Ataques eficazes de engenharia social podem ser quase impossíveis de detectar. Os atacantes usam técnicas enganosas que jogam com preceitos humanos para manipular outras pessoas para revelar informações pessoais valiosas.
Aqui, examinaremos como a engenharia social funciona e veremos exemplos específicos de golpes conhecidos. Portanto continue lendo para aprender como evitar que a engenharia social aconteça com você.
O que é engenharia social?
Podemos definir a engenharia social como um ataque psicológico que explora o comportamento humano ou nossos preceitos cognitivos .
Geralmente envolve enganar as pessoas para que divulguem, sem saber, informações confidenciais que podem ser usadas para fins corruptos ou criminosos.
Logo, os hackers usam técnicas de engenharia social para extrair informações pessoais que podem ser usadas para roubo de identidade ou outras fraudes ou crimes.
Em uma época em que as pessoas estão cada vez mais experientes on-line, a engenharia social requer algumas sutilezas.
Geralmente, é um plano de várias etapas para primeiro ganhar confiança e, em seguida, acessar as informações direcionadas.
Ao contrário dos ataques de segurança cibernética que exploram as estruturas de software e código de computador. Ou seja, os ataques de engenharia social se baseiam no fato de que os humanos erram e podem ser manipulados.
Os ataques de engenharia social geralmente visam informações confidenciais. Tais como credenciais de login, números de CPF, dados bancários ou outras informações pessoais.
Como funciona a engenharia social, exatamente?
Golpes de engenharia social podem acontecer durante interações pessoais e por telefone, mas geralmente ocorrem online .
Na verdade, a engenharia social sustenta uma grande variedade de ataques cibernéticos, porque é mais fácil de realizar online.
No mundo físico, somos capazes de avaliar nossas interações com as pessoas com base nas informações que recebemos por meio de nossos sentidos.
Observar os maneirismos de alguém e ouvir seu tom de voz nos dá pistas sobre se algo é suspeito ou não.
Quando estamos online, frequentemente interagimos com empresas sem rosto que processam nossos pagamentos e enviam nossas mensagens.
Isso significa que temos que contar com gráficos ou marcas familiares e um padrão reconhecível de cliques e confirmações para sinalizar que tudo parece normal.
As táticas de engenharia social geralmente funcionam como um ciclo:
Primeiro, um invasor reúne informações básicas também conhecidas como criação de perfil e escolhe um ponto de entrada.
Em seguida, o invasor inicia o contato e estabelece uma conexão.
Depois que a conexão é feita e o invasor é visto como uma fonte confiável, o invasor explora o alvo.
Enfim, depois que as informações confidenciais são obtidas, o invasor se desconecta e desaparece.
A engenharia social envolve manipular alguém para divulgar informações confidenciais.
Ataques de engenharia social exploram a confiança das pessoas.
Para completar o ciclo, os invasores geralmente empregam técnicas de engenharia social, como envolver e intensificar suas emoções .
Quando suas emoções estão altas, é menos provável que você pense logicamente é mais provável que seja manipulado.
Vejamos um exemplo clássico de engenharia social. Contudo os golpistas podem obter uma lista de pessoas que jogam jogos de azar online.
Eles presumem que essas pessoas responderão a uma mensagem que desperte curiosidade, entusiasmo, urgência ou medo.
Os golpistas se fazem passar por uma empresa de loterias, imitando sua fonte, logotipo e cores.
A mensagem parabeniza as vítimas e as convida a aceitar seu prêmio por tempo limitado enviando algumas informações pessoais para reivindicar.
Infelizmente, o prêmio é realmente para os golpistas: informações pessoais confidenciais que podem ser revendidas na dark web ou usadas para obter acesso a contas pessoais.
Por que os ataques de engenharia social online são tão perigosos?
Os ataques de engenharia social podem ser muito perigosos para indivíduos e empresas, porque em ambos os casos, grandes quantias de dinheiro podem ser retiradas da vítima.
