O que é engenharia social?

Os 5 principais exemplos

Engenharia Social

Sabia que os hackers podem invadir o seu computador ou outro dispositivo ligado à Internet sem terem efetivamente de fazer hacking? Eles podem usar manipulação, ou conquistar a sua confiança, e levá-lo a partilhar a sua informação privada, e pode não se aperceber disto até ser demasiado tarde. Se abrir links em e-mails que recebe sem confirmar o nome da pessoa que os enviou, ou se divulga informação pessoal em e-mails, arrisca-se a ser vítima de engenharia social.

Sumário: Engenharia social é o uso de métodos não-técnicos para levar uma potencial vítima a partilhar a sua informação pessoal, neste caso com um hacker. Os hackers usam práticas enganadoras para apelar à bondade da vítima e à sua vontade de ser prestável, de modo a obter palavras-passe, detalhes da conta bancária, e outras informações pessoais. Continue a ler para ficar a saber mais sobre os cinco tipos mais comuns de engenharia social.

Social Engineering

O que é engenharia social?

Engenharia social é um termo genérico para uma variedade de métodos e técnicas usadas por hackers e outros cibercriminosos com o objetivo de enganar vítimas desprevenidas e levá-las a partilhar os seus dados pessoais, abrir links para websites infetados, ou permitir inconscientemente que os hackers instalem software malicioso no seu computador. Estes hackers manipulam as suas vítimas de forma a que estas descurem os procedimentos habituais de cibersegurança, ganhando assim acesso ao seu computador e/ou informação pessoal, geralmente para daí obter rendimentos.

O termo “engenharia social” tem origem nas ciências sociais, onde denota um esforço por parte dos principais motores de mudança (i.e., os meios de comunicação, governos ou grupos privados) para influenciar ou moldar os comportamentos da sua população-alvo. Em termos mais simples, engenharia social envolve o uso de manipulação de forma a atingir um objetivo, seja ele bom (e.g., promover a tolerância) ou mau (e.g., incitar à violência). Apesar de remontar a finais do século XIX, este termo está, hoje em dia, intimamente ligado à cibersegurança.

Para levar a cabo os seus ataques de engenharia social, muitos hackers contam com a vontade das potenciais vítimas de ajudar outras pessoas. Da mesma forma, estes podem tentar explorar a sua falta de conhecimentos técnicos. Contudo, na maioria dos casos, os hackers fazem um estudo do seu potencial alvo. Para um alvo individual, isto implica uma revista meticulosa à sua conta nas redes sociais por qualquer informação pessoal que este tenha partilhado, incluindo data de aniversário, endereço de e-mail, número de telefone, e os lugares que mais visita.

Este processo é algo diferente quando os alvos são empresas. Os hackers necessitam de alguém infiltrado para recolher informação sobre a firma, as suas operações, estrutura de funcionários, e lista dos parceiros de negócios. Posto isto, a maioria dos hackers prefere visar funcionários da parte mais baixa da cadeia empresarial que tenham acesso a esta informação. As opções são convencer o funcionário a partilhar esta informação de forma voluntária, ou infetar o seu computador com software malicioso que monitoriza a sua atividade na rede e envia reportes detalhados ao hacker.

Que tipos de engenharia ocial existem?

A engenharia social pode tomar várias formas. Alguns ataques apenas podem ser levados a cabo offline, como no caso de estranhos simpáticos contarem com a sua bondade para entrar no edifício da sua empresa e adquirir a informação que precisam em pessoa. Há também alguns ataques de engenharia social que ocorrem pelo telefone. Conhecidos como vishing (voice phishing), estes envolvem alguém que se introduz, falsamente, como um colega da empresa ou um agente da autoridade, e que pede diretamente a informação que está a tentar obter.

No que toca à engenharia social online, os cinco tipos mais comuns são os seguintes:

  1. Spear Phishing

Enquanto que a maioria das campanhas de phishing envolve o envio de e-mails em massa para o máximo número possível de endereços aleatórios, o spear phishing ataca grupos ou indivíduos específicos. Os hackers – neste caso, conhecidos como phishers – usam as redes sociais para recolher informação sobre o seu alvo – por vezes, conhecido como spear – de forma a poderem personalizar os seus e-mails de phishing, tornando-os mais realistas e aumentando as probabilidades de sucesso.

Numa tentativa de fazer o seu ataque parecer ainda mais real, os phishers introduzem-se como um amigo, parceiro de negócios, ou uma instituição externa de algum modo relacionada com a vítima. Por exemplo, um phisher pode fazer-se passar por um representante do banco da vítima e pedir-lhe que forneça a informação que procura. Ainda para mais, pode também usar o logótipo oficial e imagens do banco em causa para que a vítima tenha mais dificuldade em perceber que a mensagem não é genuína.

  1. Baiting

O baiting é diferente da maioria dos tipos de engenharia social online, na medida em que implica uma componente física. Como o próprio nome indica, o baiting envolve um isco (bait) tangível, que tem de atrair a vítima para que o ataque tenha sucesso. Por exemplo, o hacker pode deixar uma pen USB infetada com malware na secretária da sua vítima, na esperança que esta “morda o isco” e a ligue ao seu computador. Para aumentar as hipóteses de sucesso, o hacker pode também escrever na pen uma mensagem como “importante” ou “confidencial”.

Se a vítima cair na esparrela e ligar a pen ao seu computador, o software malicioso contido na pen é imediatamente instalado. Isto, por sua vez, dará ao hacker acesso à atividade online e offline da vítima, bem como acesso aos seus ficheiros e pastas. Se o computador infetado fizer parte de uma rede, o hacker ganhará instantaneamente acesso aos outros dispositivos da rede.

