O que é Engenharia Social?
Estudo comportamental ou técnica de espionagem? Saiba o que é Engenharia Social e como ela é utilizada contra o usuário
Estudo comportamental ou técnica de espionagem? Saiba o que é Engenharia Social e como ela é utilizada contra o usuário
De fato, é uma técnica de espionagem que teve um grande crescimento na utilização por cibercriminosos. Veja abaixo, o que é Engenharia Social e quais são os motivos e formas de utilização por bandidos para executar fraudes e hackear computadores pessoais e empresariais. Quem se expõe em excesso na web é um alvo mais fácil para a técnica.
Em uma definição simples e direta, a engenharia social é uma técnica de manipulação que explora o erro humano para obter informações privadas, acessos ou objetos de valor.
Nos crimes virtuais, esses golpes de “hacking humano” atraem usuários desavisados para a exposição de dados, espalhar infecções por malware ou fornecer acesso a sistemas restritos – como servidores empresariais. Os ataques podem acontecer online, pessoalmente e por meio de outras interações.
Este método é mais artístico e discreto do que forçar senhas. A maioria dos ataques de engenharia social depende da comunicação real entre invasores e vítimas. O invasor tende a motivar o usuário a se comprometer, em vez de usar métodos de força bruta para violar seus dados. A vítima entrega tudo, normalmente, sem ser coagida ou ameaçada – apesar de não ser uma regra.
O ciclo de ataque oferece aos criminosos um processo confiável para enganar a vítima. Podemos definir as etapas para o ataque serem:
Esse processo pode ocorrer em um único e-mail ou ao longo de meses, com uma série de bate-papos nas redes sociais. No fim das contas, termina com uma ação que a vítima executa, como compartilhar informações ou se expor a malware.
É importante ter cuidado com a engenharia social como meio de confusão e criação de caos. Muitos funcionários e consumidores não percebem que apenas algumas informações podem dar aos hackers acesso a várias redes e contas.
Os ataques giram em torno do uso de persuasão e confiança por parte do criminoso. Quando exposto a essas táticas, é mais provável que a vítima execute ações que, de outra forma, não faria.
Alguns ataques por meio de Engenharia Social podem ser identificados com comportamentos comuns durante o ciclo operacional.
A manipulação emocional dá vantagem em qualquer interação. É muito mais provável que tome atitudes irracionais ou arriscadas quando está em um estado emocional intensificado. As seguintes emoções são usadas em igual medida para convencê-lo: medo, excitação, curiosidade, raiva, culpa, tristeza.
Oportunidades ou solicitações urgentes fazem parte do arsenal de um criminoso. Pode-se estar motivado a se comprometer com o pretexto de um problema grave que precisa de atenção imediata.
Outra forma é ser exposto a um prêmio ou recompensa que pode desaparecer se na falta de cisão rápida. Qualquer uma das abordagens anula a capacidade de pensamento crítico.
A credibilidade é inestimável e essencial para um ataque de engenharia social. Como é baseado em mentiras, a confiança desempenha um papel importante. É garantido que foram feitas pesquisas suficientes sobre a vítima. O objetivo é criar uma narrativa que seja fácil de acreditar ou improvável de despertar suspeitas.
Existem algumas exceções às características descritas acima. Em alguns casos, os invasores usam métodos mais simples de engenharia social para obter acesso à rede ou ao computador.
Por exemplo, frequentar a praça de alimentação pública de um grande prédio de escritórios e “olhar sob os ombros” de usuários que trabalham em seus tablets ou laptops. Pode-se resultar em um grande número de senhas e nomes de usuário, tudo sem enviar um e-mail ou escrever uma linha de código de vírus.
Os atacantes de phishing fingem ser uma instituição ou indivíduo confiável na tentativa de persuadir a exposição de dados pessoais e outros objetos de valor. São duas maneiras principais de executar o ataque.
Spam phishing ou ataque em massa, é um modelo generalizado e dirigido a muitos usuários. Esses ataques não são personalizados e tentam pegar qualquer pessoa desavisada.
São personalizados, visam pessoas-chave – os famosos VIP. Usam informações específicas para atingir usuários identificados. Os ataques de spear miram especificamente em alvos de alto valor, como celebridades, alta administração e altos funcionários do governo.
Fique atento à Engenharia Social e não seja mais uma vítima em potencial.