Os invasores visam os funcionários do departamento financeiro se passando por funcionários de nível superior.
Os hackers enviaram e-mails de contas de e-mail corporativas falsas. Mas convincentes, solicitando uma mudança de conta. Logo isso enganou com sucesso os contadores para que transferissem grandes somas de dinheiro para contas controladas pelos hackers coniventes.
Para a maioria das pessoas, perder qualquer quantia de dinheiro pode ser um grande revés. Mas ter suas informações pessoais comprometidas pode ser ainda mais perigoso.
Se um invasor obtiver suas credenciais de login, número de previdência social ou dados bancários, ele pode manter para uso próprio ou vender na dark web. Aliás, onde pode ser comprado e explorado por terceiros, levando ao roubo de identidade ou outros danos no futuro.
Detectando um ataque de engenharia social
Para detectar uma tentativa de ataque de engenharia social online, é útil conhecer as diferentes técnicas que os invasores usam para influenciar suas vítimas.
As pessoas reagem à autoridade e são mais propensas a obedecer quando os pedidos vêm de uma fonte respeitada.
É por isso que os crimes cibernéticos costumam se passar por empresas ou agências governamentais conhecidas, como o Internal Revenue Service (IRS) nos Estados Unidos.
Sempre leia com atenção os e-mails que afirmam ser do governo ou de outras fontes oficiais. Embora o IRS saiba suas informações pessoais, como seu nome, endereço e número do seguro social, eles nunca pediram que você as enviasse por e-mail.
Uma tática mais sutil explora a simpatia. Ou seja, como humanos, é mais provável que confiemos nas pessoas que consideramos atraentes e agradáveis, o que pode fazer maravilhas na venda ponto a ponto.
Os invasores podem se passar por uma pessoa atraente nas redes sociais e usar um elogio como desculpa para fazer contato.
Quando a vítima se sente lisonjeada, ela fica mais receptiva ao pedido do invasor, que pode ser uma doação para sua “instituição de caridade” ou algum outro golpe .
Saber como podemos ser influenciados torna mais fácil reconhecer os sinais de alerta da engenharia social .
Solicitações de certos tipos de informações, como detalhes de login, informações bancárias ou seu endereço também devem sempre levantar preocupações.
Ponha de lado a emoção e observe atentamente quem está pedindo seus detalhes – isso pode evitar que você seja enganado.
Muito bom para ser verdade!
Um movimento clássico da engenharia social é oferecer algo muito tentador que motive a vítima a revelar algumas informações ou a realizar alguma ação.
Os tipos mais comuns de ataques de engenharia social online
Os golpistas criativos criaram muitos tipos de ataques de engenharia social, usando diferentes técnicas e pontos de entrada para obter acesso às informações direcionadas.
Infelizmente, essas técnicas de fraude são muito comuns.
Mas aprender sobre a variedade de táticas de engenharia social por aí ajudará você a reconhecer uma tentativa, caso você mesmo encontre uma.
E-mails de spam
Você pode pensar no spam simplesmente como uma guia em sua caixa de entrada de e-mail, mas nem todos os e-mails de spam são filtrados com êxito e desaparecem de vista.
E-mails de spam bem elaborados podem passar pelas triagens do servidor de e-mail e entrar na sua caixa de entrada, onde podem aparecer como uma mensagem confiável.
E-mails de engenharia social geralmente tentam induzir a clicar em links para sites falsos. Portanto baixar assim anexos maliciosos ou responder com o tipo de informação que o remetente está procurando.
Ler sobre segurança de e-mail pode ajudar a preparar e identificar a diferença entre e-mail de spam sorrateiro e fontes confiáveis.
Isca
Assim como colocamos a isca em armadilhas para ratos com queijo, um invasor usando a engenharia social de isca deixa algo atraente em vista de seu alvo .
Às vezes, é um item físico, como uma unidade flash USB deixada em um local público rotulado como “confidencial” para despertar a curiosidade de alguém.
