A Engenharia Social desempenha um papel fundamental quando nos referimos a ataques cibernéticos, independentemente do tamanho do incidente. De fato, como o pesquisador sênior da ESET David Harley destacou em uma publicação (em inglês), a Engenharia Social sempre permaneceu como "uma constante ao longo da história da segurança na internet".
Mas o que é Engenharia Social? Em seu sentido mais amplo, a Engenharia Social é baseada na manipulação psicológica, ou seja, essa técnica tenta fazer com que outras pessoas façam o que você quer que elas façam. Por exemplo, você pode persuadir um policial de trânsito para evitar pagar uma multa por um veículo estacionado ou mesmo convencer seu chefe a te dar um aumento salarial.
No contexto de crimes cibernéticos, é amplamente descrito como um método não técnico usado por cibercriminosos para obter informações, realizar fraudes ou conseguir acesso de forma ilegal aos computadores das vítimas. A Engenharia Social é baseada na interação humana e é conduzida por pessoas que usam golpes para violar procedimentos de segurança.
Os ataques comuns de Engenharia Social incluem e-mails de phishing, vishing (ligação de pessoas que se fazem passar por uma empresa ou instituição conhecida) e baiting (do inglês, “isca”, através das quais o atacante carrega drives USB com malware e simplesmente espera que o usuário os conecta à sua máquina).
A Engenharia Social também se estende a pesquisas de empresas e de amigos no LinkedIn e no Facebook, respectivamente, onde criminosos usam as redes sociais para criar confiança e obter dados. Muitas vezes, o resultado final é extorsão ou roubo.
Isso inclui a prática de roubar algo pequeno para enganar e, em seguida, ser capaz de roubar algo maior, e a prática de entrar ilegalmente em áreas seguras aproveitando a entrada de outra pessoa com permissão de acesso. Recentemente, no Reino Unido, um golpista usou a Engenharia Social durante sua sentença para escapar da prisão. Ele usou um telefone celular ilícito para criar uma conta de e-mail falsa, se fez passar por um funcionário da Suprema Corte e depois enviou suas "instruções de liberdade" para os funcionários da prisão. Eles o libertaram por engano, mas depois ele teve que se entregar novamente.
Os cibercriminosos usam esse tipo de ataque por vários motivos, como já explicamos. Não há dúvida de que é uma arma eficaz, que permite aos cibercriminosos roubar dados de acesso privilegiados, infectar pessoas com malware e até assustar as vítimas com scareware para que realizem um pagamento. Na maioria das vezes, seu objetivo final é roubar dinheiro e dados ou assumir a identidade da vítima.
Os golpes que usam a Engenharia Social são fáceis de fazer e não exigem muito dinheiro: o renomado consultor de segurança Kevin Mitnick disse uma vez que era mais fácil enganar alguém a dar sua senha a um sistema do que se esforçar para filtrar os dados.
Com tudo isso em mente, aqui estão cinco coisas que você deve saber sobre Engenharia Social.
1. É físico e digital
A Engenharia Social é um golpe antigo que se manifesta em todas as áreas da vida, por isso seria um erro pensar que é algo novo ou que você só o vê no mundo on-line.
De fato, a Engenharia Social tem sido usada no mundo físico há muito tempo. Existem inúmeros exemplos de criminosos que se apresentam como chefes de bombeiros, técnicos, exterminadores e zeladores, com o único objetivo de entrar no prédio de uma empresa e roubar segredos corporativos ou dinheiro.
Foi apenas muito mais tarde, em algum momento da década de 1990, que o vishing se tornou popular, seguido pelo e-mail de phishing.
2. Sua qualidade é altamente variável
A qualidade dos golpes varia muito. Para todo engenheiro social sofisticado que envia e-mails de phishing iguais aos autênticos ou que faz chamadas de vishing, existem muitos outros com erros gramaticais, que têm argumentos sem lógica e informações confusas.
Você provavelmente já encontrou vários desses personagens: em e-mails suspeitos de um "banco nigeriano" ou naqueles que afirmam você ganhou na loteria em outro país - há muitos exemplos de tentativas lamentáveis de fraude.
3. Os países também usam Engenharia Social
Em um nível muito mais alto, os estados-nações estão participando ativamente de campanhas de Engenharia Social, ou pelo menos as usam como parte de ataques muito mais sofisticados: ameaças persistentes avançadas (APT). Esse tipo de espionagem on-line desempenha um papel importante nos esforços cibernéticos de países como Estados Unidos e China, conforme revelado por um post da Wired.
"Embora que o termo APT sugere o uso de sofisticada tecnologia maliciosa, os ataques APT geralmente dependem da antiga tática de Engenharia Social para alcançar a introdução inicial em um sistema", comentou Harley recentemente.
"Quando o objetivo do invasor é a fraude ou a espionagem, ele prefere atacar o sistema de pessoas com uma alta posição dentro da organização, para ter acesso a dados confidenciais".
4. Você provavelmente não perceberá o ataque
O aspecto mais preocupante sobre ataques desse tipo é que não há aviso imediato, não há sinal claro de que você está sendo atacado ou que seu computador foi infectado. Não há uma janela pop-up solicitando bitcoins (como no CryptoLocker e outros tipos de ransomware), nem um anúncio de scareware tentando convencê-lo a baixar um aplicativo ou ligar para uma central de serviço técnico.
Na maioria das vezes, os criminosos realizam seus ataques, roubam os dados que procuram e depois desaparecem. E se for roubo de dados, você provavelmente nunca descobrirá a infecção, muito menos se seus dados estiverem sendo vendidos ilegalmente na Dark Web.
5. Foca principalmente nas empresas
A engenharia social afeta a todos, mas os golpistas a utilizam cada vez mais para atacar grandes empresas e PMEs: 2014 foi descrito como o ano em que os cibercriminosos entraram no setor de negócios.
Um relatório do setor de segurança no início de 2015 revelou que a Engenharia Social está sendo usada para atingir especificamente gerentes de nível intermediário e altos executivos. O motivo é porque eles são como uma “mina de ouro”, explicou Richard De Vere, consultor de engenharia social e pentester da The AntiSocial Engineer Limited, naquela época.
"Se você está preparando um e-mail de phishing, o LinkedIn é uma mina de ouro, onde é possível obter dados da alta gerência e altos executivos", disse Richard à SC Magazine. "As ferramentas automatizadas podem listar rapidamente centenas de endereços de e-mail, com dados do usuário e suas credenciais de acesso VPN/OWA/Active Directory".