Entenda o que é Engenharia Social e como se proteger

O que é engenharia social?

Engenharia social é uma técnica de espionagem muito explorada por criminosos especializados em crimes virtuais. Os cibercriminosos praticam fraudes contra pessoas comuns e agentes institucionais por meio das técnicas de engenharia social cada vez mais sofisticadas.

Empresários e usuários que trafegam pela internet são alvos fáceis desses bandidos que escolhem principalmente as pessoas que se expõem de forma excessiva. Ou seja, que possuem um sistema vulnerável, não se importam com a segurança na rede, clicam em links suspeitos e não se protegem.

No entanto, para conseguir praticar um golpe contra um empresário precavido, que possui uma empresa com um sistema protegido e atualizado, alguém que preza pela segurança da informação colocando em uso técnicas, ferramentas e hábitos alinhados com essa proteção, a engenharia social deve ser mais dedicada e buscar por um ponto ínfimo de vulnerabilidade, uma pequena brecha, pois ela será o suficiente para o ataque ocorrer.

Tipos de engenharia social

Saber o que é engenharia social e a quantidade ampla de ataques existentes é fundamental para se proteger. Muitos são conhecidos e podemos falar sobre eles. Mas devemos considerar a hipótese de novos modelos de ataques ainda não terem sido reconhecidos por especialistas no assunto. Dentre os tipos de engenharia social temos:

Phishing

No modelo de ataque cibernético phishing, a síntese de engenharia social utilizada é sofisticada. Os criminosos elaboram layouts e mensagens com gatilhos mentais, uso de palavras-chave específicas e focam em um público-alvo em potencial. Em muitos casos, o usuário é assediado com um email corporativo ou de alguma instituição bancária, por exemplo, dizendo que ele deve atualizar o sistema por meio de um link em anexo ou clicando em um botão.

Dentro desta categoria, ainda temos o vishing e o smishing, que utilizam a ligação telefônica feita por um criminoso se passando por uma instituição e o golpe que flui por meio de SMS, respectivamente. É muito importante ficar atento a ligações de supostos telemarketings e SMS contendo links, pois o acesso aos dados da vítima necessita de uma ação direta do alvo: clicar no link ou informar dados importantes em uma ligação feita por criminosos.

Quid pro quo

Um modelo muito comum é o quid pro quo, termo que deriva do latim “troca justa não caracteriza um roubo”. Esse modelo de cibercrime se baseia em um email enviado a uma vítima em potencial dizendo a ela que ela ganhou benefícios e foi premiada. O próximo passo é solicitar à vítima que ela forneça dados importantes para prosseguir com a premiação, podendo ser o CPF, RG, endereço, além de outros dados.

Essa forma de ataque também se caracteriza com o uso de ransomware, utilizado para infectar a máquina do usuário ao clicar em um link, e na abordagem por meio de scareware, um modelo de ataque onde o usuário é abordado com uma proposta de elevar a segurança de seu computador e sistema clicando em um link e atualizando sua máquina.

Dispositivo de armazenamento infectado

Infectar um pen drive com um malware e deixar que um alvo em específico acesse o dispositivo sem os devidos cuidados também é uma forma de engenharia social. Neste caso, o alvo geralmente são funcionários de empresas importantes, que possuem acesso, mesmo que limitado, a um sistema de uma empresa. Desde um recepcionista até um colaborador de confiança, o uso de um dispositivo USB infectado com um malware é uma possibilidade de acesso a dados intrínsecos e sigilosos para os cibercriminosos.

Narrativa

Muitos cibercriminosos recorrem a narrativas e histórias comoventes enviadas por emails para fisgar as vítimas que se comovem com o apelo emocional do que está sendo dito no email, por isso toma a iniciativa de ajudar. Por exemplo, um email apelando para a ajuda humanitária, solicitando doação, ou de algum anônimo contando alguma história comovente precisando de apoio para adquirir medicamentos caríssimos. No entanto, tudo não passa de um golpe que se inicia assim que o usuário clica em algum anexo contido na mensagem.

Relação direta

Neste método, o cibercriminoso usa uma relação direta estabelecida com a vítima, onde um relacionamento é construído gradualmente. Pode ser um relacionamento amoroso online, onde a relação vai engrenando aos poucos e informações intrínsecas do usuário são utilizadas. Essa é uma categoria de golpe cada vez mais comum e antes de uma pessoa se envolver com outra pessoa de forma online, seja em um projeto ou em uma relação amorosa, é importante ir atrás de dados confiáveis e comprovar a identidade de quem está do outro lado antes de qualquer envolvimento.

Como funciona a engenharia social?

Saber o que é engenharia social e como ela funciona permite uma compreensão sobre todo tipo de ataque cibercriminoso. O modelo phishing, por exemplo, se baseia em ligação telefônica, email e SMS. Os vírus que são disseminados por meio de emails e palavras apelativas que buscam mexer com o lado sentimental da vítima, também são estratégias usuais atualmente. Tudo isso contém engenharia social.