Depois que a unidade flash é inserida no computador da vítima e aberta, o malware se infiltra e infecta o dispositivo host, bem como qualquer servidor conectado.
A isca também pode ocorrer online, com algo como o download de um filme usado como isca. Depois que o arquivo é baixado e aberto, o malware oculto ganha acesso ao computador.
Phishing
Provavelmente o tipo mais comum de engenharia social, o phishing acontece quando um invasor se faz passar por uma empresa ou organização legítima. Assim tem como alvo uma vítima por e-mail, bate-papo ou anúncios online.
O e-mail ou mensagem geralmente direciona a vítima para uma página de destino falsa, completa com os gráficos corretos da empresa.
A página pede verificação de login ou solicita uma mudança de senha devido a atividade suspeita.
Se a vítima obedecer, o invasor terá acesso a esses dados de login e poderá usá-los para tentar fazer login em outros sites. Ou seja, dependendo da frequência com que a vítima usa senhas diferentes para sites diferentes.
Catfishing é outra estratégia comum de engenharia social na categoria de phishing. Portanto, a pesca do gato envolve se passar por uma pessoa desejável em um site de namoro ou plataforma de mídia social. E em seguida, cortejar vítimas em potencial.
Emoções fortes fazem parte de qualquer romance, e essas emoções podem turvar a intuição e obscurecer os sinais de alerta. Assim que a vítima estiver presa, o pescador criará um cenário para explorá-la por dinheiro.
Spear Phishing
Os golpes de phishing de engenharia social costumam ser enviados a centenas de vítimas em potencial, na esperança de que alguém clique no link. Mas às vezes o invasor faz pesquisas de fundo sobre suas vítimas em potencial, as restringindo a um grupo específico de pessoas ou mesmo a uma pessoa.
Esse tipo de ataque focado ou restrito é conhecido como spear phishing e é significativamente mais eficaz do que você imagina.
Alias 50% das pessoas visavam e-mails de spear phishing aberto, em comparação com uma taxa de abertura de apenas 3% para mensagens de phishing regulares .
Pretexting
A pretexto de ataques de engenharia social envolve inventar um cenário, ou pretexto, para atingir a vítima .
O invasor geralmente representa alguém com autoridade que pode solicitar informações. Um ataque de pretexto eficaz requer pesquisa de fundo e preparação por parte do atacante.
Eles precisam ser capazes de responder com precisão às perguntas da vítima e parecer legítimos.
Um exemplo comum de pretexto é quando um invasor se faz passar por alguém do departamento de TI de uma empresa.
O invasor chega até um funcionário da empresa, identifica-se e solicita acesso remoto ao computador ou às credenciais de login para atualizar um software.
Dependendo de quem é o alvo, o invasor pode ter acesso a todos os registros financeiros da empresa ou dados de funcionários.
Eles podem manter essas informações como reféns usando ransomware ou usá-las para realizar a próxima etapa de um esquema.
Vishing
Vishing é o mesmo conceito de phishing, mas conduzido por telefone – ou seja, phishing de voz.
Em um ataque de vishing, o número de telefone usado geralmente será bloqueado ou disfarçado como vindo de um help desk ou centro de suporte.
Às vezes, a tecnologia de mudança de voz é usada para tentar imitar uma pessoa específica.
Um ataque de vishing geralmente visa manipular as vítimas para revelar suas informações de login ou obter acesso ao computador da vítima.
Os invasores costumam se passar por alguém do atendimento ao cliente ou suporte técnico. Ligando para instalar uma atualização ou consertar um bug que exige que a vítima conceda acesso ou redefina suas credenciais de login.
Quid pro quo
Quid pro quo significa trocar algo por outra coisa. Portanto os invasores ficam felizes em lhe oferecer algo em um ataque de engenharia social quid pro quo. E em troca, esperam obter suas credenciais de login ou acesso ao seu computador.
A ajuda é comumente oferecida em ataques quid pro quo, seja assistência técnica, acesso a um documento especial ou solução de um problema que você nem sabia que tinha.
