5 coisas que você deve saber sobre Engenharia Social | WeLiveSecurity

5 coisas que você deve saber sobre Engenharia Social

A Engenharia Social desempenha um papel importante em ataques cibernéticos, não importa o tamanho. Saiba como essa técnica afeta usuários e empresas.

A Engenharia Social desempenha um papel importante em ataques cibernéticos, não importa o tamanho. Saiba como essa técnica afeta usuários e empresas.

A Engenharia Social desempenha um papel fundamental em um grande número de ataques cibernéticos, independentemente do tamanho do crime, pequeno ou sofisticado. De fato, como observou o pesquisador sênior da ESET David Harley em uma publicação (em inglês), a Engenharia Social sempre permaneceu como “uma constante ao longo da história da segurança na Internet”.

Mas o que exatamente é a Engenharia Social? Em seu sentido mais amplo, a Engenharia Social é baseada na manipulação psicológica, ou seja, tenta fazer com que outras pessoas façam o que você quer que elas façam. Por exemplo, você pode manipular um policial de trânsito para evitar pagar a multa por um veículo estacionado ou convencer seu chefe para obter um aumento salarial.

No contexto de crimes cibernéticos, é amplamente descrito como um método não técnico usado pelos cibercriminosos para obter informações, realizar fraudes ou conseguir acesso de forma ilegal aos computadores das vítimas. A Engenharia Social é baseada na interação humana e é conduzida por pessoas que usam o engano para violar os procedimentos de segurança que normalmente deveriam ter seguido.

Os ataques comuns de Engenharia Social incluem e-mails de phishing, vishing (telefonemas de pessoas que se apresentam como uma organização respeitada) e baiting (do inglês, “isca”, através das quais o invasor carrega drives USB com malware e simplesmente espera que o usuário os conecta à sua máquina).

A Engenharia Social também se estende a pesquisas de empresas e de amigos no LinkedIn e no Facebook, respectivamente, onde criminosos usam as redes sociais para criar confiança e obter dados. Muitas vezes, o resultado final é extorsão ou roubo.

Isso inclui a prática de roubar algo pequeno para enganar e, em seguida, ser capaz de roubar algo maior, e a prática de entrar ilegalmente em áreas seguras aproveitando a entrada de outra pessoa com permissão de acesso. Recentemente, no Reino Unido, um golpista usou a Engenharia Social durante sua sentença para escapar da prisão. Ele usou um telefone celular ilícito para criar uma conta de e-mail falsa, se fez passar por um funcionário da Suprema Corte e depois enviou suas “instruções de liberdade” para os funcionários da prisão. Eles o libertaram por engano, mas depois ele teve que se entregar novamente.

Os cibercriminosos usam esse tipo de ataque por vários motivos, como já explicamos. Não há dúvida de que é uma arma eficaz, que permite aos cibercriminosos roubar dados de acesso privilegiados, infectar pessoas com malware e até assustar as vítimas com scareware para que realizem um pagamento. Na maioria das vezes, seu objetivo final é roubar dinheiro e dados ou assumir a identidade da vítima.

Os golpes que usam a Engenharia Social são fáceis de fazer e não exigem muito dinheiro: o renomado consultor de segurança Kevin Mitnick disse uma vez que era mais fácil enganar alguém a dar sua senha a um sistema do que se esforçar para filtrar os dados.

Com tudo isso em mente, aqui estão cinco coisas que você deve saber sobre Engenharia Social.

1. É físico e digital

A Engenharia Social é um golpe antigo que se manifesta em todas as áreas da vida, por isso seria um erro pensar que é algo novo ou que você só o vê no mundo on-line.

De fato, a Engenharia Social tem sido usada no mundo físico há muito tempo. Existem inúmeros exemplos de criminosos que se apresentam como chefes de bombeiros, técnicos, exterminadores e zeladores, com o único objetivo de entrar no prédio de uma empresa e roubar segredos corporativos ou dinheiro.

Foi apenas muito mais tarde, em algum momento da década de 1990, que o vishing se tornou popular, seguido pelo e-mail de phishing.

2. Sua qualidade é altamente variável

A qualidade dos golpes varia muito. Para todo engenheiro social sofisticado que envia e-mails de phishing iguais aos autênticos ou que faz chamadas de vishing, existem muitos outros com erros gramaticais, que têm argumentos sem lógica e informações confusas.

Você provavelmente já encontrou vários desses personagens: em e-mails suspeitos de um “banco nigeriano” ou naqueles que afirmam você ganhou na loteria em outro país – há muitos exemplos de tentativas lamentáveis ​​de fraude.

3. Os países também usam Engenharia Social

Em um nível muito mais alto, os estados-nações estão participando ativamente de campanhas de Engenharia Social, ou pelo menos as usam como parte de ataques muito mais sofisticados: ameaças persistentes avançadas (APT). Esse tipo de espionagem on-line desempenha um papel importante nos esforços cibernéticos de países como Estados Unidos e China, conforme revelado por um post da Wired.

“Embora que o termo APT sugere o uso de sofisticada tecnologia maliciosa, os ataques APT geralmente dependem da antiga tática de Engenharia Social para alcançar a introdução inicial em um sistema”, comentou Harley recentemente.

“Quando o objetivo do invasor é a fraude ou a espionagem, ele prefere atacar o sistema de pessoas com uma alta posição dentro da organização, para ter acesso a dados confidenciais”.

4. Você provavelmente não perceberá o ataque

O aspecto mais preocupante sobre ataques desse tipo é que não há aviso imediato, não há sinal claro de que você está sendo atacado ou que seu computador foi infectado. Não há uma janela pop-up solicitando bitcoins (como no CryptoLocker e outros tipos de ransomware), nem um anúncio de scareware tentando convencê-lo a baixar um aplicativo ou ligar para uma central de serviço técnico.

Na maioria das vezes, os criminosos realizam seus ataques, roubam os dados que procuram e depois desaparecem. E se for roubo de dados, você provavelmente nunca descobrirá a infecção, muito menos se seus dados estiverem sendo vendidos ilegalmente na Dark Web.

5. Foca principalmente nas empresas

A engenharia social afeta a todos, mas os golpistas a utilizam cada vez mais para atacar grandes empresas e PMEs: 2014 foi descrito como o ano em que os cibercriminosos entraram no setor de negócios.

Um relatório do setor de segurança no início de 2015 revelou que a Engenharia Social está sendo usada para atingir especificamente gerentes de nível intermediário e altos executivos. O motivo é porque eles são como uma “mina de ouro”, explicou Richard De Vere, consultor de engenharia social e pentester da The AntiSocial Engineer Limited, naquela época.

“Se você está preparando um e-mail de phishing, o LinkedIn é uma mina de ouro, onde é possível obter dados da alta gerência e altos executivos”, disse Richard à SC Magazine. “As ferramentas automatizadas podem listar rapidamente centenas de endereços de e-mail, com dados do usuário e suas credenciais de acesso VPN/OWA/Active Directory”.

Discussão