O que é engenharia social e como ela é usada para roubar seus dados?

Em Como usar a Internet por André M. Coelho

A engenharia social é a arte de manipular as pessoas para que elas deixem informações confidenciais. Os tipos de informações que esses criminosos buscam podem variar, mas quando os indivíduos são segmentados, os criminosos geralmente tentam convencê-los a fornecer suas senhas ou informações bancárias ou acessar seu computador para instalar secretamente softwares mal-intencionados, o que lhes dará acesso à sua conta. senhas e informações bancárias, além de dar a eles controle sobre o seu computador.

O que é engenharia social?

Criminosos usam táticas de engenharia social porque geralmente é mais fácil explorar sua inclinação natural para confiar do que descobrir maneiras de hackear seu software. Por exemplo, é muito mais fácil enganar alguém ao fornecer sua senha do que tentar usar a senha (a menos que a senha seja realmente fraca).

O que é engenharia social em informática?

Se um criminoso conseguir hackear ou projetar socialmente a senha de e-mail de uma pessoa, ele terá acesso à lista de contatos dessa pessoa. Como a maioria das pessoas usa uma senha em todos os lugares, provavelmente também têm acesso aos contatos da rede social dessa pessoa.

Depois que o criminoso tiver essa conta de e-mail sob seu controle, ele enviará e-mails para todos os contatos da pessoa ou deixará mensagens nas páginas sociais de todos os seus amigos e, possivelmente, nas páginas dos amigos da pessoa.

Aproveitando a sua confiança e curiosidade, estas mensagens irão:

Conter um link que você só precisa conferir, e como o link vem de um amigo e você está curioso, você vai confiar no link e clicar, e ser infectado com malware para que o criminoso possa assumir sua máquina e coletar seu contatos informações e enganá-los assim como você foi enganado

Conter um download de imagens, músicas, filmes, documentos, etc., que tenham software malicioso incorporado. Se você baixar – o que provavelmente fará, já que acha que é do seu amigo – você se infectará. Agora, o criminoso tem acesso à sua máquina, conta de e-mail, contas de redes sociais e contatos, e o ataque se espalha para todos que você conhece. E assim por diante.

Os ataques de phishing são um subconjunto da estratégia de engenharia social que imita uma fonte confiável e inventam um cenário aparentemente lógico para a entrega de credenciais de login ou outros dados pessoais confidenciais.

A engenharia social usa dos contatos e das pessoas para conseguir informações sobre sua vida e usar isso para ter acesso a informações privadas, contas online, e mais. (Foto: Risk Management)

Exemplos de ataque de engenharia social

Usando uma história ou pretexto convincente, mensagens podem conter histórias de um “amigo” que está preso no país X, foi roubado, espancado e está no hospital. Eles precisam que você envie dinheiro para que eles possam chegar em casa e eles lhe dizem como enviar o dinheiro para o criminoso. Normalmente, um phisher envia um e-mail, mensagem instantânea, comentário ou mensagem de texto que parece vir de uma empresa, banco, escola ou instituição legítima e popular.

As mensagens de ataques de engenharia social também pedem que você faça uma doação para o evento de caridade ou outra causa. Provavelmente com instruções sobre como enviar o dinheiro ao criminoso. Preocupando-se com gentileza e generosidade, esses phishers pedem ajuda ou apoio para qualquer desastre, campanha política ou caridade que seja instantaneamente reconhecida.

Apresentar um problema que exige que você “verifique” suas informações clicando no link exibido e fornecendo informações em seu formulário. O local do link pode parecer muito legítimo com todos os logotipos e conteúdo corretos (na verdade, os criminosos podem ter copiado o formato e o conteúdo exatos do site legítimo). Como tudo parece legítimo, você confia no e-mail e no site falso e fornece as informações solicitadas pelo bandido. Esses tipos de esquemas de phishing geralmente incluem um aviso sobre o que acontecerá se você não agir logo, pois os criminosos sabem que, se conseguirem que você aja antes de pensar, é mais provável que você caia na tentativa de phishing.

Talvez o e-mail afirme ser de uma loteria, um parente falecido ou a milionésima pessoa a clicar em seu site, etc. Para dar a você seus ‘ganhos’ você precisa forneça informações sobre seu roteamento bancário para que eles saibam como enviá-lo para você ou forneça seu endereço e número de telefone para que eles possam enviar o prêmio, e você também pode ser solicitado a provar com frequência quem é seu número de seguridade social. Estes são os ‘gananciosos’ onde, mesmo que o pretexto da história seja tênue, as pessoas querem o que é oferecido e caem de amores por essa oferta, doando suas informações, depois tendo sua conta bancária esvaziada e a identidade roubada.

