Graduados em engenharia social

Por , 29 de January de 2016 a las 15:00
Graduados em engenharia social
conhecimento

Graduados em engenharia social

Por , 29 de January de 2016 a las 15:00

Qualquer ato de grande cobertura midiática, tais como o lançamento de um novo produto ou uma catástrofe natural, é o campo de trabalho perfeito para a engenharia social. Enganar as pessoas é muito mais fácil que enganar um computador, pelo que o vetor de entrada não é uma vulnerabilidade em nossos sistemas, mas em nós mesmos.

As estratégias concebidas para defraudar as pessoas levam muitos anos evoluindo, mas sempre com o mesmo objetivo. Em essência, enganar uma pessoa para que faça algo que não quer realmente fazer e que favoreça a um terceiro ocorre faz tempo. O fato é que com a tecnologia o alcance e a eficácia destes “truques” aumentam.

A engenharia social se baseia em que os cibercriminosos podem obter informação confidencial de nós mesmos através de algum tipo de engano. Manipular uma pessoa para que nos diga o lugar onde trabalha, por exemplo, seria um bom objetivo de um projeto de engenharia social.

Como um exemplo, de acordo com um relatório recente da Nielsen, 91% das PME espanholas recebem ataques cibernéticos diariamente. As crianças não são menos vulneráveis, uma vez que estão sempre no ponto de mira deste tipo de comportamento. Mas não se enganem; neste caso, a vítima pode ser qualquer um.

engenhariasocial2

No caso do ‘hunting‘, os cibercriminosos não interagem diretamente com os usuários para obter a informação. No entanto, com o “farming” é diferente; o primeiro objetivo dos engenheiros é tornar-se “amigo” da pessoa que será enganada. Quanto mais próximos os vínculos criados com a vítima, mais dados pessoais conseguem obter.

Um bom exemplo de como essas fraudes são feitas é o seguinte. Um operador de telemarketing liga. Se apresenta, e antes de iniciar o discurso comercial, solicita que você confirme seus dados pessoais (endereço, telefone, RG, etc.). Esta “confirmação”, baseia-se em que damos todos os nossos dados pessoais sem nos preocupar, enquanto o defraudador só tem que pegar caneta e papel e anotar cuidadosamente o que vamos ditando.

Estas são as técnicas que têm pouco ou nada a ver com informática. Em vez disso se aproveitam de nossas ”debilidades” para conseguir o que querem de nós. Uma vez que nosso interlocutor tem todos esses dados, pode até conseguir todos os nossos dados bancários. Um assunto sério, certo?

Especialistas em engenharia social dizem que há 6 princípios básicos, fundamentais para compreender por que essas técnicas funcionam tão bem:

  1. Reciprocidade: se nos oferecem algo, endemos a oferecer algo em troca.
  2. Urgência: “Você tem 24 horas para resgatar seu prêmio”. Um dos métodos mais utilizados, tanto dentro como fora do cibercrime.
  3. Consistência: uma vez que damos a nossa palavra de que vamos fazer algo, tendemos a fazê-lo. Esta técnica é utilizada adicionando algum processo de “incomum” dentro da rotina do usuário. Como sempre fazemos o resto, também faremos o que consideramos “estranho”.
  4. Confiança: se gostamos do nosso interlocutor, nossas defesas se reduzem drasticamente.
  5. Autoridade: o rango daqueles que nos pedem alguns dados é muito importante. Não é o mesmo se for um bolsista ou o gerente…
  6. Validação social: este princípio é o mais fácil de explicar. Se outros fazem algo, nos sentimos inclinados a fazê-lo também.

Na rede, o potencial maligno de tais enganos se incrementam. Qualquer engenheiro social, através de um simples e-mail pode se fazer passar pelo nosso banco, um cliente, um colega de trabalho ou qualquer outra pessoa de confiança que acreditemos que possamos dar nossos dados sem preocupações.

Os exemplos mais básicos são “descubra quem excluiu você no Facebook” ou “acertou na loteria, mas não jogou”. Podemos pensar que é difícil para alguém cair numa armadilha dessas, mas as estatísticas dizem o contrário. De acordo com o Relatório de Ameaças Cibernéticas 2014-15 do CCN espanhol (Centro Criptográfico Nacional), em um apenas um ano aconteceram 12.916 incidentes, muitos dos quais estão relacionados com questões de engenharia social.

A conclusão é que nenhuma solução de segurança, por melhor que seja, vai nos proteger completamente de um ataque se este for dirigido diretamente contra nós. Algumas, como Metashield poderiam ajudar a prevenir que os metadados dos nossos exponham nossa informação pessoal, mas também precisaremos de um pouco de senso comum e informação para evitar cair neste tipo de armadilhas.

Texto Anterior

Criar vídeos profissionais on-line sem ser um especialista

Criar vídeos profissionais on-line sem ser um especialista
Próximo Texto

O mundo dos carros impressos em 3D existe

O mundo dos carros impressos em 3D existe