A engenharia social, no contexto de segurança da informação, refere-se à manipulação psicológica de pessoas para a execução de ações ou divulgar informações confidenciais.
Um ataque clássico é quando uma pessoa se passa por um alto nível profissional dentro das organizações e diz que o mesmo possui problemas urgentes de acesso ao sistema, conseguindo assim o acesso a locais restritos.
Entenda a engenharia social
A engenharia social é aplicada em diversos setores da segurança da informação, e independentemente de sistemas computacionais, software e/ou plataforma utilizada, o elemento mais vulnerável de qualquer sistema de segurança da informação é o ser humano, o qual possui traços comportamentais e psicológicos que o torna suscetível a ataques.
Ambientes de ataques de engenharia social
Os ataques não são exclusivamente utilizados em informática. Ela também é uma ferramenta que permite explorar falhas humanas em organizações físicas ou jurídicas as quais operadores do sistema de segurança da informação possuem poder de decisão parcial ou total sobre o sistema, seja ele físico ou virtual.
Porém, deve-se considerar que informações tais como pessoais, não documentadas, conhecimentos, saber, não são informações físicas ou virtuais.
Elas fazem parte de um sistema em que possuem características comportamentais e psicológicas nas quais a engenharia social passa a ser auxiliada por outras técnicas como: leitura fria, linguagem corporal, leitura quente.
Esses termos são usados no auxílio da engenharia social para obter informações que não são físicas ou virtuais, mas sim comportamentais e psicológicas.
Técnicas de engenharia social
Um ataque do engenheiro social pode se dar através de qualquer meio de comunicação. Tendo-se destaque para telefonemas, conversas diretas com a vítima, e-mail, mensagens e links. Algumas dessas técnicas são:
Exemplo de engenharia social
Criadores de vírus geralmente usam e-mail para a propagar as suas criações. Na maioria dos casos, é necessário que o usuário ao receber o e-mail execute o arquivo em anexo para que seu computador seja contaminado.
O criador do vírus pensa então em uma maneira de fazer com que o usuário clique no anexo. Um dos métodos mais usados é colocar um texto que desperte a curiosidade do usuário.
O texto pode tratar de sexo, de amor, de notícias atuais ou até mesmo de um assunto particular do internauta. A tática para este caso, explora um assunto cabível a qualquer pessoa.
Quais sentimentos são explorados
São exploradas vulnerabilidades emocionais da vítima e usa como isca assuntos atuais, promoções ou até mesmo falsas premiações.
Por não exigir conhecimentos técnicos, também existe sem tecnologia, algo conhecido como no-tech hacking.
Por ser tão simples, as vítimas de um engenheiro social podem demorar a duvidar da comunicação.
E talvez até chegar a isso, o criminoso já a terá atingido através de diferentes emoções, sendo algumas delas:
Curiosidade
Quase todo ataque do engenheiro social inicia a partir da curiosidade do alvo. No caso de phishing, por exemplo, é o benefício imperdível que ele poderá adquirir naquele momento, se seguir as instruções.
Após a surpresa inicial, o usuário certamente vai ter curiosidade para entender melhor do que se trata a mensagem recebida. E para validar sua opinião, ele pode acabar clicando em algum link malicioso ou preenchendo algum formulário.
Preguiça
Por que um funcionário iria digitar as senhas manualmente toda vez que forem acessar alguma coisa?
Ou até mesmo optar voluntariamente pela autenticação de dois fatores se tudo pode ser preenchido automaticamente?
Com atalhos nos tornamos, na maioria das vezes, mais vulneráveis.
Cortar caminho nem sempre é o melhor a ser feito.
É importante que todos sejam conscientizados não apenas sobre as medidas a serem tomadas na rotina dentro da empresa, mas também, a importância de cada uma delas.
Solidariedade
Ajudar um colega de trabalho é uma prática simples e naturalmente aplicada em um ambiente saudável.
Mas não só isso.
Como já dizia um velho ditado “Quando a esmola é demais, o santo desconfia”.
E o engenheiro social utiliza muito bem o recurso ao criar campanhas de doações falsas, descontos imperdíveis que serão revertidos em prol de alguma causa, etc.
É importante despertar nos funcionários o entendimento da importância de se questionar tudo com o que interagem ao longo do dia.
Até mesmo na voluntária ajuda alheia.
Vaidade
O modelo mais recente de um smartphone ou o luxo de realizar alguma atividade são características que envolvem a vaidade da vítima.
Funcionários podem ser seduzidos por uma oferta de empréstimo, compra ou até mesmo um novo emprego.
É pensando na própria fragilidade que todos devem ser conscientizados sobre separar o que precisam do que podem ter em um outro momento. pois o engenheiro social utiliza muito bem a vaidade ao seduzir as vítimas a partir do consumo.
Ansiedade
Em uma realidade em que o problema de grandes cidades e muitos ambientes corporativos é a ansiedade, a engenharia social aproveita-se muito do fato.
Tudo deve ser feito rapidamente, as ofertas são irrecusáveis e a sensação de urgência torna-se protagonista a ponto de muitos não atentarem-se ao que chega a eles.
É neste momento que as maiores vítimas são pegas, na pressa do momento, pois não são capazes de criar suspeitas sobre a situação.
Outros conceitos usados na engenharia social
Pretexto
Pretexto (adj. pretextual) é o ato de criar e usar um cenário inventado (o pretexto) para envolver uma vítima visada de uma maneira que aumenta a chance de a vítima divulgar informações ou executar ações que seriam improváveis, em circunstâncias comuns.
Uma mentira elaborada, geralmente envolve algumas pesquisas ou configurações anteriores e o uso dessas informações para representação por exemplo, data de nascimento, nomes etc… para estabelecer legitimidade na mente do alvo.
Essa técnica pode ser usada para enganar uma empresa na divulgação de informações de clientes, bem como por detetives particulares, para obter registros e outras informações diretamente dos representantes de serviços da empresa.
As informações podem ser usadas para estabelecer uma legitimidade ainda maior sob questionamentos mais difíceis com um gerente, por exemplo, para fazer alterações na conta, obter saldos específicos etc.
Discussion about this post