A engenharia social é, basicamente, a capacidade de conseguir o acesso a informações confidenciais e dados sigilosos através de técnicas de persuasão, trabalhando por meio de manipulação psicológica.

Essas técnicas são utilizadas pelos cibercriminosos em ataques cibernéticos e golpes digitais, como uma peça fundamental para que os atacantes consigam obter sucesso em seus atos.

A engenharia social é a inteligência por trás dos ataques cibernéticos. Ao unir essa inteligência com a ferramenta certa, normalmente um malware, os criminosos elaboram a estratégia ideal para ou golpe bem-sucedido.

Por isso, neste artigo nós iremos desvendar as etapas e estratégias da engenharia social, abordando os seguintes tópicos:

O que é a engenharia social e como surgiu?

A engenharia social é a aplicação de estratégias de manipulação utilizadas para conseguir informações que são confidenciais. Apesar de serem utilizadas em ataques cibernéticos nos dias atuais, essas técnicas já existem há milênios.

Um dos primeiros registros da aplicação da engenharia social na história foi o episódio do Cavalo de Troia, presente no romance “A Odisseia”.  Em 1184 a.C, os troianos e gregos estavam envolvidos em uma guerra longa e aparentemente sem fim.

Depois de 10 anos, os gregos perceberam que precisariam utilizar a astúcia para derrotar os troianos. Sendo assim, construíram um cavalo de madeira gigante e esconderam parte de seu exército dentro dele.

O resto dos militares partiu, acenando uma derrota. Os troianos caíram no truque; arrastando a estátua de madeira para dentro de suas barreiras protetoras, como um troféu por sua vitória tão esperada.

Ao anoitecer, depois que os troianos foram para a cama, os soldados gregos que esperavam no interior do cavalo escaparam, destrancaram os portões em volta da cidade - colocando para dentro o restante dos seus soldados.

Os gregos então usaram o elemento surpresa, combinando com a manipulação  para destruir a cidade de Tróia. Esse exemplo é um dos primeiros registros históricos do uso da engenharia social.

Cavalo de Tróia: 5 maneiras de se proteger desse malware

Cavalo de Troia (Trojan Horse, ou simplesmente Trojan), é um tipo de malware - ou seja, um software malicioso - que comumente se passa por bom moço ao se disfarçar de um programa legítimo, com o intuito de enganar sua potencial vítima. Não, não estamos falando grego. Você pode conhecer mais sobre m…

Daniel HenriqueBlog Starti - Cibersegurança

Engenharia social é crime?

A resposta curta e direta: sim. Visto que a engenharia social é utilizada para fraudes, golpes e ataques cibernéticos, ela trona-se a inteligência na execução de um crime cibernético.

O sucesso dessa engenharia está no elo explorado por ela: a interação humana. Os criminosos coletam informações, utilizam diferentes pretextos, oferecem incentivos levando as vítimas a tomarem determinadas ações, através da manipulação psicológica.

Tipos de técnicas da Engenharia Social

Ainda que você não tenha conheça o termo engenharia social, com certeza já foi enganado ou conhece alguém que foi. Um exemplo simples são os golpes de falsos sequestros.

Alguém liga para você dizendo que está com seu filho, ou sua mãe, pai ou irmão, e afirma que você terá que depositar uma quantia para ele, se quiser que a pessoa continue viva e seja liberada.

Ou também, um sms ou ligação dizendo que você ganhou dez mil reais, e que precisa passar suas informações pessoais, como o CPF, número da conta, ou se dirigir até sua agência para concluir a operação e pegar o dinheiro!

Viu só? Tenho certeza que você conhecesse tais táticas.

Mas, a engenharia social vai bem além dessas estratégias famosas citadas aqui. Ela usa elementos que garantem o seu funcionamento e efetividade, por isso é tão utilizada nos ataques cibernéticos.

Basicamente são quatro elementos, a saber:

• Coleta de Informações

O passo é coletar as informações, um ponto onde é necessário paciência e persistência. A coleta de informações é a fase mais trabalhosa e demorada do ciclo de ataque, mas é, muitas vezes, um dos principais determinantes do sucesso ou fracasso do engajamento.

Alguns meios de coletar informações exigem habilidades técnicas, enquanto outras necessitam de habilidades interpessoais de hacking humano.

Algumas opções podem ser usadas em qualquer local com acesso à internet e outras só podem ser feitas pessoalmente em um local específico.

Os meios mais fáceis de obter as informações se encontram em redes sociais, onde as pessoas expõem publicamente seus dados.

Esse elemento é um dos mais cruciais na engenharia, pois, quanto mais informações o atacante obtiver, mais específico e direcionado será o ataque que ele poderá realizar. Conhecer bem o alvo é um fator crucial.

• Pretexto

Este elemento é definido como a prática de se apresentar como outro alguém para obter informações privadas. É bem mais do que apenas criar um perfil fake.

Em alguns casos, pode envolver criar uma identidade totalmente nova, e, em seguida, usar essa identidade para manipular o recebimento de informações.

O pretexto também pode ser usado para representar pessoas em determinados trabalhos e funções que eles próprios nunca realizaram.

