A engenharia social é um tipo de ataque cibernético que tem como alvo a psicologia humana, em vez de vulnerabilidades técnicas. O objetivo da engenharia social é manipular indivíduos para divulgar informações confidenciais, como credenciais de login, informações financeiras ou dados pessoais.
Exemplos de táticas de engenharia social incluem phishing, pretexting, iscas e tailgating. O phishing é o tipo mais comum de ataque de engenharia social e envolve o envio de e-mails ou mensagens fraudulentas que parecem ser de uma fonte legítima, como um banco ou um site de mídia social. A mensagem normalmente contém um link ou anexo que, quando clicado ou aberto, instala malware no dispositivo da vítima ou a direciona para uma página de login falsa onde ela insere suas credenciais.
Pretexting envolve a criação de um cenário falso ou pretexto para obter acesso a informações confidenciais. Por exemplo, um invasor pode ligar para um funcionário fingindo ser um técnico de suporte de TI e solicitar suas credenciais de login.
Baiting envolve deixar um alvo tentador, como uma unidade USB rotulada como "confidencial", em um lugar público para atrair alguém a pegá-lo e inseri-lo em seu dispositivo. A unidade USB é normalmente carregada com malware que infecta o dispositivo da vítima quando eles o conectam.
Tailgating envolve seguir alguém para uma área segura sem autorização, fingindo ser um funcionário ou contratado.
Para mitigar os riscos de engenharia social ao usar o software SaaS, é essencial educar os funcionários sobre como reconhecer e evitar esses tipos de ataques. Isso inclui:
Fornecer treinamento em segurança cibernética que cubra táticas de engenharia social e como evitá-las.
Incentivar os funcionários a verificar a autenticidade de e-mails, telefonemas ou mensagens que solicitam informações confidenciais ou acesso a sistemas.
Incentivar os funcionários a usar senhas fortes e habilitar a autenticação de dois fatores para impedir o acesso não autorizado.
Incentivar os funcionários a relatar qualquer atividade ou solicitações suspeitas à sua equipe de TI ou de segurança imediatamente.
Implementar políticas e procedimentos que exijam que os funcionários verifiquem a autenticidade das solicitações de informações confidenciais ou acesso a sistemas antes de conceder acesso.
Realização de treinamento regular de conscientização de segurança para garantir que os funcionários permaneçam vigilantes e atualizados sobre as mais recentes táticas de engenharia social.