O que é engenharia social?

As vulnerabilidades de software são muito discutidas atualmente, e as versões humanas dessas vulnerabilidades são as nossas emoções. Quando enfrentamos situações de medo, nosso primeiro impulso é responder primeiro e pensar depois. Essa é exatamente a "vulnerabilidade" das quais os engenheiros sociais dependem para um ataque de sucesso.

Tipos de ataques de engenharia social

Por meio da engenharia social, os criminosos cibernéticos usam a interação humana para manipular o usuário a divulgar informações confidenciais. Como a engenharia social se baseia na natureza humana e nas reações emocionais, os invasores utilizam várias táticas para tentar enganá-lo online e off-line.

Baiting (iscas)

Seres humanos são criaturas curiosas e essa característica é essencial neste cenário. O criminoso cibernético deixará um dispositivo, como um pen drive, infectado com malware à vista em um local público. Alguém encontrará o dispositivo e o conectará em seu computador para ver o que ele contém, e assim o malware se injeta no computador.

Phishing

O truque mais antigo de todos e ainda o mais bem-sucedido. Os criminosos cibernéticos tentarão usar diferentes métodos para convencê-lo a divulgar informações. A tática de intimidação parece ser a mais popular entre os criminosos, pois apresenta uma situação urgente ao usuário, normalmente envolvendo uma conta bancária ou outra conta online. Essa tática conta com decisões precipitadas do usuário, tomadas sob efeito do medo, e baseadas em suas emoções e não na racionalização da situação. Outras versões desses emails aparentam ser de uma pessoa de autoridade, como um diretor da empresa em que você trabalha, solicitando seu nome de usuário e senha para que ele possa acessar um sistema. As pessoas naturalmente atendem a solicitações enviadas por um colega de trabalho, principalmente se vierem de um departamento superior na hierarquia da empresa. O senso de urgência é também uma tática popular usada no phishing. Você já deve ter recebido inúmeros emails divulgando ofertas de produtos com descontos, em quantidades limitadas. O desconto parece excelente, e o usuário se sente pressionado a agir com urgência, tomando decisões impulsivas e sem muito controle.

Envio de spam aos contatos e hacking (violação) de emails

Dar atenção a mensagens enviadas por pessoas que conhecemos faz parte da nossa natureza. Se a minha irmã me envia um email com o assunto "Confira este site que eu achei, é fantástico!", não pensarei duas vezes antes de abri-lo. Exatamente por isso esses criminosos buscam endereços de email e senhas. Uma vez obtidas essas credenciais, eles passam a controlar a conta e logo enviarão spam a todos os contatos do catálogo de endereços do usuário. O objetivo principal é espalhar malware, convencer as pessoas a divulgar seus dados pessoais e outros.

Pretextos

Pretextos são histórias elaboradas inventadas pelos criminosos para criar uma situação que vai "fisgar" suas vítimas. Muitas vezes são histórias tristes sobre alguém perdido em um país estrangeiro ou sobre um príncipe herdeiro de um país desconhecido, que acaba de perder o pai e precisa de 500 dólares para se tornar rei. Essas situações apelam para a inclinação humana natural de ajudar aqueles que necessitam. Pretextos são normalmente usados em conjunto com os outros métodos, pois a maioria dessas situações precisam de uma história para atrair a atenção das vítimas ou para reforçar a história personificada pelo criminoso em uma chamada telefônica.

Quid Pro Quo

"Tomar uma coisa por outra". Seduzindo o usuário com prêmios ou descontos em produtos de luxo, este golpe oferece aos usuários "alguma coisa", mas só depois que eles preencherem um formulário que solicita todas as suas informações pessoais. Esses dados serão então usados para o roubo de identidade.

Spear phishing

Um parente mais complexo do phishing, spear phishing é uma campanha direcionada a funcionários de uma determinada empresa da qual o criminoso pretende roubar dados. O criminoso escolherá um alvo dentro da empresa e fará uma pesquisa online sobre essa vítima, coletando informações pessoais e interesses com base em suas pesquisas na Internet e perfis de mídias sociais. Depois de conhecer melhor sua vítima, ele passará a enviar emails que parecerão especificamente relevantes a ela, a fim de convencer a vítima a clicar em um link malicioso que hospeda um malware ou a fazer o download de um arquivo malicioso. É claro que todo mundo confere seus emails pessoais ou mídias sociais enquanto trabalha na rede da empresa, e é com essa prática que o criminoso cibernético conta. Depois que o usuário for enganado com sucesso, o malware é instalado no computador ligado à rede da empresa, o que o ajudará a se propagar facilmente a outros computadores ligados à mesma rede.

Vishing

O vishing é, de todos esses métodos, o que envolve mais interações humanas. O criminoso liga para o funcionário de uma empresa fingindo ser uma pessoa confiável ou um representante do seu banco ou de uma instituição parceira da empresa em que você trabalha e tenta, durante a conversa, obter informações da vítima. Em outra ligação subsequente, ele finge ser um colega de trabalho que perdeu sua senha, solicitando a senha da vítima ou pode também fazer uma série de perguntas para verificar a sua identidade.

A engenharia social pode ser executada de duas formas: um ataque único, como um email de phishing, ou de uma forma mais complexa, normalmente direcionada a instituições. Esses dois métodos são chamados de hunting (caça) e farming (cultivo).

Hunting

Hunting é a versão curta desses ataques. Normalmente os criminosos cibernéticos usam phishing, baiting e hacking de emails com o objetivo de extrair o máximo possível de dados de suas vítimas, com o mínimo de interação possível.

Farming

Um tipo de crime mais elaborado no qual o criminoso procura uma maneira de estabelecer um relacionamento com a vítima. Normalmente ele analisa o perfil das vítimas em mídias sociais e tenta estabelecer um relacionamento com ela, com base nas informações obtidas em sua pesquisa. Esse tipo de ataque depende também do pretexto, pois o criminoso tenta enganar a vítima pelo máximo de tempo que for possível, a fim de extrair o máximo de dados possíveis.

A engenharia social está em toda parte, online e off-line. Ela tem uma alta taxa de sucesso porque conta com um elemento contra o qual não é possível instalar um software de segurança: o ser humano. A melhor defesa contra esses tipos de ataques é se informar e se manter consciente sobre os sinais para os quais estar sempre alerta.