A Engenharia Social é uma técnica de ataque que se baseia na psicologia ao invés do conhecimento sofisticado de software ou hardware, pois busca explorar os erros humanos.

Nesse caso, o engenheiro social empregará estratégias destinadas a explorar os próprios preconceitos e crenças das pessoas de maneira a negar-lhes momentaneamente o serviço do bom julgamento e o uso de procedimentos padrão.

É interessante entender um pouco mais sobre o conceito de Engenharia Social, e também quais são as técnicas mais usadas por eles para atingir pessoas e a confiança das organizações.

Phishing

Primeiramente, é importante saber que o phishing acontece quando um invasor tenta obter informações confidenciais de usuários disfarçando-se de alguém confiável em um e-mail ou mensagem instantânea.

Tais mensagens podem, inclusive, ser para um só indivíduo ou para um grande grupo de usuários, geralmente aleatórios.

Atualmente, o phishing é a forma mais comum de ataque de engenharia social relacionado à segurança do computador. O alvo pode ser um sistema de computador e acesso às informações nele encontradas ou ainda pode ser informações pessoais, geralmente financeiras, sobre um indivíduo.

Smishing

O Smishing é uma versão de phishing via SMS.

Logo, ele começa com uma mensagem SMS direcionando o usuário para um URL, que pode servir a uma variedade de vetores de ataque, incluindo formas de malware.

Tal ataque acontece principalmente devido ao uso de urgência e intimidação na mensagem, podendo ser um aviso como “Você está inscrito no serviço XYZ, que vai acarretar em uma X cobrança. Clique aqui para cancelar.” Quando o usuário clica no URL, a próxima fase de ataque se inicia.

Vishing

Outra variação do phishing é o vishing, que utiliza a tecnologia de comunicação de voz para obter as informações que o invasor está procurando.

Ou seja, essa variação aproveita a confiança que algumas pessoas depositam na rede telefônica, não tendo noção de que os invasores podem falsificar (simular) chamadas de entidades legítimas usando a tecnologia Voice over IP (VoIP). 

Dessa forma, o invasor espera obter números de cartão de crédito ou outras informações que possam ser usadas no roubo de identidade.

Em resumo, o phishing, smishing e o vishing são ataques contra o estado cognitivo dos usuários.

Spam

Em contrapartida, o spam, como outra ferramenta de Engenharia Social, se configura como um e-mail não solicitado, geralmente os enviam em massa.

No entanto, alguns não o consideram como um problema de engenharia social ou mesmo de segurança, mas ainda o veem como uma preocupação. 

Ele pode ser legítimo no sentido de que foi enviado por uma empresa que anuncia um produto ou serviço, mas também pode ser prejudicial. E pode incluir um anexo que contém software malicioso, que projetam para complicar o sistema. Ou ainda pode possuir um link para um site malicioso que pode tentar obter informações pessoais.

Como o spam não é solicitado, deve-se sempre considerar a fonte antes de clicar em qualquer link ou responder diretamente.

Spear phishing

Aliás, spear phishing, também como ferramenta de Engenharia Social, é um termo criado para se referir a um ataque de phishing. O atacante visa uma pessoa ou grupo específico de pessoas com algo em comum.

Como o ataque tem como alvo um grupo específico, a proporção de ataques bem-sucedidos (isto é, o número de respostas recebidas) em relação ao número total de e-mails ou mensagens enviadas geralmente aumenta porque um ataque direcionado parecerá mais plausível do que uma mensagem enviada para usuários aleatoriamente.

Pretexting

Já o pretexting é uma forma de Engenharia Social na qual o invasor usa uma narrativa (o pretexto) para influenciar a vítima a fornecer algum tipo de informação.

Por exemplo, ele pode fazer uma ligação ao executivo sênior se passando por um colega da faculdade ou um colega administrador.

Claro, o pretexto não precisa ser verdadeiro: ele só precisa ser crível e relevante para convencer a vítima a prestar ajuda.

Portanto, o pretexting utiliza falsos motivos para manipular a vítima. O principal objetivo é ganhar a confiança do alvo e explorá-la. Um ataque de pretexto pode ocorrer de várias formas: pessoalmente, por e-mail, por telefone ou qualquer outra forma de comunicação.

Tailgating (ou piggybacking)

Outra técnica que não podemos deixar de destacar na Engenharia Social é o Tailgating.

Essa tática simples visa seguir de perto uma pessoa que acabou de usar seu próprio cartão de acesso ou PIN para obter acesso físico a uma sala ou prédio. 

Geralmente as pessoas estão com pressa, e com frequência não seguem as boas práticas e procedimentos de segurança física. E os invasores sabem disso, podendo explorar essa característica no comportamento humano.

Assim, o invasor pode obter acesso à instalação sem precisar saber o código de acesso ou ter que adquirir um cartão de acesso. A ideia é tirar vantagem de um usuário autorizado que não está seguindo os procedimentos de segurança.

É possível combater esse ataque facilmente, treinando os funcionários para usar procedimentos simples para garantir que ninguém os siga de perto ou esteja em posição de observar suas ações.

Outra opção é quase uma armadilha: usar duas portas para obter acesso às instalações. A segunda porta não abre até que se feche a primeira, e espaçar as portas de modo que se forme um recinto permitindo apenas um indivíduo por vez.

Enfim, a eficácia dos ataques de Engenharia Social é em parte técnica e em parte psicológica. Esses ataques citados anteriormente e muitos outros métodos são usados o tempo todo.

Por isso, a interrupção da engenharia social começa com polícias e procedimentos que eliminam os caminhos usados por esses ataques.

Leia sobre como a biometria é uma ferramenta de cibersegurança! 

Você ou sua empresa já passaram por uma das situações mencionadas? Comente e aproveite para ler os outros textos do blog.

E para se qualificar em Segurança Cibernética e outras áreas relacionadas a Segurança da Informação, aproveite as trilhas de formação do plano de assinatura da PMG Academy.