O que é engenharia social? Veja como você pode ser hackeado

gurinho

Engenharia social é um termo importante no mundo da segurança, mas você pode não estar familiarizado com o que significa exatamente. Embora seja um assunto amplo, existem tipos específicos de engenharia social que podemos examinar para aprender mais.

Vejamos a engenharia social como um conceito para que você possa evitar ser vítima dela.

O que é engenharia social?

No domínio da segurança, engenharia social é o ato de manipular pessoas para roubar informações privadas delas ou fazer com que abram mão de tais detalhes confidenciais. A engenharia social depende do aproveitamento da natureza humana, que geralmente é o elo mais fraco em um sistema forte.

A engenharia social, ao contrário de muitos outros ataques técnicos, não tenta invadir os sistemas de computador diretamente. Enquanto um hacker pode escrever um programa que tenta usar força bruta na senha de alguém ou explorar um bug em software, a engenharia social depende apenas de enganar ou manipular as vítimas para fazer algo que o invasor deseja.

Embora a engenharia social seja anterior à era da internet (pense nas táticas de vendas que pressionam você a comprar algo que você não quer), a prática se tornou muito mais difundida online.

Mesmo com senhas fortes, software de segurança de primeira linha e máquinas fisicamente protegidas, uma pessoa enganada pode ser uma vulnerabilidade e ainda assim convidar uma violação de segurança para uma empresa ou sua própria configuração.

Elementos-chave da engenharia social

A maioria das pessoas reconhece golpes flagrantes. Como a conscientização sobre esses truques aumentou com o tempo, os fraudadores que os executam precisam mudar regularmente suas táticas para mantê-los viáveis.

Como resultado, esquemas específicos de engenharia social se adaptam com o tempo. No entanto, muitos desses truques usam uma combinação dos seguintes elementos:

  • Táticas de intimidação: se um golpista pode deixá-lo com medo de que algo ruim esteja para acontecer, é mais provável que você siga em frente sem pensar criticamente. Por exemplo, eles podem fingir ser o governo e exigir o pagamento de impostos sob a ameaça de serem presos.
  • Um senso de urgência: para pressioná-lo a agir antes de pensar, muitos golpes de engenharia social exigem ação imediata, para que você não "perca sua conta" ou algo semelhante.
  • Posando como uma empresa legítima: para convencê-lo de que não são falsos, os invasores usarão elementos de aparência autêntica em seus emails ou outras comunicações.
  • Redação vaga: como os ataques de engenharia social geralmente atingem muitas pessoas ao mesmo tempo, a maioria não é específica para você. O texto genérico e a falta de um motivo específico para a comunicação são sinais de que você está lidando com uma farsa.

Tipos comuns de engenharia social

A seguir, vamos dar uma olhada em algumas formas comuns de engenharia social para ver como ela funciona.

Phishing

Você provavelmente está familiarizado com phishing. É um dos tipos mais comuns de engenharia social. Este é um ataque em que alguém finge ser uma entidade legítima, geralmente por e-mail, e solicita informações confidenciais.

Freqüentemente, afirma ser do PayPal, Apple, seu banco ou outra empresa confiável, solicitando que você "confirme" seus dados ou analise uma transação suspeita.

Para se proteger contra phishing, você nunca deve clicar em links em e-mails e lembre-se de que empresas legítimas não solicitam informações confidenciais dessa forma. Certifique-se de estar familiarizado com as várias formas de phishing também.

Golpes de telefone

Os golpes de telefone são mais tradicionais do que o phishing de e-mail, mas ainda são populares. Nesses esquemas, alguém liga para você alegando, por exemplo, ser da sua administradora de cartão de crédito e solicitando que você confirme seus dados devido a atividades suspeitas.

Eles também podem fingir representar uma empresa de computador que precisa "consertar infecções de vírus" em sua máquina.

Por telefone, um ladrão pode estabelecer uma conexão mais pessoal do que por e-mail. Mas se você prestar atenção, é fácil saber quando você está no telefone com um golpista .

Isca

Embora não seja tão difundido quanto as formas acima, a isca é uma forma de engenharia social que ataca a curiosidade humana. Nesses ataques, o fraudador deixa um CD ou unidade USB infectado em um lugar onde espera que alguém o pegue. Se você inserir a mídia em seu PC, poderá acabar sendo atingido por um malware se o conteúdo da unidade for executado automaticamente.

Esse ataque é mais complicado, pois usa mídia física. No entanto, mostra que você nunca deve conectar uma unidade flash ou outro dispositivo ao computador se não confiar nele.

Tailgating

Este ataque, ao contrário dos outros, depende da presença física do golpista. A utilização não autorizada refere-se ao ato de obter acesso a uma área protegida pegando carona em outra pessoa (legítima).

Um exemplo comum disso é uma porta em um local de trabalho que exige que você escaneie um cartão-chave para entrar. Embora seja uma cortesia comum manter a porta aberta para alguém atrás de você, a maioria das empresas não quer que você faça isso. A pessoa atrás de você pode estar tentando se esgueirar para uma área onde não deveria estar, atacando sua bondade.

Este é principalmente aplicável para uso comercial, mas é bom lembrar que você também deve proteger o acesso físico ao seu computador . Alguém que consegue entrar furtivamente em sua máquina sem você olhar pode causar muitos danos.

Scareware

Às vezes chamado de "scareware", serve como uma espécie de mistura entre phishing e malware. Nesses ataques, você é ameaçado por mensagens falsas, na esperança de pagar dinheiro a um golpista ou fornecer informações confidenciais.

Uma forma comum de scareware são os avisos de vírus falsos . Eles não são perigosos por si só, mas fazem você pensar que são sinais reais de infecção no seu dispositivo. Os golpistas esperam que você se engane e envie dinheiro para "consertar" a infecção ou baixe o software, o que na verdade é perigoso.

Outra técnica comum de assustar são os emails de extorsão . Nestes, você recebe um e-mail de alguém que afirma ter conteúdo comprometedor de você, ou similar. Eles exigem um pagamento para evitar que liberem o vídeo ou imagem para todos os seus amigos. Claro, eles não têm realmente essas informações; eles apenas esperam que você acredite neles.

Como se manter protegido da engenharia social

Como vimos, a engenharia social assume muitas formas e muitas vezes pode ser difícil de detectar. Para se proteger contra esses e outros ataques semelhantes, lembre-se do seguinte:

  • Não confie em e-mails . Emails são uma das formas de comunicação mais fáceis de falsificar. Nunca clique em um link em um e-mail, a menos que esteja especificamente esperando por isso. É sempre mais seguro visitar sites diretamente.
  • Não aja sem pensar . Se você receber uma mensagem que ataca suas emoções, é provável que tenha o objetivo de enganá-lo. Pare e pense quando se sentir especialmente preocupado ou curioso, pois é mais provável que você tome decisões precipitadas nesses casos.
  • Sempre confirme informações suspeitas . Se alguém alegar ser de uma determinada empresa, peça-lhe informações que comprovem isso. Se eles respondem com desculpas vagas, eles são um mentiroso.

Engenharia Social, Exposta

Mesmo que você nunca seja vítima de um exploit complicado ou tenha sua senha quebrada, você ainda pode ser prejudicado por um esquema de engenharia social. Ao reconhecer esses golpes comuns e pensar criticamente quando essas situações surgirem, você pode evitar cair nas mãos de um fraudador.

Enquanto isso, a engenharia social não é a única maneira pela qual a psicologia humana é explorada online.

Crédito da imagem: wk1003mike / Shutterstock