Mirton Oliveira - Analista de Segurança da Informação do Sistema FIEC
14/02/2022
O que é engenharia social?
A engenharia social é uma técnica que explora o erro humano para obter algum tipo de vantagem.
No mundo cibernético, esses golpes de “hacking humano” tentam atrair pessoas desavisadas para expor dados, espalhar infecções ou ganharem acesso a algum sistema ou local.
Os ataques podem acontecer de forma online ou pessoalmente.
Golpes de engenharia social são construídos em torno de como as pessoas pensam e agem para manipular o comportamento delas. Uma vez que um invasor entenda o que motiva as ações de um usuário, ele pode enganar e manipular o usuário de forma efetiva.
Como funciona a engenharia social?
Ao contrário dos ataques tradicionais, que se utilizavam de força bruta ou de uma vulnerabilidade de uma aplicação para tentar ganhar algum acesso, o ataque de engenharia social depende muito da comunicação real entre atacante e vítima.
Eles se utilizam de sentimentos humanos. Com convencimento, tentam ganhar a confiança da vítima ou se utilizam de emoções intensificadas como o medo, curiosidade e até mesmo afetivas, para que a vítima tome ações de forma irracional. Como por exemplo, um atacante se passando por uma pessoa de cargo importante na empresa, dizendo estar em um momento de urgência no qual você teria de agir de forma rápida, sem muito tempo para pensar sobre a veracidade daquelas informações ou da ação solicitada.
Normalmente para um atacante ter sucesso ele segue alguns passos:
Inicialmente existe uma preparação, onde ele (o atacante) reúne informações básicas sobre você ou um grupo alvo para arquitetar o ataque.
Em seguida, ele se infiltra estabelecendo algum tipo de interação, tentando construir uma relação de confiança com a vítima.
Até que finalmente ele explora a vulnerabilidade encontrada, uma vez que essa confiança e a fraqueza são identificadas.
E por fim, o ataque é encerrado assim que a vítima tiver realizado a ação que o atacante deseja, e de forma furtiva ele desaparece. Normalmente sem deixar rastros.
Esse processo pode ser resumido em um único e-mail, uma breve conversa cara a cara ou mesmo no decorrer de vários meses, como um bate-papo nas redes sociais, por exemplo. Mas sempre com a mesma finalidade de ganhar algum tipo de vantagem sobre a vítima.
É muito importante ficarmos atentos a esse tipo de ataque. Muitos não percebem que com apenas algumas informações os hackers podem iniciar vários tipos de ataques e até mesmo praticar golpes se passando pela própria vítima.
Tipos de ataques de engenharia social:
A maioria dos ataques cibernéticos iniciam ou contém algum tipo de engenharia social no seu planejamento. Todos já devem ter recebido ou pelo menos visto um e-mail falso com uma história convincente contendo um arquivo malicioso ou um link externo. Esse seria um exemplo de phishing.
Mas existem muitos outros tipos de ataques além do phishing de e-mail. Existem phishings que são realizados através de ligações telefônicas, mensagens de SMS ou até mesmo um inofensivo Pendrive que aparece perdido na calçada; …basta espetá-lo na sua máquina e já era.
Outros tipos de ataques bem comum são os que se mostram como benefício para as vítimas, que caem na ilusão de que estão obtendo alguma vantagem sobre alguma promoção, como produtos com preços muito abaixo do mercado, o oferecimento de brindes em troca de um preenchimento de formulário, que assim como no phishing ele se mostra atrativo para o usuário, mas é apenas uma troca de suas informações pessoais por alguma recompensa que não existe ou mesmo o roubo de valores dessa vítima iludida.
Como identificar e se prevenir de ataques de engenharia social?
Desacelere e pense, pois o atacante espera que você aja de forma rápida, sem se questionar de algo. Quando estamos curiosos, com medo ou sob pressão, estamos mais suscetíveis e propensos a agirmos sem pensar. Por isso sempre se questione:
• Esta mensagem veio de um remetente legítimo?
• Meu amigo realmente me enviou esta mensagem?
• Essa oferta parece boa demais para ser verdade?
• Essa pessoa pode provar sua identidade?
Saber identificar e se prevenir ataques de engenharia social é extremamente importante
• Não clique em links encaminhados por desconhecidos;
• Sempre opte por autenticação multifator ou confirmação em duas etapas;
• Use senhas fortes;
• Seja cauteloso com o compartilhamento de suas informações pessoais;
• Cuidado com as amizades feitas pela internet;
• Mantenhas seus dispositivos em segurança, nunca deixe expostos/desbloqueados em locais públicos ou com seus sistemas desatualizados
A proteção contra a engenharia social começa com a mudança de nossos hábitos e a conscientização sobre os riscos e ameaças a que estamos expostos. Devemos sempre ficar atentos e disseminar com nossos amigos e familiares sobre os riscos.