5 coisas que você deve saber sobre a Engenharia Social

5 coisas que você deve saber sobre a Engenharia Social

A Engenharia Social tem um papel fundamental em uma grande quantidade de ciberataques, independentemente do crime ser grande, pequeno ou sofisticado. De fato, como já foi observado pelo pesquisador sênior da ESET, David Harley, em ocasião anterior, que essa técnica sempre se manteve como uma constante ao longo de toda a história da segurança da

A Engenharia Social tem um papel fundamental em uma grande quantidade de ciberataques, independentemente do crime ser grande, pequeno ou sofisticado. De fato, como já foi observado pelo pesquisador sênior da ESET, David Harley, em ocasião anterior, que essa técnica sempre se manteve como uma constante ao longo de toda a história da segurança da

A Engenharia Social tem um papel fundamental em uma grande quantidade de ciberataques, independentemente do crime ser grande, pequeno ou sofisticado. De fato, como já foi observado pelo pesquisador sênior da ESET, David Harley, em ocasião anterior, que essa técnica sempre se manteve como uma constante ao longo de toda a história da segurança da Internet.

No entanto, o que é exatamente isso? Em seu sentido mais amplo, a Engenharia Social se baseia na manipulação psicológica, ou seja, tentativas de conseguir com que algumas pessoas sigam comandos de uma outra. Por exemplo, manipular a um guarda de trânsito para evitar pagar a multa de um veículo mal estacionado, ou elogiar ao seu chefe para conseguir um aumento salarial.

No contexto do crime cibernético, a Engenharia Social é amplamente descrita como um método não técnico utilizado pelos cibercriminosos para obter informações, realizar fraudes ou obter acesso ilegal às máquinas das vítimas. A Engenharia Social baseia-se na interação humana e é impulsionada por pessoas que usam o golpe com a finalidade de violar os procedimentos de segurança que deveriam ter seguido.

Os ataques e Engenharia Social comuns incluem emails de phishing, vishing (ligações telefônicas de pessoas que se fazem passar por uma respeitada empresa) e baiting (em inglês “carnada”, onde o atacante inseri malware em unidades USB e, em seguida, simplesmente espera que o usuário as conecte na máquina).

A Engenharia Social também se estende à procura de empresas e de amigos no LinkedIn e Facebook respectivamente, onde os cibercriminosos utilizam as redes sociais para gerar confiança e obter dados. Com bastante frequência, o resultado final é a extorsão ou o roubo.

Isso inclui a prática de roubar algo pequeno para despistar a atenção das vítimas e poder roubar algo maior posteriormente, além de acessar ilegalmente a zonas seguras, aproveitando a entrada de outra pessoa com permissão de acesso. Há pouco tempo atrás, no Reino Unido, um golpista utilizou Engenharia Social durante sua condenação para escapar da prisão. Usou um celular ilegal para criar uma conta de email falso, se passou por um funcionário da suprema corte e, em seguida, enviou instruções de liberdade por meio do pagamento de fiança” aos empregados da prisão. Logo o libertaram por um erro, no entanto, mais tarde ele se entregou.

Os cibercriminosos utilizam esses tipos de ataques por diversos motivos, como já explicamos. Não há dúvida que é uma arma eficaz, que lhes permite roubar credenciais privilegiadas, infectar as pessoas com malware e inclusive assustá-las com um scareware inútil e perigoso para que façam um pagamento. A maior parte do tempo, o objetivo é roubar dinheiro e dados ou assumir a identidade da vítima.

É fácil de fazer e tem baixo custo: o reconhecido consultor de segurança, Kevin Mitnick, uma vez disse que era mais fácil enganar a alguém para que dê sua senha de acesso a um sistema do que fazer o esforço para hackeá-lo.

Com tudo isso em mente, a seguir mencionamos cinco aspectos que você deve conhecer sobre a Engenharia Social.

1. Física e digital

A Engenharia Social é um antigo golpe que se manifesta em todos os âmbitos da vida, o que seria um erro pensar que se trata de algo novo ou que apenas se vê no mundo online.

De fato, essa técnica é utilizada no mundo físico há muito tempo. Existem numerosos exemplos de delinquentes que se passaram por chefes do quartel de bombeiros, técnicos, e pessoal de limpeza, com o único propósito de entrar no edifício de uma determinada empresa e roubar segredos corporativos ou dinheiro.

Recentemente, em algum momento da década de 1990, o vishing se tornou popular, seguido pelo email de phishing.

2. Qualidade variável

Kelly-Marken

A qualidade dos golpes varia amplamente. Alguns engenheiros sociais sofisticados enviam emails de phishing iguais aos autênticos ou que fazem ligações de vishing, há também muitos outros que falam mal o idioma, que tem argumentos sem lógica e informações confusas.

Provavelmente você já tenha se deparado com vários destes personagens: no email duvidoso de um “banco nigeriano” ou nos que afirmam que você ganhou na loteria em outro país: há muitos exemplos de tentativas lamentáveis de fraudes.

3. Os países também a utilizam

Em um nível muito mais elevado, os estados-nação estão participando ativamente de campanhas de Engenharia Social ou a menos as usam como parte de ataques muito mais sofisticados: as ameaças persistentes avançadas (APT). Este tipo de espionagem online cumpre uma função importante nos esforços cibernéticos de países como os Estados Unidos e China como revelou uma publicação do Wired.

“Enquanto que o termo APT sugere o uso de tecnologia maliciosa sofisticada, os ataques APT frequentemente são baseados na antiga tática de Engenharia Social com a finalidade de atingir a introdução inicial em um sistema”, comentou Harley.

“Quando o objetivo do intruso é a fraude ou a espionagem, preferencialmente ataca o sistema de pessoas com um cargo mais alto dentro da empresa, como forma de ter acesso a dados confidenciais”.

4. Provavelmente você não perceberá o ataque

O mais preocupante sobre os ataques desse tipo é que não há uma advertência imediata, não há sinal claro que estão te atacando ou que seu computador foi infectado. Não aparece nenhuma janela pedindo bitcoins (como com CryptoLocker e outros tipos de ransomware), nem um anúncio de scareware que tenta convercer a vítima para que baixe um aplicativo ou para que você ligue para um centro de serviço técnico.

A maior parte do tempo, os deliquentes realizam o ataque, roubam os dados que buscam e, em seguida, desaparecem. Trata-se de um roubo de dados, provavelmente você nunca perceba a infecção e muito menos que seus dados estão sendo vendidos ilegalmente na Dark Web.

5. Voltado principalmente para as empresas

alice-photo

A Engenharia Social afeta a todos, mas os golpistas a utilizam cada vez mais para atacar as grandes corporações e as startups: em 2014 foi o ano no qual os cibercriminosos mudaram para o setor empresarial.

Um relatório da indústria no início de 2015 revelou que se usa a Engenharia Social para atacar especificamente os gerentes e os altos executivos. A razão é porque são como uma “mina de ouro”, explica na época o consultor de Engenharia Social e pentester no The AntiSocial Engineer Limited, Richard De Vere.

“Se você está preparando um email de phishing, LinkedIn é uma mina de ouro, onde se pode obter informações dos gerentes e altos executivos”, disse a SC Magazine.

“As ferramentas automatizadas podem fazer rapidamente uma lista de centenas de endereços de email, com os dados dos usuários e credenciais de VPN/OWA/Active Directory”.

Discussão