  1. Pretexting

O pretexting envolve o uso de um pretexto cativante, pensado para captar a atenção do alvo e para o apanhar no esquema. Uma vez imerso na história, o hacker por detrás do ataque tentará levar a vítima a partilhar informação valiosa. Este tipo de engenharia social é muitas vezes visto na infame fraude Nigeriana, que promete à vítima uma grande quantidade de dinheiro se esta fornecer os detalhes da sua conta bancária. Se a vítima se deixar levar pela conversa, não só não recebe um único cêntimo, como poderá perder o dinheiro que tem na conta.

  1. Contact Spamming

O contact spamming é, talvez, a forma mais disseminada de engenharia social online. Como o próprio nome indica, os hackers usam este método para enviar mensagens de spam para todos os contactos da sua vítima. Esses e-mails são enviados a partir da lista da vítima, o que significa que irão parecer mais realistas aos olhos dos recetores. Mais importante é o facto de ser muito menos provável estes e-mails acabarem na pasta de spam da caixa de entrada.

Este método funciona de uma forma muito simples. Se vir um e-mail enviado por um amigo seu com uma linha de assunto informal (e.g., “Vê só isto!”), poderá abri-lo para encontrar um link de texto. Este link está normalmente numa forma encurtada, por isso não há forma de saber o que é sem ver. Porém, se clicar no link, uma cópia exata do e-mail é enviada para todos os seus contactos, continuando assim a cadeia de spam. Além disso, o link pode levá-lo até um website malicioso e descarregar spyware, ou outro tipo de malware, para o seu computador.

  1. Quid Pro Quo

Uma expressão latina, que, nos países anglo-saxónicos, significa “um favor em troca de outro”, o quid pro quo é um tipo de engenharia social que envolve uma troca de favores e serviços entre um hacker e o seu alvo. Muitas vezes, os hackers fazem-se passar por um técnico de suporte informático e pedem à vítima os seus detalhes de login, de forma a poderem efetuar um alegadamente importante teste de cibersegurança. Além disso, podem pedir-lhe que desative o software antivírus ou que instale um programa por eles enviado, dando-lhes assim acesso ao seu computador e uma oportunidade para instalar mais malware.

Exemplos de ataques de engenharia social

Alguns dos maiores ataques de engenharia social nos anos mais recentes foram os seguintes:

  • Em 2017, mais de um milhão de utilizadores do Google Docs receberam o mesmo e-mail de phishing, informando-os que um dos seus contactos estaria a tentar partilhar um documento. Ao clicar no link incluído no e-mail, os utilizadores eram levados até uma página falsa do Google Docs, onde muitos deles inseriram os seus dados de login da Google. Isto, por sua vez, deu aos hackers acesso a mais de um milhão de contas da Google, incluindo e-mails, contactos, documentos online, e backups de smartphones.
  • Em 2007, um tesoureiro do Michigan foi vítima de uma fraude Nigeriana que envolvia um príncipe fictício a tentar escapar da Nigéria, mas que precisava de ajuda para transferir a sua fortuna para fora do país. No período de alguns meses, o tesoureiro fez vários pagamentos, na totalidade de 185,000 dólares (72,000 dólares do seu próprio dinheiro), aos hackers por detrás desta fraude de e-mails. Foi mais tarde revelado que o resto dos fundos teve origem nos 1.2 milhões de dólares que o tesoureiro teve a seu cargo durante os seus 13 anos de serviço público.
  • Em 2013, hackers roubaram a informação de cartões de crédito de mais de 40 milhões de clientes da Target. De acordo com relatos oficiais, os hackers estudaram primeiro a empresa subcontratada para prestar serviço de ar condicionado à grande retalhista, e enviaram e-mails de phishing aos seus funcionários. Isto permitiu aos hackers ter acesso à rede da Target e roubar a informação de pagamento dos seus clientes. Apesar de os culpados nunca terem sido descobertos, a Target foi obrigada a pagar 18.5 milhões de dólares em 2017 em indemnizações.

Como proteger-se de ataques de engenharia social

Dado que os hackers por trás dos esquemas de engenharia social confiam habitualmente na bondade das suas vítimas e na sua vontade de ajudar, a melhor forma de se proteger é mesmo ser mais desconfiado em ambientes online. É verdade que usar o melhor software antivírus é muito importante, mas deve ser muito cauteloso na Internet.

Se alguém lhe enviar um e-mail, alegando que é um dos seus fornecedores ou parceiro de negócios, deve ligar para o seu escritório antes de responder ao e-mail ou de abrir quaisquer links ou anexos que este possa conter. Da mesma forma, se um e-mail aparentemente enviado por um amigo seu parece suspeito, ligue ao seu amigo para se certificar que foi, de facto, ele que o enviou. Independentemente da pessoa com quem esteja a trocar mensagens, nunca divulgue os detalhes do seu cartão de crédito, informações da conta bancária, número de Segurança Social, ou quaisquer outras informações pessoais por e-mail.

Além de manipularem as suas emoções, os hackers tentarão também levá-lo a instalar software malicioso no computador. Dependendo do tipo de software que é, isto pode permitir-lhes monitorizar a sua atividade, copiar e apagar os seus ficheiros e outros dados, bem como roubar as suas palavras-passe, detalhes de cartão de crédito, e outras informações sensíveis. Para impedir que isto aconteça, deve usar o melhor software antivírus, que pode facilmente encontrar e remover software malicioso e manter o seu computador protegido de todas as potenciais ameaças.

Fontes (em inglês):

 

    Você está protegido?

    Hackers usam muitas vezes software malicioso para monitorizar a sua atividade, aceder aos seus ficheiros, e roubar os seus dados. Não deixe a sua segurança online ao acaso.