Os seis princípios de persuasão
De acordo com Chris Poulin, que era um estrategista do X-Force da IBM, escreveu sobre os 06 princípios de persuasão, a confiança permite que outros nos influenciam. Enfim, a parte interessante é que o inverso também é verdadeiro: uma influência habilidosa pode gerar confiança.
Prova Social
Normalmente as pessoas são motivadas mais pelo o que outras pessoas fazem do que por um benefício percebido ou mesmo quantificável. Por exemplo, pessoas têm mais tendência a se tornar membro de um clube sabendo que outras pessoas de condições financeiras de igual tamanho ou maior também são associadas àquele clube.
Reciprocidade
Todos nós conhecemos isto. Alguém nos dá um presente e nos sentimos obrigados a retribuir.
Escassez
Todos nós conhecemos esse estratagema. Se não podemos ter, queremos ainda mais. Os vigaristas sabem desse estratagema psicológico há muito tempo… E ainda caímos em muitos dos mesmos golpes depois de séculos de vitimização, comenta Poulin.
Autoridade
As pessoas tendem a seguir o exemplo de especialistas confiáveis. Muitos cibercriminosos entendem que é importante deixar claro que são autoridades confiáveis e bem informadas para suas vítimas antes de tentar influenciá-las.
Semelhança
A ciência nos diz que existem três fatores essenciais para gostar:
1º Gostamos de pessoas que são semelhantes a nós.
2º Gostamos de pessoas que nos elogiam.
3º Gostamos de pessoas que cooperam conosco em prol de objetivos mútuos.
As pessoas tendem a criar confiança naqueles por quem são atraídas, tanto física quanto emocionalmente. Portanto este é um princípio simples que funciona bem e tem implicações potentes que os cibercriminosos estão mais do que dispostos a explorar.
Consenso
O exemplo acima mencionado de reutilização de toalhas é um consenso em ação em particular, o uso de “incontáveis outros”.
Os cibercriminosos também entendem que as primeiras conexões são as mais importantes. Sobretudo uma vez que estão em mãos, outras pessoas em posições ou organizações semelhantes têm maior probabilidade de seguir o exemplo.
Agora que você conhece as técnicas psicológicas comuns usadas em ataques de engenharia social, pode compartilhar essas informações com os usuários. Acima de tudo certificar que sua equipe esteja alerta e pronta para se defender contra esses ataques.
Quem corre o maior risco de ser vítima da engenharia social?
Na realidade, todos nós somos vulneráveis a ataques de engenharia social. Somos todos humanos com emoções que podem ser estimuladas. Contudo todos nós reagimos à beleza e à autoridade e podemos ser tentados pela urgência e recompensa.
Não devemos pensar nessas qualidades como fraquezas. Afinal, nós as desenvolvemos por razões evolutivas. Em vez disso, devemos aprender como os outros podem manipulá-los e nos treinar para detectar os sinais de alerta.
Os idosos costumam ser alvo de ataques de engenharia social, porque nem sempre estão familiarizados com a tecnologia moderna e são menos propensos a notar algo suspeito.
Dicas para evitar se tornar uma vítima da engenharia social
Assim como você pode praticar bons hábitos para evitar furtos, você pode aprender dicas e práticas úteis para a prevenção de engenharia social .
E se além dessas dicas você quiser saber mais sobre ter mais segurança em seu aparelhos IoT fique ligado nesse artigo: IoT internet das coisas, segurança e seus desafios.
Denunciar e excluir e-mails suspeitos
Encontrou alguém com phishing na sua caixa de entrada? Não marque apenas o e-mail suspeito como spam.
Dependendo do conteúdo do e-mail, você deve agir relatando o golpe da Internet. logo uma boa ação de acompanhamento é ler sobre como denunciar o crime cibernético para se preparar para o futuro.
Se você usa o Gmail, há uma maneira integrada de denunciar phishing. Então vá para o canto superior direito do e-mail e clique nos três pontos verticais ao lado de “responder”.