Outras mensagens podem posar como chefe ou colega de trabalho. Pode solicitar uma atualização sobre um projeto importante e proprietário no qual sua empresa está atualmente trabalhando, informações de pagamento relativas a um cartão de crédito da empresa ou algum outro tipo de consulta disfarçada de negócios do dia-a-dia.

Cenários de isca para a engenharia social

Esses esquemas de engenharia social sabem que se você balançar algo que as pessoas querem, muitas pessoas morderão a isca. Estes esquemas são frequentemente encontrados em sites P2P, oferecendo um download de algo como um novo filme ou música. Mas os esquemas também são encontrados em sites de redes sociais, sites maliciosos que você encontra nos resultados de pesquisa e assim por diante.

Ou, o esquema pode aparecer como um incrivelmente grande negócio em sites de classificados, sites de leilão, etc. Para aliviar a sua suspeita, você pode ver o vendedor tem uma boa classificação (tudo planejado e trabalhado antes do tempo).

As pessoas que mordem a isca podem estar infectadas com softwares maliciosos que podem gerar qualquer número de novas explorações contra si e seus contatos, podem perder seu dinheiro sem receber o item comprado e, se forem tolas o suficiente para pagar com cheque, podem encontrar sua conta bancária vazia.

Ataques de engenharia social dão respostas a uma pergunta que você nunca fez

Criminosos podem fingir que estão respondendo à sua “solicitação de ajuda” de uma empresa, além de oferecer mais ajuda. Eles escolhem empresas que milhões de pessoas usam, como uma empresa de software ou um banco. Se você não usa o produto ou serviço, você irá ignorar o e-mail, telefonema ou mensagem, mas se acontecer de você usar o serviço, há uma boa chance de você responder porque provavelmente quer ajuda com um problema. .

Por exemplo, mesmo que você saiba que originalmente não fez uma pergunta, você provavelmente tem um problema com o sistema operacional do seu computador e aproveita essa oportunidade para corrigi-lo. De graça! No momento em que responder, você comprou a história do bandido, deu-lhe sua confiança e abriu-se para a exploração.

O representante, que na verdade é um criminoso, precisará “autenticá-lo”, fazer login no “sistema” deles ou fazer login no seu computador e dar acesso remoto ao computador para que eles possam ‘consertá-lo’. você, ou lhe dizer os comandos para que você possa consertá-lo com a ajuda deles – onde alguns dos comandos que eles lhe dizem para entrar abrirão uma maneira para o criminoso voltar ao seu computador mais tarde.

Engenharia social criando desconfiança

Alguma engenharia social, é toda sobre criar a desconfiança, ou começar conflitos; estas são frequentemente realizadas por pessoas que você conhece e que estão com raiva de você, mas também é feito por pessoas mal-intencionadas tentando causar estragos, pessoas que querem primeiro criar desconfiança em sua mente sobre os outros, para que possam agir como um herói e ganhar sua confiança, ou por extorsionários que querem manipular informações e, em seguida, ameaçá-lo com a divulgação.

Essa forma de engenharia social geralmente começa com acesso a uma conta de email ou outra conta de comunicação em um cliente de mensagens instantâneas, rede social, bate-papo, fórum etc. Eles realizam isso por meio de hacking, engenharia social ou simplesmente adivinhando senhas realmente fracas.

A pessoa mal-intencionada pode então alterar comunicações confidenciais ou privadas (incluindo imagens e áudio) usando técnicas básicas de edição e encaminha-las a outras pessoas para criar drama, desconfiança, constrangimento, etc. Elas podem parecer que foram enviadas acidentalmente, ou aparecer como eles estão deixando você saber o que realmente está acontecendo.

Alternativamente, eles podem usar o material alterado para extorquir dinheiro da pessoa que hackearam ou do suposto destinatário.

Existem literalmente milhares de variações em ataques de engenharia social. O único limite para o número de maneiras pelas quais eles podem engenhar os usuários socialmente através desse tipo de exploração é a imaginação do criminoso. E você pode experimentar várias formas de explorações em um único ataque. Então, o criminoso provavelmente venderá suas informações a outras pessoas para que elas também possam executar suas façanhas contra você, seus amigos, amigos de seus amigos e assim por diante, à medida que os criminosos aproveitam a confiança indevida das pessoas.

Como se prevenir de ataques de engenharia social?

Embora os ataques de phishing sejam exuberantes, tenham vida curta e precisem de apenas alguns usuários para morder a isca de uma campanha bem-sucedida, existem métodos para se proteger. A maioria não exige muito mais do que simplesmente prestar atenção aos detalhes à sua frente. Tenha o seguinte em mente para evitar ser fisgado.

Dicas para lembrar:

Desacelere. Os spammers querem que você aja primeiro e pense depois. Se a mensagem transmitir um senso de urgência ou usar táticas de vendas de alta pressão, seja cético; nunca deixe sua urgência influenciar sua revisão cuidadosa.

Pesquise os fatos. Suspeite de quaisquer mensagens não solicitadas. Se o email parece ser de uma empresa que você usa, faça sua própria pesquisa. Use um mecanismo de pesquisa para acessar o site da empresa real ou uma lista telefônica para encontrar o número de telefone dele.

Não deixe um link controlar o local de sua chegada. Fique no controle encontrando o site usando um mecanismo de busca para ter certeza de pousar onde pretende aterrissar. Passar o mouse sobre os links no e-mail mostrará a URL real na parte inferior, mas uma boa farsa ainda pode prejudicá-lo.

O sequestro de e-mail é desenfreado. Hackers, spammers e engenheiros sociais assumindo o controle das contas de e-mail das pessoas (e outras contas de comunicação) se tornaram desenfreadas. Depois que controlam uma conta de email, eles se aproveitam da confiança dos contatos da pessoa. Mesmo quando o remetente parece ser alguém que você conhece, se você não está esperando um e-mail com um link ou anexo, verifique com seu amigo antes de abrir links ou fazer o download.

Cuidado com qualquer download. Se você não conhece o remetente pessoalmente e espera um arquivo deles, fazer o download de qualquer coisa é um erro.

Ofertas estrangeiras são falsas. Se você receber um e-mail de uma loteria ou sorteios estrangeiros, dinheiro de um parente desconhecido ou solicitações para transferir fundos de um país estrangeiro para uma parte do dinheiro, é garantido que será uma farsa.

https://youtu.be/5fIGzw6w5C0

Proteção contra ataques de engenharia social

Exclua qualquer solicitação de informações financeiras ou senhas. Se você for solicitado a responder a uma mensagem com informações pessoais, é uma farsa.

Rejeitar solicitações de ajuda ou ofertas de ajuda. Empresas e organizações legítimas não entram em contato para fornecer ajuda. Se você não solicitou especificamente assistência do remetente, considere qualquer oferta de “ajuda” para restaurar a pontuação de crédito, refinanciar uma casa, responder à sua pergunta, etc., uma farsa. Da mesma forma, se você receber uma solicitação de ajuda de uma instituição de caridade ou organização com a qual não tenha um relacionamento, exclua-a. Para dar, procure organizações de caridade respeitáveis por sua conta para evitar cair em uma farsa.

Defina seus filtros de spam para alta. Todo programa de email tem filtros de spam. Para encontrar a sua, olhe para as opções de configuração e defina-as como alta; lembre-se de verificar periodicamente sua pasta de spam para ver se emails legítimos foram acidentalmente capturados. Você também pode pesquisar um guia passo a passo sobre como configurar seus filtros de spam pesquisando o nome do seu provedor de e-mail e a frase “filtros de spam”.

Proteja seus dispositivos de computação. Instale softwares antivírus, firewalls, filtros de e-mail e mantenha-os atualizados. Defina seu sistema operacional para atualizar automaticamente e, se seu smartphone não atualizar automaticamente, atualize-o manualmente sempre que receber um aviso para fazer isso. Use uma ferramenta anti-phishing oferecida pelo seu navegador ou por terceiros para alertá-lo sobre os riscos.

Como você se protege contra ataques de engenharia social? Quais estratégias funcionam melhor?

Sobre o autor

No final da década de 90, André começou a lidar diretamente com tecnologia ao comprar seu primeiro computador. Foi um dos primeiros a ter acesso à internet em sua escola. Desde então, passou a usar a internet e a tecnologia para estudar, jogar, e se informar, desde 2012 compartilhando neste site tudo o que aprendeu.

Veja também