A engenharia social é um termo comumente utilizado em Segurança da Informação para se referir à persuasão de pessoas a realizar de ações privilegiadas ou divulgação de informações confidenciais. A persuasão é uma estratégia de comunicação que emprega recursos emocionais ou simbolismo para induzir a aceitação ideias, atitudes e realização de atos. Consiste na utilização de argumentos, legítimos ou não, com o objetivo de conseguir que indivíduos adotem determinada conduta, teoria ou crença que tendem a um comportamento esperado. O comportamento das pessoas de um determinado grupo ou organização pode ter um grande impacto na segurança das informações.
As técnicas empregadas na engenharia social são baseadas nos métodos de tomada de decisão dos seres humanos. Portanto independe do meio onde é aplicada; físico ou digital. Os ataques mais comuns acontecem por telefone e, em outros casos, os criminosos disfarçados como funcionários e até mesmo autoridades passando despercebidos enquanto roubam segredos. Segundo a teoria da influência de Robert Cialdini, a persuasão consiste em 6 princípios fundamentais: reciprocidade, compromisso e consistência, prova social, autoridade, gosto, escassez. Explico:
Reciprocidade – as pessoas tendem a retribuir favores. Amostras grátis induzem a retribuição do ato;
Compromisso e Consistência – quando as pessoas se comprometem, oralmente ou por escrito, elas são mais propensas a honrar com o compromisso;
Prova Social – as pessoas fazem coisas que veem outras fazendo. Existe a tendência de nos comportarmos parecido em grupo;
Autoridade – quando as pessoas recebem ordens de figuras de autoridade (policiais, bombeiros, diretores, etc) obederem e até cometem atos ilegais;
Gosto – as pessoas são facilmente persuadidas por outras de que gostam;
Escassez – a percepção de falta incentiva atos. Ofertas por tempo limitado incentivam vendas.
Na prática, as técnicas acima são aplicadas e ganham formas e interesses digitais. Agora veremos algumas situações cotidianas e já classificadas de como somos “hackeados”.
Vishing – é a prática criminosa de usar engenharia social pelo telefone para obter informações pessoas e financeiras com a finalidade de recompensa financeira. Também é empregada para coletar informações detalhadas sobre os alvos em golpes avançados. Você nunca recebeu aquela ligação de sequestro ou acidente de um parente sem ao menos saberem o nome da vitima?
Phishing – conhecido como “pescaria” em inglês é a técnica onde os criminosos se passam por empresas legitimas copiando suas marcas e logotipos e enviam massivamente e-mails para enganar o usuário e coletar informações e até mesmo instalar softwares maliciosos e manter monitoramento do alvo;
Spear Phishing – funciona da mesma forma que o anterior, porém o alvo é cuidadosamente definido;
Smishing – o Smishing é o Phishing via SMS. Mensagens fraudulentas são enviadas as vitimas massivamente e distribuem links de websites ou telefones para retorno.
Personificação – diferente dos anteriores que digitalmente persuadem, esta técnica nada mais é que fingir ser outra pessoa com o objetivo de acessar fisicamente sistemas ou locais;
Wattering Hole – neste caso o atacante busca por vulnerabilidades em sistemas confiáveis do alvo para penetrar e utilizar de ponto de disseminação de ameaças com diversas finalidades. Por exemplo, imagine se um atacante consiga injetar um código malicioso em grandes sites como redes sociais, bancos ou até mesmo buscadores. Milhares de usuários seriam infectados e mais tempo, menos tempo, o alvo também;
Baiting – baiting nada menos seria que um cavalo de tróia. Um presente grego, lindo cavalo, porém por dentro, grande ofensor. Neste caso utilizam pendrives, CDs e antigamente disquetes, que se caracterizam como software comum (até mesmo a versão atualizada do antivírus), porém com algumas “funcionalidades adicionais” do atacante. Uma vez inserido em computadores, infectam computadores e se disseminam em redes.
Quid pro quo – o invasor liga para números aleatórios de uma empresa se passando pelo suporte técnico. Eventualmente, alcança alguém com algum problema técnico real que feliz pelo suporte técnico ligar entrega todos os detalhes, inclusive suas senhas, e instruídas, instalam aplicações maliciosas na tentativa de resolver o problema.
Tailgating -o penetra adentra algum local “pegando carona” com alguém autorizado sem que seja notado ou alegando o esquecimento da credencial.
É realmente assustador como podemos ser iludidos e tropeçar nas armadilhas que os criminosos armam diariamente. Agora que você já conhece todas as técnicas e como funciona a engenharia social fica mais fácil evitar se tornar uma vítima. Programas de conscientização digital já são uma realidade nas empresas. Agora, o próximo passo é a popularização para todos. Fique atento, não seja a próxima vítima!
Tags: