Engenharia social significado e como funciona
Estudo de comportamento ou técnica de espionagem? Entenda o que é Engenharia Social e como ela é utilizada pelos cibercriminosos.
De fato, estamos falando de uma técnica de espionagem que representa um grande crescimento na utilização pelos cibercriminosos. Confira, a seguir, o que é engenharia social e algumas das formas de utilização por criminosos para realizar fraudes e hackear computadores de pessoas físicas e jurídicas.
O que é Engenharia Social?
Primeiramente, a engenharia social é uma técnica de manipulação, que visa explorar o erro humano para conseguir informações privadas.
Em outras palavras, a Engenharia social é uma técnica utilizada pelos criminosos virtuais, para fazer com que usuários desavisados enviem dados confidenciais ou abra links para sites infectados. Além disso, os cibercriminosos podem tentar se aproveitar da falta de conhecimento do usuário [1].
Como funciona a engenharia social e como se proteger
Basicamente, todo tipo de ataque apresenta algum método de engenharia social. O famoso e-mail de phishing e os golpes por meio de vírus, por exemplo, são cheios de insinuações de conotação social.
Os e-mails de phishing procuram convencer os usuários de que tais mensagens são de fontes legítimas, para conseguir obter qualquer dado pessoal ou corporativo.
Os e-mails com anexos cheios de vírus, por exemplo, muitas vezes parecem ser de contatos confiáveis ou parecem ser inofensivos, como vídeos divertidos ou fofos.
Assim, quando o usuário abre algum desses e-mails, supostamente verdadeiros, tem seu computador ou dispositivo móvel infectado.
Em outros casos, os ataques dependem da comunicação real entre os invasores e as vítimas. Nesse caso, o invasor pressiona de alguma forma o usuário, para este conceder acesso à rede, alegando que existe um problema grave e que requer ação imediata.
Por fim, é essencial ter cuidado com a engenharia social usada para confundir as pessoas.
Muitos funcionários e clientes não compreendem que, mesmo com poucas informações, como nome, data de nascimento ou endereço, os hackers conseguem acessar diversas redes, se disfarçando de usuários legítimos para o pessoal de suporte de TI.
A partir disso, é só questão de redefinir as senhas, e, assim, obter acesso aos sistemas ou servidores de uma empresa.
Portanto, a proteção contra a engenharia social deve partir de treinamento. Os usuários devem ser devidamente orientados a nunca clicar em links suspeitos, além de sempre proteger suas informações de login, seja em casa ou no trabalho.
Além disso, é importante usar soluções ou sistemas de segurança de Internet, de alta qualidade, que seja capaz de eliminar infecções e rastrear sua origem.
Engenharia social é crime?
No Brasil, os ataques de engenharia social são tipificados como crime, por meio da Lei 12.737/2012, mais conhecida como Lei Carolina Dieckmann, devido ao famoso caso de invasão de fotos íntimas e dados pessoais da atriz, fato que serviu de base para a criação da lei.
Então, diante disso, é possível afirmar que a engenharia social é um crime cibernético, e, conforme a Lei 12.737/2012, a sua pena varia consoante a gravidade de cada caso, podendo ser prisão de 3 meses até 1 ano, além de multa a ser definida pelo juiz [2].
Os principais golpes de engenharia social
Veja a seguir, alguns dos principais golpes praticados com engenharia social:
Phishing
Entre os principais golpes de Engenharia Social, o Phishing é o mais comum e também um dos mais perigosos.
De acordo com levantamento realizado pela PSafe, dfndr security e dfndr enterprise, essa modalidade de ataque se tornou a campeã de detecções em 2022, o que significa mais de 5 milhões de ataques nos primeiros sete meses, um aumento de quase 100%, se comparado à 2021 [3].
Geralmente, o Phishing é aplicado via e-mail, SMS, WhatsApp ou até mesmo ligações. Esse golpe recorre a emoções, como medo, curiosidade ou urgência para fazer com que os destinatários abram anexos ou cliquem em links de páginas falsas da web, e, com isso, os criminosos podem injetar malwares nos dispositivos, e roubar informações, tais como números de cartões de crédito, dentre outros dados confidenciais.
Na maior parte dos casos, os hackers procuram uma forma de assustar o destinatário, passando uma razão aparentemente importante, para induzir a vítima a divulgar seus dados pessoais, como, por exemplo:
- E-mail informando bloqueio de conta bancária do usuário;
- Cancelamento de habilitação, levando o usuário a clicar em um link para supostamente resolver o problema;
- Ameaçando de que o nome do usuário pode ir para o Serviço de Proteção ao Crédito;
- Cancelamento de uma linha telefônica;
- Proteção contra phishing – prática de aplicar o golpe oferecendo proteção contra ele.
Ou seja, os cibercriminosos utilizam de problemas comuns e corriqueiros das pessoas, para fazer pressão psicológica, pois quando as vítimas ficam tensas, é maior a chance de agir por impulso e então, cair no golpe.
