O que é engenharia social?

167

A engenharia social (Social Engineering) é a arte de manipular as pessoas para conseguir informações confidenciais. No ataque de engenharia social, um atacante utiliza a interação humana (habilidades sociais e psicológicas) para obter informações ou conseguir comprometer o computador e sistemas de uma empresa ou pessoa.

Os tipos de informações que esses atacantes estão procurando podem variar. No cenário brasileiro, o que temos observado e acompanhado é a tentativa de induzir a vítima a executar um software malicioso no computador que irá fornecer acesso às suas senhas e informações bancárias.

Durante o ataque, o criminoso pode parecer íntegro e respeitável, podendo até afirmar ser um novo funcionário ou fornecedor e forjar as credenciais (inclusive e-mail) para dar uma veracidade maior a essa identidade. Através de perguntas, ele pode ser capaz de reunir informações suficientes para completar uma invasão ou, se ele não conseguir reunir informações suficientes de uma fonte, ele pode entrar em contato com outra fonte dentro da mesma empresa e usar as informações obtidas da primeira para conseguir uma credibilidade maior nesta investida.

Todo profissional de segurança da informação sabe que o elo mais fraco é o ser humano. Não adianta você investir milhões em equipamentos e sistemas de segurança, sendo que, em apenas uma ligação é possível obter uma credencial para acessar o sistema da empresa.

Algumas empresas escondem as informações sobre o lançamento de alguns de seus produtos dentro de cofres, e não é por mero acaso. A Apple revolucionou o mercado de dispositivos móveis com a chegada do iPhone em 2007 e do iPad em 2010, mas imagine se um engenheiro social tivesse conseguido detalhes do desenho do produto e outra empresa lançasse com alguns meses de antecedência. Para dizer o mínimo, isso poderia alterar radicalmente o mercado como conhecemos hoje.

Exemplo 1: você recebe uma mensagem e-mail, onde o remetente é o gerente ou alguém em nome do departamento de suporte do seu banco. Na mensagem ele diz que o serviço de internet Banking está apresentando algum problema e que tal problema pode ser corrigido se você executar o aplicativo que está anexado à mensagem. A execução deste aplicativo apresenta uma tela análoga àquela que você utiliza para ter acesso a conta bancária, aguardando que você digite sua senha. Na verdade, este aplicativo está preparado para furtar sua senha de acesso a conta bancária e enviá-la para o atacante.

Exemplo 2: você recebe uma mensagem de e-mail, dizendo que seu computador está infectado por um vírus. A mensagem sugere que você instale uma ferramenta disponível em um site da internet, para eliminar o vírus de seu computador. A real função desta ferramenta não é eliminar um vírus, mas sim permitir que alguém tenha acesso ao seu computador e a todos os dados nele armazenados.

Exemplo 3: algum desconhecido liga para a sua casa e diz ser do suporte técnico do seu provedor. Nesta ligação ele diz que sua conexão com a internet está apresentando algum problema e, então, pede sua senha para corrigi-lo. Caso você entregue sua senha, este suposto técnico poderá realizar uma infinidade de atividades maliciosas, utilizando a sua conta de acesso a internet e, portanto, relacionando tais atividades ao seu nome.

Estes casos mostram ataques típicos de engenharia social, pois os discursos apresentados nos exemplos procuram induzir o usuário a realizar alguma tarefa e o sucesso do ataque depende única e exclusivamente da decisão do usuário em fornecer informações sensíveis ou executar programas.

Por isso temos que ficar sempre atentos, além de seguir nossas dicas de uma navegação segura na internet.

 

FONTE: Trustsign

 

você pode gostar também Mais do autor