Não existe uma forma única de se utilizar o pretexto. Na verdade, o atacante ajusta o pretexto as técnicas de engenharia ao longo dos ataques que executa.

Apesar disso, ele sempre terá um ponto de partida: a pesquisa. O foco é adequar-se da melhor forma possível para conquistar seu alvo.

• Elicitação

Esse termo é um dos que melhor caracteriza a engenharia social. Isso porque, a elicitação é o ato de obter informações sem solicitar diretamente, um processo de extrair informações de alguém. É geralmente feito através de perguntas indiretas.

A NSA tem uma definição muito precisa desse termo:

“No comércio de espionagem, elicitação é o termo aplicado à extração sutil de informações durante uma conversa aparentemente normal e inocente. A maioria dos agentes de inteligência é bem treinada para aproveitar oportunidades profissionais, ou sociais, para interagir com pessoas com acesso a informações sigilosas, ou outras informações protegidas.”

Entendeu o porque esse elemento é tão importante na estrutura da engenharia social? Tais elementos, de maneira combinada e muito silenciosa, possibilita aos atacantes concretização de seus objetivos.

• Manipulação

Este último elemento é um termo bem conhecido, sendo definido como um tipo de influência social, que visa mudar o comportamento ou a percepção de um indivíduo por meio de táticas indiretas, enganosas ou dissimuladas.

No caso da engenharia social, utilizada com o fim de executar um ataque, essa manipulação é sempre o ingrediente essencial, que levará o indivíduo à tomada da ação necessária para que o atacante tenha sucesso em seu plano.

Algumas características que tornam a manipulação ainda mais sutil e poderosa sobre sua vítima:

• Incentivos

Os incentivos estão no cerne da compreensão do comportamento humano, e, como tal, estão no centro do entendimento de porque as pessoas fazem o que fazem. Esse entendimento ajuda àquele que deseja manipular alguém a entender quais caminhos e táticas utilizar para ser bem-sucedido.

Outros elementos da manipulação que derivam dos incentivos:

• Financeiro
• Social
• Ideológico

Com esses pontos esclarecidos, podemos entender porque a engenharia social é tão sorrateira e obtém tanto êxito em sua execução.

Ataques de Engenharia Social

Você sabia? A engenharia social é o padrão mais comumente visto em violações no ano passado, de acordo com o DBIR 2021 da Verizon.

Conheça agora alguns dos principais ataques de engenharia social:

Baiting

Baiting é o termo em inglês para isca, sendo perfeito para definir essa tática de engenharia social.

Através dela, crackers deixam à disposição do usuário um dispositivo infectado com malware, como um pen-drive ou um CD. A intenção é despertar a curiosidade do indivíduo para que insira o dispositivo em uma máquina, a fim de checar seu conteúdo.

O sucesso dos ataques de baiting depende de três ações do indivíduo: encontrar o dispositivo, abrir seu conteúdo e instalar o malware sem perceber. Uma vez instalado, o malware permite que o hacker tenha acesso aos sistemas da vítima.

A tática envolve pouco trabalho por parte do cracker. Tudo que ele precisa fazer é infectar um dispositivo e, ocasionalmente, deixá-lo à vista do alvo, seja na entrada ou no interior dos escritórios.

O dispositivo pode ser, por exemplo, um pen-drive contendo um arquivo com nome “chamativo”, como “folha salarial 2019”.

Em 2011, a Bloomberg relatou que em um teste feito com funcionários do governo norte-americano, 60% das pessoas pegaram um pen-drive deixado no estacionamento e plugaram nos computadores do escritório.

No caso dos dispositivos que tinham um logo oficial, 90% instalaram o arquivo.

Phishing

O famoso e-mail de phishing, apesar de já existir há anos, ainda é uma das técnicas mais comuns de engenharia social, pelo seu alto nível de eficiência.

O phishing ocorre quando um cibercriminoso produz comunicações enganosas, que podem ser interpretadas como legítimas pela vítima, pelo simples fato de virem de fontes confiáveis.

Em um ataque de phishing, os usuários podem ser coagidos a instalar um malware em seus dispositivos, ou a compartilhar informações pessoais, financeiras ou de negócio.

Apesar de o e-mail ser o modo mais tradicional para o envio de phishing, esse tipo de ataque também pode vir na forma de um contato em dispositivos móveis.

Para isso, entra em cena os dois primos do phishing: o smishing - aplicado através de mensagens de textos (SMS) e o vishing, onde o atacante executa as técnicas através de uma ligação falsa.

Os piores ataques de phishing se aproveitam de situações trágicas, assuntos em alta e promoções absurdas.

O objetivo é sempre o mesmo: explorar a boa vontade das pessoas, fazendo com que essas passem informações pessoais, obtendo lucros financeiros.

Pretexting

Por meio do pretexting, os crackers fabricam falsas circunstâncias para coagir a vítima a oferecer acesso a informações e sistemas críticos. Nesse caso, os atacantes assumem uma nova identidade, ou papel, a fim de transmitirem confiança para a vítima.

