O que é Engenharia Social?

Estudo comportamental ou técnica de espionagem? Saiba o que é Engenharia Social e como ela é utilizada contra o usuário

Leandro Kovacs
Por
• Atualizado há 1 ano e 1 mês
O que é Engenharia Social? (Imagem: Chris Yang/Unsplash)
O que é Engenharia Social? (Imagem: Chris Yang/Unsplash)

De fato, é uma técnica de espionagem que teve um grande crescimento na utilização por cibercriminosos. Veja abaixo, o que é Engenharia Social e quais são os motivos e formas de utilização por bandidos para executar fraudes e hackear computadores pessoais e empresariais. Quem se expõe em excesso na web é um alvo mais fácil para a técnica.

O que é Engenharia Social?

Em uma definição simples e direta, a engenharia social é uma técnica de manipulação que explora o erro humano para obter informações privadas, acessos ou objetos de valor. 

Nos crimes virtuais, esses golpes de “hacking humano” atraem usuários desavisados para a exposição de dados, espalhar infecções por malware ou fornecer acesso a sistemas restritos – como servidores empresariais. Os ataques podem acontecer online, pessoalmente e por meio de outras interações.

Como funciona a Engenharia Social?

Este método é mais artístico e discreto do que forçar senhas. A maioria dos ataques de engenharia social depende da comunicação real entre invasores e vítimas. O invasor tende a motivar o usuário a se comprometer, em vez de usar métodos de força bruta para violar seus dados. A vítima entrega tudo, normalmente, sem ser coagida ou ameaçada – apesar de não ser uma regra.

O que é Engenharia Social? (Imagem: Towfiqu Barbhuiya/Unsplash)
O método é discreto e eficaz (Imagem: Towfiqu Barbhuiya/Unsplash)

Ciclo operacional

O ciclo de ataque oferece aos criminosos um processo confiável para enganar a vítima. Podemos definir as etapas para o ataque serem:

  1. Preparação: reunindo informações básicas sobre o alvo ou um grupo maior do qual faça parte;
  2. Infiltração: estabelecendo um relacionamento ou iniciando uma interação, começando pela construção de confiança;
  3. Exploração: atacar a vítima assim que a confiança e uma fraqueza forem estabelecidas para avançar o processo;
  4. Dispersão: sumiço após o alvo realizar a ação desejada.

Esse processo pode ocorrer em um único e-mail ou ao longo de meses, com uma série de bate-papos nas redes sociais. No fim das contas, termina com uma ação que a vítima executa, como compartilhar informações ou se expor a malware.

Quão perigoso é?

É importante ter cuidado com a engenharia social como meio de confusão e criação de caos. Muitos funcionários e consumidores não percebem que apenas algumas informações podem dar aos hackers acesso a várias redes e contas. 

Os ataques giram em torno do uso de persuasão e confiança por parte do criminoso. Quando exposto a essas táticas, é mais provável que a vítima execute ações que, de outra forma, não faria.

Comportamentos para identificar Engenharia Social

Alguns ataques por meio de Engenharia Social podem ser identificados com comportamentos comuns durante o ciclo operacional.

Emoções intensas

A manipulação emocional dá vantagem em qualquer interação. É muito mais provável que tome atitudes irracionais ou arriscadas quando está em um estado emocional intensificado. As seguintes emoções são usadas em igual medida para convencê-lo: medo, excitação, curiosidade, raiva, culpa, tristeza.

O que é Engenharia Social? (Imagem: Usman Yousaf/Unsplash)
Forçar sentimentos extremos, como raiva ou ganância são comuns (Imagem: Usman Yousaf/Unsplash)

Falsa urgência

Oportunidades ou solicitações urgentes fazem parte do arsenal de um criminoso. Pode-se estar motivado a se comprometer com o pretexto de um problema grave que precisa de atenção imediata. 

Outra forma é ser exposto a um prêmio ou recompensa que pode desaparecer se na falta de cisão rápida. Qualquer uma das abordagens anula a capacidade de pensamento crítico.

Confiança

A credibilidade é inestimável e essencial para um ataque de engenharia social. Como é baseado em mentiras, a confiança desempenha um papel importante. É garantido que foram feitas pesquisas suficientes sobre a vítima. O objetivo é criar uma narrativa que seja fácil de acreditar ou improvável de despertar suspeitas. 

Exceções

Existem algumas exceções às características descritas acima. Em alguns casos, os invasores usam métodos mais simples de engenharia social para obter acesso à rede ou ao computador. 

Por exemplo, frequentar a praça de alimentação pública de um grande prédio de escritórios e “olhar sob os ombros” de usuários que trabalham em seus tablets ou laptops. Pode-se resultar em um grande número de senhas e nomes de usuário, tudo sem enviar um e-mail ou escrever uma linha de código de vírus. 

Phishing é mais eficiente para ataques

Os atacantes de phishing fingem ser uma instituição ou indivíduo confiável na tentativa de persuadir a exposição de dados pessoais e outros objetos de valor. São duas maneiras principais de executar o ataque.

Spam phishing

Spam phishing ou ataque em massa, é um modelo generalizado e dirigido a muitos usuários. Esses ataques não são personalizados e tentam pegar qualquer pessoa desavisada.

Spear phishing

São personalizados, visam pessoas-chave – os famosos VIP. Usam informações específicas para atingir usuários identificados. Os ataques de spear miram especificamente em alvos de alto valor, como celebridades, alta administração e altos funcionários do governo.

Fique atento à Engenharia Social e não seja mais uma vítima em potencial.

Com informação: Norton, Cisco, Kaspersky.

Esse conteúdo foi útil?
😄 Sim🙁 Não

Receba mais sobre Engenharia Social na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Leandro Kovacs

Leandro Kovacs

Ex-autor

Leandro Kovacs é jornalista e radialista. Trabalhou com edição audiovisual e foi gestor de programação em emissoras como TV Brasil e RPC, afiliada da Rede Globo no Paraná. Atuou como redator no Tecnoblog entre 2020 e 2022, escrevendo artigos explicativos sobre softwares, cibersegurança e jogos.

Relacionados

Como é possível invadir um celular? [proteja-se]
Como é possível invadir um celular? [proteja-se]
Errando não se aprende: Mailchimp é hackeado pela terceira vez em nove meses
Errando não se aprende: Mailchimp é hackeado pela terceira vez em nove meses
O que é spoofing?
O que é spoofing?
O que é um hacker?
O que é um hacker?
O que fazer em caso de vazamento de dados pessoais?
O que fazer em caso de vazamento de dados pessoais?
O navegador Tor é seguro? 9 vantagens do browser
O navegador Tor é seguro? 9 vantagens do browser
Como não ser a próxima vítima de fraudes de SIM swap
Como não ser a próxima vítima de fraudes de SIM swap
Como saber se um boleto bancário é falso [Golpe]
Como saber se um boleto bancário é falso [Golpe]
Como funciona o roubo de WhatsApp por QR Code [QRLJacking]
Como funciona o roubo de WhatsApp por QR Code [QRLJacking]
O que é phishing?
O que é phishing?