenharia social, como identificá-la e quais medidas adotar caso se torne uma vítima desse tipo de crime.

O que caracteriza a engenharia social?

Definida como uma técnica de manipulação, a engenharia social usa as fraquezas humanas para extrair informações sensíveis ou comprometer sistemas de redes. Este método, por vezes denominado “hacking humano”, evita diretamente a mera invasão tecnológica, concentrando-se em enganar as próprias pessoas para facilitar o acesso a dados em potencial.

Ao invés de atacar diretamente fórmulas ou confiabilidades tecnológicas, esses golpes exploram a confiança e as emoções humanas, pressionando as vítimas a entregarem informações essenciais voluntariamente.

Vale ressaltar que a engenharia social foi a principal forma de ataque que obteve sucesso em empresas em 2024, conforme o relatório “State of Cybersecurity 2024” publicado pela ISACA. Além disso, esses ataques podem acontecer tanto no ambiente digital quanto em interações face a face.

Como atuam os cibercriminosos que utilizam engenharia social?

Os cibercriminosos, após analisarem suas vítimas em potencial, costumam estabelecer contato através de e-mails, mensagens de texto, telefonemas ou mesmo encontros pessoais. Em geral, tentam criar um vínculo de confiança, muitas vezes se passando por representantes de instituições respeitáveis ou figuras de autoridade. Um dos métodos mais efetivos é gerar uma sensação de urgência na interação.

Com isso, os hackers conseguiriam persuadir a vítima a fornecer dados sensíveis ou credenciais. No caso de comunicações via e-mail, é comum que essas mensagens incluam arquivos maliciosos ou pedidos para que se acesse uma página falsa onde as informações pessoais podem ser inseridas.

Uma vez que obtêm os dados desejados, os cibercriminosos podem causar danos sérios, como comprometer dispositivos e redes, invadir sistemas ou utilizar as informações adquiridas para aplicar novos golpes. Se a vítima não perceber a armadilha, o crime pode ser repetido, resultando em mais extrações de informações.

Quais são os tipos mais frequentes de golpes de engenharia social?

A engenharia social abrange uma gama de golpes que podem ocorrer tanto em ambientes físicos quanto digitais. Entre os principais tipos de ataques, podemos citar:

• Phishing: envolve e-mails, mensagens ou SMS fraudulentos que levam a vítima a inserir dados pessoais, clicar em links ou baixar conteúdos prejudiciais;
• Whaling: uma variação do phishing que tem como alvo executivos de alto escalão em empresas;
• Baiting: oferece iscas para despertar o interesse da pessoa, que podem ser digitais (e-mails, anúncios, sites) ou físicas (dispositivos USB infectados);
• Vishing: envolve ligações telefônicas enganosas com o intuito de coletar dados pessoais;
• Pretexting: o criminoso cria uma situação fictícia para solicitar acesso a dados sensíveis;
• Tailgating: ocorre quando o golpista, de forma furtiva, acompanha uma vítima até acessar áreas restritas;
• Quid pro quo: o criminoso oferece algo em troca de informações confidenciais.

A engenharia social é um crime?

Certamente, uma vez que envolve ações ilegais e causa prejuízos a terceiros. Embora não exista uma legislação específica para a engenharia social no Brasil, as práticas que envolvem essa técnica podem ser enquadradas em outros tipos de delitos previstos na lei. Atos de engenharia social podem ser considerados estelionato ou falsidade ideológica, além de serem sujeitos à Lei Nº 12.737, que tipifica invasões a dispositivos ou fraudes eletrônicas.

Como identificar um golpe de engenharia social?

Normalmente, os golpes de engenharia social utilizam uma abordagem centrada na comunicação que explora as emoções humanas, mirando pessoas em momentos de vulnerabilidade. Alguns sinais que podem indicar um possível golpe são:

• Construção de confiança: o autor do golpe pode iniciar uma interação amigável, buscando estabelecer uma intimidade com a vítima;
• Título de autoridade: os golpistas frequentemente se apresentam como funcionários respeitáveis de grandes empresas ou autoridades;
• Exploração emocional: táticas psicológicas são frequentemente utilizadas para induzir sentimentos de medo, excitação ou culpa;
• Falsa urgência: muitos golpes de engenharia social criam uma sensação de necessidade imediata ou oportunidade única;
• Solicitação direta de dados: o golpista pode, de forma incisiva, pedir por informações sensíveis durante o contato;
• Oportunidade: em cenários físicos, muitos criminosos aproveitam-se de equipamentos deixados sem supervisão.

Como se prevenir contra golpes de engenharia social?

A prevenção contra ataques de engenharia social pode ser realizada por meio da adoção de práticas seguras e da cautela em interações com desconhecidos. Algumas das principais recomendações incluem:

• Mantenha a desconfiança em contatos desconhecidos: sempre tenha um grau de suspeita em relação a abordagens de pessoas que não conhece;
• Implemente medidas de segurança: utilize autenticação de dois fatores, sistemas de segurança e senhas robustas;
• Evite clicar em links ou baixar arquivos suspeitos: muitas vezes, essas são as portas de entrada para golpes;
• Limite as informações compartilhadas: não forneça dados pessoais em conversas com estranhos;
• Proteja seus dispositivos: mantenha seus smartphones e computadores seguros e sempre bloqueados.

O que fazer se você for vítima de um golpe de engenharia social?

Se por acaso tiver caído em uma armadilha de engenharia social, primeiramente, entre em contato com sua instituição financeira para relatar o incidente e bloquear sua conta. Além disso, informe amigos e familiares a respeito do ocorrido para prevenir novas tentativas de golpe.

Em seguida, é crucial alterar suas senhas e habilitar a autenticação multifator em seus serviços. Realize verificações em seus dispositivos usando softwares de proteção e acesse plataformas como haveibeenpwned.com para checar se seu e-mail foi exposto.

Importante também é registrar um boletim de ocorrência na Delegacia Eletrônica de sua região para formalizar a ocorrência de crime cibernético. Em alguns casos, pode ser necessário procurar ajuda de profissionais especializados em segurança da informação para avaliar e mitigar os danos.

Diferença entre phishing e engenharia social

O phishing é uma forma específica de engenharia social, desenhada para coletar informações sensíveis de suas vítimas. Normalmente, esses ataques são feitos através de e-mails, mensagens ou sites que induzem usuários a inserir informações pessoais, como senhas ou dados bancários.

Por outro lado, engenharia social é uma tática mais abrangente que inclui phishing, além de outros métodos como baiting, tailgating e muito mais. Embora ambas tenham o mesmo objetivo de enganar para obter dados ou comprometer sistemas, a engenharia social não se limita a phishing.

Resumindo, phishing é uma categoria dentro do universo mais amplo da engenharia social.

Distinção entre engenharia social e spoofing

Enquanto a engenharia social foca na manipulação das fraquezas humanas para obter informações, o spoofing se refere a práticas de falsificação que podem afetar sistemas e indivíduos. Os cibercriminosos utilizam técnicas de spoofing para manipular redes e simular conexões a partir de endereços IP legítimos, levando a confusões e coletas indesejadas de informações.