Na segurança do computador, muitos problemas ocorrem apesar dos melhores esforços do usuário. Por exemplo, você pode ser atingido por malware de publicidade maliciosa a qualquer momento, é realmente uma questão de azar. Existem etapas que você pode seguir para minimizar o risco, como usar um bloqueador de anúncios. Mas ser atingido assim não é culpa do usuário. Outros ataques, porém, se concentram em enganar o usuário para que faça algo. Esses tipos de ataques estão sob a ampla bandeira de ataques de engenharia social.
A engenharia social envolve o uso de análise e compreensão de como as pessoas lidam com certas situações para manipular um resultado. A engenharia social pode ser realizada contra grandes grupos de pessoas. Em termos de segurança de computadores, no entanto, é normalmente usado contra indivíduos, embora potencialmente como parte de uma grande campanha.
Um exemplo de engenharia social contra um grupo de pessoas pode ser a tentativa de causar pânico como uma distração. Por exemplo, um militar realizando uma operação de bandeira falsa ou alguém gritando “fogo” em um local movimentado e depois furtando no meio do caos. Em algum nível, propaganda simples, jogos de azar e publicidade também são técnicas de engenharia social.
Na segurança do computador, porém, as ações tendem a ser mais individuais. O phishing tenta convencer os usuários a clicar e vincular e inserir detalhes. Muitos golpistas tentam manipular com base no medo ou na ganância. Os ataques de engenharia social na segurança do computador podem até mesmo se aventurar no mundo real, como tentar obter acesso não autorizado a uma sala de servidores. Curiosamente, no mundo da segurança cibernética, este último cenário, e outros como este, é normalmente o que se quer dizer quando se fala em ataques de engenharia social.
Engenharia social mais ampla – online
Phishing é uma classe de ataque que tenta fazer a vítima usar engenharia social para fornecer detalhes a um invasor. Os ataques de phishing geralmente são entregues em um sistema externo, como por e-mail, e, portanto, têm dois pontos distintos de engenharia social. Primeiro, eles devem convencer a vítima de que a mensagem é legítima e fazer com que ela clique no link. Isso carrega a página de phishing, onde o usuário será solicitado a inserir detalhes. Normalmente, esse será o nome de usuário e a senha. Isso depende do e-mail inicial e da página de phishing, ambos parecendo convincentes o suficiente para fazer a engenharia social do usuário confiar neles.
Muitos golpes tentam fazer com que suas vítimas entreguem dinheiro com engenharia social. O clássico golpe do “príncipe nigeriano” promete um grande pagamento se a vítima puder arcar com uma pequena taxa adiantada. Obviamente, uma vez que a vítima paga a “taxa”, nenhum pagamento é recebido. Outros tipos de ataques fraudulentos funcionam com princípios semelhantes. Convencer a vítima a fazer algo, geralmente entregar dinheiro ou instalar malware. Ransomware ainda é um exemplo disso. A vítima precisa entregar dinheiro ou corre o risco de perder o acesso a quaisquer dados criptografados.
Engenharia social pessoal
Quando a engenharia social é mencionada no mundo da segurança cibernética, geralmente se refere a ações no mundo real. Existem muitos cenários de exemplo. Um dos mais básicos é chamado tail-gating. Isso está pairando perto o suficiente atrás de alguém para que eles mantenham aberta uma porta com controle de acesso para deixá-lo passar. A utilização não autorizada pode ser aprimorada com a criação de um cenário em que a vítima possa ajudá-lo. Um método é sair com os fumantes do lado de fora em uma pausa para fumar e depois voltar para dentro com o grupo. Outro método é ser visto carregando algo estranho. Essa técnica tem ainda mais chances de sucesso se o que você está carregando puder ser para outras pessoas. Por exemplo, se você tem uma bandeja com canecas de café para “sua equipe”, há uma pressão social para que alguém abra a porta para você.
Grande parte da engenharia social pessoal depende da criação de um cenário e da confiança nele. Por exemplo, um engenheiro social pode se passar por algum tipo de trabalhador da construção civil ou faxineiro que geralmente passa despercebido. Fazer-se passar por um bom samaritano, entregar um pen drive USB “perdido” pode fazer com que um funcionário o conecte. A intenção seria ver a quem ele pertence, mas poderia infectar o sistema com malware.
Esses tipos de ataques pessoais de engenharia social podem ser muito bem-sucedidos, pois ninguém realmente espera ser enganado dessa maneira. Eles, no entanto, carregam um grande risco para o atacante, que tem uma chance muito real de ser pego em flagrante.
Conclusão
A engenharia social é o conceito de manipular as pessoas para atingir um objetivo específico. Uma maneira envolve criar uma situação que pareça real para induzir a vítima a acreditar nela. Você também pode criar um cenário em que haja pressão social ou expectativa de que a vítima aja contra as recomendações de segurança padrão. Todos os ataques de engenharia social, no entanto, dependem de enganar uma ou mais vítimas para que executem uma ação que o invasor deseja.