A base de funcionamento da engenharia social é o foco em metodologias de contato com as pessoas que acessam um computador, seja por meio da rede ou por dispositivo de armazenamento contaminado. O objetivo é roubar dados, lesar o usuário e lucrar com isso de alguma forma. Esse contato é algo artístico, roteirizado e deve ser preparado.

Veja as seguintes etapas deste ciclo de preparação e golpe:

• Preparação
• Infiltração
• Exploração
• Dispersão

Comportamentos para identificar Engenharia Social

Ataques cibernéticos envolvendo engenharia social podem ser identificados a partir de uma etapa do ciclo de fraude que está sendo explorada:

• Emoções – As emoções são exploradas de formas diferentes, tanto de forma apelativa quanto de forma confrontativa. Se deparar com uma situação suspeita e apelativa deve elevar o alerta;
• Gatilho de Urgência – Emergências envolvendo a segurança do usuário ou em outra situação inusitada são postas em jogo e precisam ser analisadas com cuidado;
• Confiança – Um contato em médio e longo prazo requer confiança, e conquistar a confiança da vítima é um grande trunfo para os cibercriminosos. Sempre busque saber quem realmente está do outro lado.

Além do ciclo descrito acima, também há a exceção, formas de obter os dados e invadir o computador ou dispositivo móvel da vítima com simplicidade. Hackear uma rede wi-fi desprotegida e com muitos usuários já é suficiente para ter acesso a dispositivos móveis e computadores nessa rede, por exemplo.

Como se proteger da engenharia social?

Não é simples se defender da engenharia social, pois as metodologias utilizadas pelos cibercriminosos exploram as fraquezas e impulsos humanos. A vulnerabilidade do operador permite haver uma brecha para que um sistema todo seja comprometido. Mas é possível se proteger com atitudes simples no dia a dia. O primeiro passo é saber o que é engenharia social a fundo para se firmar em hábitos saudáveis de proteção no dia a dia.

Veja quais são as formas de se proteger da engenharia social:

• Ao receber um email, confira o remetente e o assunto. Se desconfiar de algo, entre em contato com o remetente por meio de uma ligação telefônica e peça para que essa pessoa confirme se enviou o email antes de clicar em um anexo;
• Não abra um pen drive em sua máquina sem antes escaneá-lo no antivírus;
• Não clique em anexo de SMS ou de emails contendo promoções onde a chamada para ação requer um clique. Sempre que receber promoções ou for premiado em algo, vá até o site oficial por meio do Google, entre em contato com um operador e verifique se tudo é verdade;
• Se for utilizar uma máquina de terceiros para fazer alguma pesquisa ou entrar em um site não confiável para baixar arquivos, salve esses arquivos em mídia digital, pois isso evita a disseminação de vírus.
• De forma mais complexa, utilize sistemas operacionais com um grau de proteção mais elevado. O Sistema Tails ou Qubes OS são soluções viáveis, onde repartições e o uso de máquinas virtuais isolam informações de suma importância, impedindo que um hacker acesse essas informações, mesmo que uma repartição “X” ou “Y” seja infectada.

Exemplos de ataques de engenharia social

Alguns casos famosos de ataque envolvendo engenharia social servem de exemplos para todos tomarmos mais cuidado, veja quais são:

• A Toyota foi vítima de um ataque BEC (Business Email Compromise) em 2019, e perdeu 37 milhões de dólares. Atualmente, o sistema da Kojima Industries, fornecedora de materiais plásticos para Toyota, sofreu um ataque de hackers, paralisando a produção da montadora no Japão;
• Em 2017, o site da criptomoeda Ethereum Classic foi hackeado por meio de engenharia social, onde os hackear se passaram pelos donos do site e conseguiram roubar muitas criptomoedas;
• O ataque phishing nas eleições de 2016 nos EUA é um caso considerado por especialistas como uma manobra de engenharia social para influenciar a opinião pública a favor de Donald Trump ao concorrer com Hillary Clinton;
• Por meio de um email falso, a Sony Picture sofreu um vazamento de dados após um ataque de hackers da Coréia do Norte.

Quais sentimentos são explorados na Engenharia Social?

Os principais sentimentos explorados pelos cibercriminosos em um ataque envolvendo engenharia social são:

• Medo;
• Escassez;
• Euforia;
• Indignação;
•  

Como investir na segurança das empresas?

O primeiro passo para você proteger sua empresa e colaboradores contra os cibercriminosos é tendo um suporte de TI de qualidade em sua empresa. Além disso, receber o apoio de um parceiro especializado em segurança digital e suporte operacional, como a UPGrade TI, permite elevar a proteção de sua empresa em todas as camadas.

Converse com um especialista da UPGrade TI hoje mesmo e saiba mais como obter todo o suporte necessário para proteger sua empresa contra engenharia social simples e sofisticada! Nossos especialistas mostrarão mais detalhes sobre o que é engenharia social e revelar o que há de mais confiável em segurança de dados atualmente.