Spoofing
Este é um dos ataques hacker mais populares no mundo, pois o Spoofing se passa por uma empresa legítima, com objetivo de roubar dados, invadir sistemas e distribuir malwares pela rede.
Ao receber um e-mail suspeito de um contato conhecido, contendo todas as informações do cabeçalho corretas (nome, endereço de e-mail, remetente, telefone, etc.), porém com um conteúdo estranho, solicitando abrir links encurtados ou enviar dados sensíveis, por exemplo, trata-se de um ataque spoofing.
Tipos de Spoofing
- Spoofing de ID: É quando um hacker se passa por um IP legítimo e faz uma requisição a um site ou servidor, de um modo que a vítima não consiga identificar o atacante;
- Spoofing de e-mail: Esse tipo mira usuários e utiliza e-mails falsos, se passando por outra pessoa conhecida ou se passando por uma empresa real.
- Spoofing de DNS: O criminoso manipula as conexões de rede, modificando o DNS de roteadores em larga escala, e, depois, desviando acessos a um site legítimo para uma cópia falsa, visando roubar os dados de usuários. Os sites de instituições financeiras são os alvos mais comuns nesse tipo de ataque;
- Spoofing de chamadas ou SMS: O cibercriminoso realiza chamadas ou envia mensagens SMS, passando-se por um número legítimo, para enganar outros usuários;
- Caller ID Spoofing: Se trata de um método mais elaborado. O hacker tenta fazer acesso a serviços de telefonia ou de aplicativos por meio de um número de celular clonado, de modo a invadir contas de e-mail e redes sociais do usuário copiado.
Vishing
O vishing é uma variação para o phishing, sendo uma ameaça mantida nos e-mails.
O vishing, por outro lado, acontece de forma verbal, ou seja, por ligações telefônicas. Para a Interpol, esse é um dos tipos de engenharia social que mais monitora, e que já conseguiu angariar mais de 1 bilhão de dólares em fraudes e esquemas afins [3].
Casos de ataques por engenharia social
Exemplos de engenharia social aparecem frequentemente na imprensa, mas vamos citar aqui alguns casos de engenharia social:
Hotel Marriott
Nesse caso, um grupo de hacking usou tácticas de engenharia social para roubar 20 GB de informações pessoas e financeiras do Hotel Marriott.
Os criminosos enganaram um associado do Hotel Marriott, para fornecer para o grupo de hacking acesso ao computador do associado.
FACC (fabricante austríaco de aviões)
A FACC perdeu mais de 42 milhões de euros, quando a empresa sofreu um ataque virtual.
O CEO da empresa teve a sua conta de e-mail falsificada, e, depois, começou a enviar pedidos urgentes solicitando transferências de fundos por e-mail.
Este e-mail conseguiu enganar o empregado do setor de contas a pagar, que acatava os pedidos, e realizou as transferências.
Engenharia social compromete contas de funcionários no Mailchimp
O Mailchimp, plataforma de automação de marketing, verificou que no dia 11 de janeiro de 2023, ocorreu um acesso não autorizado, que invadiu as ferramentas utilizadas pelas equipes de atendimento ao cliente.
Ainda, conforme comunicado, o cibercriminoso realizou um ataque de engenharia social contra os funcionários da empresa, e, assim, obteve acesso a contas selecionadas do Mailchimp, utilizando credenciais comprometidas [4].
Segundo a investigação, o incidente se limitou a 133 contas da plataforma, e não existem evidências que comprometam os sistemas ou dados pessoais dos clientes.
Os usuários das contas impactadas estão sendo notificados, recebendo orientações para restabelecer o acesso de forma segura, pois, ao tomar conhecimento do caso, a empresa suspendeu, de forma temporária, o acesso de diversas contas do Mailchimp, nas quais foram identificadas atividades suspeitas.
Conclusão
Enfim, como podemos perceber, a engenharia social é um meio utilizado por cibercriminosos, visando roubar informações e acessar indevidamente sites de empresas.
Muitos dos ataques realizados dentro da engenharia social, se aproveitam da distração do usuário, ou da falta de cuidado, ou de conhecimento. Portanto, é essencial que empresas orientem os usuários dos seus sistemas, fazendo recomendações de segurança da informação.
Realizar campanhas de conscientização e educação tanto nas empresas, como nas escolas e demais organizações, é o primeiro passo para a segurança cibernética funcionar, porque, na prática, o crime virtual é organizado, por isso, é preciso que usuários conheçam como são realizados esses ataques virtuais e quais são as formas para prevenção.
Referências
- [1] https://www.kaspersky.com.br/resource-center/definitions/what-is-social-engineering
- [2] https://superdigital.com.br/blog/categorias/tudo-sobre-fraude/engenharia-social#:~:text=Engenharia%20social%20%C3%A9%20crime%3F,e%20multa%20a%20ser%20definida.
- [3] https://stefanini.com/pt-br/insights/artigos/tipos-de-ataques-de-engenharia-social
- [4] https://www.securityreport.com.br/destaques/engenharia-social-compromete-contas-de-funcionarios-no-mailchimp/#.Y_zl63bMKUk
