Engenharia Social: entenda o ‘hacking humano’

A engenharia social é uma tática que visa explorar a natureza humana para obter informações confidenciais, acesso a sistemas ou realizar ações não autorizadas.

por Marcelo Oliveira dos Santos*

Embora não envolva códigos complexos ou vulnerabilidades técnicas, a Engenharia Social é uma das ameaças mais eficazes e difíceis de combater. O “hacking humano” é a arte de manipular e atrair usuários desavisados para expor dados, espalhar infecções por malware, ou dar acesso a sistemas restritos. Por isso, os ataques podem acontecer on-line, pessoalmente, ou por outros meios de interação afim de obter vantagens indevidas.

A engenharia social envolve a exploração da natureza humana, para obter acesso não autorizado a informações sensíveis. Em vez de atacar diretamente sistemas de segurança, os engenheiros sociais usam técnicas psicológicas para obter informações. Assim, visam os pontos fracos das interações humanas, como confiança, medo, curiosidade e desejo de ajudar, afim de realizar ações prejudiciais, no geral os invasores de engenharia social têm como objetivo a sabotagem (interrupção ou corrupção de dados para causar danos ou incômodos) ou o roubo (obtenção de objetos de valor, como informações, acesso ou dinheiro).

Exemplos de ataques de Engenharia Social:

• Phishing:  Os engenheiros sociais enviam e-mails falsos ou mensagens de texto que parecem legítimas, mas na verdade são projetadas para enganar os destinatários a revelar informações confidenciais, como senhas ou números de cartão de crédito.
• Pretexting:  Nesse método, os atacantes criam uma narrativa falsa ou pretextam uma situação para obter informações pessoais ou acesso a áreas restritas. Isso pode envolver fingir ser um funcionário de uma empresa ou um conhecido em comum. Por exemplo, um engenheiro social pode se passar por um funcionário de manutenção para entrar em um prédio corporativo.
• Vishing:  Os engenheiros sociais podem fazer uso do telefone para manipular pessoas a revelarem informações confidenciais, como senhas ou códigos de acesso.
• Dumpster Diving:  Busca por informações em lixeiras, como documentos confidenciais e sigilosos.
• Quid Pro Quo:  Oferece itens valiosos ou serviços para o alvo, em troca de informações confidenciais. Por exemplo, o engenheiro social envia uma mensagem afirmando que você recebeu algum prêmio e que precisa acessar um site específico para recebê-lo, você terá que fornecer seus dados pessoais e sensíveis. Essa é uma das formas muito populares dos golpistas obterem materiais sensíveis.
• Mídias Sociais: Os atacantes exploram informações publicamente disponíveis em mídias sociais para criar perfis falsos e estabelecer confiança com os alvos, a fim de obter informações sensíveis.

Como funciona a Engenharia Social?

O ataque de engenharia social depende da comunicação entre atacante e vítima. O invasor motiva o usuário a se comprometer, não necessitando o uso de força bruta para violar os dados, o ciclo de ataque oferece aos criminosos um processo confiável para enganar o alvo, o ciclo de ataque de engenharia social na maioria das vezes são os seguintes:

1. Fase de Reconhecimento: O engenheiro social pesquisa o alvo, e suas rotinas, colhe informações sobre seu histórico ou de um grupo maior no qual você pode fazer parte.
2. Fase de Ataque: Estabelece uma relação ou inicia uma interação, que começa pela construção de confiança.
3. Exploração da vitima, coleta e fraude: O engenheiro social agora tem acesso as informações do alvo, já que a confiança e uma vulnerabilidade foram estabelecidas para avançar com o ataque.
4. Desvinculação: acontece assim que o alvo realiza a ação desejada.

Como se proteger da engenharia social?

Proteger uma empresa da engenharia social exige um foco em conscientização. O treinamento dos funcionários é fundamental para reconhecer técnicas de engenharia social (e fugir delas).A implementação de políticas rigorosas de segurança pode ajudar a lidar com solicitações de informações confidenciais, mas o comportamento humano é a última barreira de segurança e precisa estar treinado para evitar os riscos.

Usar senhas fortes ou mesmo um gerenciador de senhas também é parte de uma estratégia em prol da segurança. As senhas devem ser complexas e usar caracteres diversos, como o uso de maiúsculas e minúsculas, símbolos e números, além de autenticação multifator, que adiciona camadas extras para verificar a identidade ao fazer login em uma conta.

Devemos evitar compartilhar dados familiares, como nomes de animais de estimação, de escolas, local de trabalho, nascimento ou outros detalhes pessoais, e ter muita cautela ao construir amizades online, e manter os softwares utilizados atualizados sempre que disponíveis.     

A engenharia social representa uma ameaça significativa à segurança cibernética e à privacidade das organizações e indivíduos. Ao compreender os métodos comuns utilizados pelos engenheiros sociais e implementar medidas de segurança adequadas, as organizações e pessoas podem reduzir o risco de serem vítimas desses ataques.

*Marcelo Oliveira dos Santos é Consultor de Segurança da Informação na Protiviti Brasil.