Tudo que o criminoso precisa é, olhando nos perfis da vítima nas redes sociais, descobrir informações, como data e local de nascimento, empresa, cargo, nomes de parentes, colegas de trabalho, amigos, dentre outros.

Lembra da tática de coletar as informações? Ela se encaixa bem nesse ponto.

Depois, basta enviar um e-mail (ou outro tipo de comunicação) à vítima fingindo a necessidade de confirmar dados para garantir seu acesso a algum sistema específico.

Pode ser, por exemplo, um e-mail supostamente da equipe de TI, coagindo a vítima a divulgar suas credenciais.

Spear phishing

O spear-phishing é uma forma sofisticada de phishing, focado em indivíduos e organizações específicas.

Nesse tipo de ataque, o cracker se passa por algum executivo, ou outro membro chave da empresa, e aborda funcionários com intuito de obter informações sensíveis, uma tática de engenharia social para transmitir autoridade.

Os bandidos podem obter, por meio das redes sociais, informações sobre o alvo e o quadro organizacional da empresa.

Depois disso, basta enviar alguma comunicação fingindo ser, por exemplo, um dos executivos da empresa, com uma demanda urgente que requer uma transação financeira imediata para uma conta específica.

Esse tipo de ataque costuma ter altas taxas de sucesso no convencimento de funcionários, para que executem ações específicas, ou passem informações sensíveis, através das técnicas de manipulação.

Vale a pena ressaltar que o Google registrou 2.145.013 sites de phishing em 17 de janeiro de 2021. Esse número é superior aos 1.690.000 em 19 de janeiro de 2020 - um aumento de 27% em 12 meses.

Como não ser manipulado

Talvez no começo da leitura desse artigo você pode ter pensado:

“Ah, mas quem cai nisso? Como as pessoas não percebem que isso são estratégias para enganá-las?”

Mas, acredito que agora você compreende ser um pouco mais complexo do que parece. Golpes mais antigos, como os que dei o exemplo lá no ponto sobre os tipos de técnicas, são bem fácil de identificar.

Porém, como não cair em golpes como o  phishing, o baiting, o pretexting e o spear phishing? É possível estar seguro na utilização da internet e das tecnologias?

Claro que sim! Descubra como.

Segurança Pessoal

Primeiro passo fundamental: seja alguém que desconfia. Como vimos aqui nas estratégias e nos ataques, as pessoas são levadas pela ambição, pela confiança excessiva, e até pela própria preguiça.

Desconfiar e procurar avaliar de fato uma informação, seja um e-mail, mensagem ou arquivo que você recebeu, é um exercício de prevenção e cuidado com suas informações.

E por falar em informações, está aí outra coisa que você precisa cuidar bem: seus dados sensíveis.

Nunca divulgue informações confidenciais, ou mesmo informações aparentemente não confidenciais sobre você ou sua empresa, seja por telefone, on-line ou pessoalmente, a menos que você possa primeiro verificar a identidade da pessoa que solicita e a necessidade dessa pessoa para ter essa informação.

Dicas simples para evitar cair na engenharia social:

• Não baixe arquivos e anexos em e-mails suspeitos;
• Não responda nem interaja com mensagens de textos suspeitas;
• Utilize autenticação de dois fatores em suas contas e aplicativos;
• Mantenha as atualizações em dia;
• Proteja seus dispositivos móveis e suas máquinas;
• Postergue as decisões: não tome ações precipitadas que envolvam entregar informações suas ou de terceiros.

Segurança para as Empresas

Recentemente, a Segurança da Informação está em voga, sendo tema de manchetes na TV e na internet, apesar disso, muitas empresas, principalmente as pequenas e médias, pensam que ela é um gasto e não uma peça fundamental na continuidade dos negócios.

Existem várias ferramentas e ações podem garantir que as informações e dados de uma empresa estejam guardadas. Tais como: Firewall, Antivírus, Webfilter, VPN, entre outros.

Apesar disso, é um consenso entre os especialistas que boa parte dos ataques ocorrem por ações de pessoas que estão nas empresas.

Como assim? A segurança da informação visa que, além das ferramentas, ações por parte de pessoas, cientes da importância das informações para o funcionamento da empresa.

Os colaboradores das empresas devem conseguir reconhecer possíveis ameaças e tomar decisões de segurança corretas por conta própria.

Além de adotar boas tecnologias para proteger da empresa, é necessário construir uma cultura de segurança, onde os indivíduos envolvidos conheçam os riscos e saibam quais ações tomar para evitar e reportar golpes e ciberataques.

Conclusão

Apesar de ser um dos principais ingredientes no sucesso dos ataques cibernéticos, e acontecer diariamente, a engenharia social ainda é muito desconhecida pelas pessoas, que são, por vezes, presas em suas armadilhas.

Não se esqueça: desconfie, verifique, comunique e tome os passos necessários para se manter seguro.

Os criminosos já sabem que a informação é petróleo da nossa era, e você? Ainda duvida disso?

Mergulhe mais no assunto:

Cultura de Cibersegurança para empresas: entenda porque é importante!

Phishing: o que é e como não ser fisgado.

Acompanhe nossos outros canais e receba os melhores conteúdos de cibersegurança e tecnologia.