Conceito.de
Conceito de

Engenharia social

engenharia social
Com a engenharia social se pode obter, de maneira ilegal, informações sobre uma pessoa ou empresa

Engenharia social é como se nomeia a técnica de manipulação psicológica utilizada para enganar pessoas e obter informações confidenciais. E essas informações podem ser senhas, dados pessoais ou mesmo acesso a sistemas.

No lugar de analisar vulnerabilidades técnicas, os engenheiros sociais realizam a exploração da confiança, curiosidade ou mesmo do medo das pessoas. Eles geralmente se passam por figuras de autoridade, a exemplo de técnicos de suporte, ou usam motivos convincentes a fim de induzir as vítimas a revelar informações ou executar ações que comprometeriam a sua segurança.

Os ataques de engenharia social são frequentemente realizados por meio de e-mails de phishing e telefonemas falsos. Mas há ainda casos em que esses acontecem através de interações presenciais.

Esses ataques ressaltam a importância de conscientização e treinamento de segurança, já que mesmo aqueles sistemas considerados como mais seguros podem ser comprometidos se os indivíduos não estiverem atentas aos riscos.

Se tem pouco tempo, veja o índice ou o resumo com os pontos-chave.

Sobre o funcionamento desses ataques

Os ataques de engenharia social sucedem explorando a maneira como as pessoas pensam e atuam.

Os invasores fazem a manipulação do comportamento dos usuários ao compreenderem suas motivações, engajando-os nas situações que parecem legítimas, mas na realidade são fraudulentas. Um invasor é quando um invasor enviar um e-mail convincente, o qual que parece mesmo vir de uma fonte confiável, o que faz a vítima a clicar no link ou fornecer informações pessoais.

Esses ataques ainda exploram a ausência de conhecimento dos usuários. Diversos consumidores e funcionários não sabem reconhecer ameaças modernas, como é o caso de downloads automáticos, ou não compreendem o valor real dos seus dados pessoais. Desse modo, acabam sendo mais suscetíveis a conceder informações sensíveis, como o número de telefone, sem notar os riscos envolvidos.

Os objetivos desses ataques costumam se dividir em dois: sabotagem, em que o invasor interrompe ou adultera dados a fim de causar danos, e roubo, que foca em obter informações valiosas, acesso a sistemas ou mesmo a dinheiro.

Desse modo, a engenharia social é ferramenta poderosa para hackers, explorando fraquezas das pessoas no lugar de falhas técnicas.

As etapas do processo

A engenharia social opera por meio de uma sequência de etapas cuidadosamente elaborada pelos atacantes visando manipular as vítimas.

Em vez de tentar forçar a entrada nos sistemas, os invasores focam na interação direta com os usuários, analisando suas fraquezas emocionais e psicológicas. O processo de ataque tende a seguir um ciclo bem definido.

Primeiro, o atacante se prepara reunindo informações a respeito da vítima ou um grupo ao qual a mesma pertence. Essas informações ajudam esse atacante/invasor a personalizar a abordagem, sendo mais convincente. Depois o invasor infiltra-se, começando uma interação que tende a ocorrer por e-mail, redes sociais ou presencialmente. O foco é criar um relacionamento e construir confiança.

Com a confiança então estabelecida, o invasor passa a explorar a vítima. O que ele faz agora é persuadindo-a para realizar ações que comprometerão a sua segurança, a exemplo de compartilhar dados pessoais ou abrir arquivos infectados.

Finalmente, o invasor desvincula-se. Ele encerra a interação depois que já conseguiu o que desejava, muitas vezes ele faz isso sem que a vítima note que foi enganada. Então essa pessoa perde uma conta, dinheiro, é extorquida, etc. E em uma parte considerável dos casos ela não consegue reaver o que perdeu.

Esse ciclo de ataque tende a acontecer de forma rápida ou, ainda, se estende por semanas ou meses. E o foco é sempre em levar a vítima a baixar a guarda e se comprometer. É comum que ataques desse tipo peguem pessoas idosas, leigos em tecnologia ou internet, etc. É por isso que a informação e conscientização é algo crucial.

Exemplos de tipos de ataques de engenharia social

conceito de engenharia social
A engenharia social pode acontecer online e também offline

Há diferentes tipos de ataques que usam a engenharia social, dentre os quais:

  • Phishing: o envio de e-mails fraudulentos, mas que parecem legítimos, é chamado de phishing, o qual possui o objetivo de induzir uma pessoa a liberar informações sensíveis, como senhas ou dados do seu cartão de crédito;
  • Vishing (Voice Phishing): aqui é feito o uso de chamadas telefônicas para enganar as vítimas. O atacante finge que é a ligação de uma instituição confiável, como um banco, visando obter informações confidenciais da vítima;
  • Smishing (SMS Phishing): envio de mensagens de texto fraudulentas, as quais possuem links maliciosos ou requerendo informações pessoais;
  • Spear Phishing: já essa se trata de uma versão mais direcionada do phishing. Aqui o atacante mantém o foco em uma pessoa ou organização em particular, criando um ataque personalizado para parecer muito mais convincente;
  • Baiting: esse ataque se trata de infectar dispositivos físicos, como pen drives, com malware. O dispositivo é deixado em locais públicos, aguardando que alguém o pegue e conecte a um computador;
  • Pretexting: já esse tipo se trata da criação de uma história ou pretexto visando enganar a vítima e a convencer a divulgar informações sensíveis ou realizar determinadas ações.
Citação

SOUSA, Priscila. (3 de Setembro de 2024). Engenharia social - O que é, funcionamento, tipos e exemplos. Conceito.de. https://conceito.de/engenharia-social

Veja também