Em seguida, selecione “Denunciar phishing” no menu suspenso.
Você também pode tomar medidas preventivas de segurança, aprendendo como impedir que o e-mail de spam chegue até sua caixa de entrada.
Use uma conexão Wi-Fi privada ou VPN sempre que possível
Mesmo que conectar-se ao Wi-Fi gratuito do aeroporto e responder a e-mails de trabalho pareça uma ideia melhor do que uma pizza horrível na praça de alimentação. Sobretudo se lembre que a rede Wi-Fi não será uma conexão privada.
Muitas outras pessoas estarão compartilhando a mesma rede que você, e isso torna suas informações pessoais ou de trabalho vulneráveis a ataques.
Ao acessar informações confidenciais, especialmente detalhes privados como suas credenciais de banco online, certifique-se de sempre usar uma conexão privada.
Outra ótima ferramenta para usar é uma VPN (rede privada virtual). Portanto uma VPN, como o AVG Secure VPN, criptografa sua conexão com a Internet para que você possa usar o Wi-Fi público com segurança.
Ele também disfarça seu endereço IP para que sua atividade online não possa ser vinculada à sua identidade e localização reais. Então a instalação de uma VPN oferece uma camada extra de proteção contra intenções maliciosas em casa e em público.
Implementar autenticação multifator
Usar a autenticação de dois fatores pode te manter fora do grupo de usuários da Internet que os hackers adoram ter.
A autenticação de dois fatores exige que você verifique sua identidade em dois locais separados. Assim como no computador e no telefone, ou mesmo com uma chave de segurança física.
É improvável que um hacker possa acessar seu computador e telefone ao mesmo tempo. Então a autenticação multifator é um grande obstáculo para impedir que alguém tenha acesso às suas contas.
Ver uma solicitação de autenticação em seu telefone quando você não tentou fazer login em seu computador também é um sinalizador de que algo suspeito está acontecendo.
Sempre use senhas fortes
Se você cair em uma armadilha de engenharia social e o invasor obtiver acesso às suas informações de login. Ou seja, você não quer que eles possam usar para acessar suas outras contas protegidas por senha.
Isso significa que você não deve usar as mesmas senhas em contas diferentes e deve sempre criar senhas fortes.
Ser preguiçoso com a criação de senhas é como fechar a porta com fita adesiva em vez de trancar. Isso não é muito eficaz no caso de um ataque.
Se você não estiver pronto para memorizar uma dúzia de senhas complexas diferentes, tente um gerenciador de senhas.
Use um antivírus na luta contra a engenharia social
Pode parecer que a Internet está infestada de pessoas mal-intencionadas tentando manipular suas emoções por tempo suficiente para roubar seus dados.
Mas as medidas preventivas ajudam muito na batalha contra as ameaças da engenharia social.
Ler as técnicas de engenharia social existentes torna muito mais fácil identificá-las em ação e diminui a probabilidade de você morder a isca.
Além da educação, uma das melhores medidas preventivas que você pode tomar contra a engenharia social é usar um software antivírus forte.
O AVG antivírus free verifica seu computador e rede, detectando e impedindo qualquer vírus, spyware, ransomware ou outro malware que um hacker possa estar tentando introduzir. Portanto também bloqueia anexos de e-mail, links e downloads não seguros, de forma que você nem mesmo poderá clicar neles por engano.
Somos todos humanos, tentando navegar na internet com quaisquer preconceitos que possamos ter, então é bom ter uma camada extra de segurança no caso de sermos vítimas.
Conclusão
O que você achou de conhecer e saber um pouco mais sobre os ataques de engenharia social?
Com esses conhecimentos você vai ser um profissional que fatura milhares de reais por mês e terá o seu linkedin bombando de oportunidades porque a cibersegurança é a área que mais cresce no mundo.
Então conquistando sua alta performance profissional e financeira, isso vai mudar a sua vida!
E se você quiser fazer parte da elite do mercado de cibersegurança junte-se a nós e venha sem um Acadiano.
Deixe um comentário