Engenharia Social - O que é isso?

Engenharia Social, ou programação neurolinguística, é o termo comum para diferentes abordagens para fazer as pessoas pensarem ou fazerem o que você quer.

Você pode estar interessado em dar uma olhada em nossas outras ferramentas antivírus:
Trojan Killer, Trojan Scanner and Online Virus Scanner.

O que é Engenharia Social | Técnicas e Prevenção de Ataques | Gridinsoft

Engenharia Social

October 06, 2023

Algumas pessoas têm um talento natural para convencer os outros a fazer algo ou pensar como quiserem. Alguns dizem que é por causa do carisma e das habilidades de orador. Alguns culpam a credulidade das pessoas. Mas os efeitos são os mesmos - e raramente trazem algo positivo para a parte passiva.

A Engenharia Social é uma massa de abordagens e técnicas que descrevem as formas de influenciar as opiniões e ações dos outros. Pode ser indivíduos separados, bem como multidões. Esses métodos geralmente concentram a atenção nos problemas e propõem a coisa escolhida como solução para esse problema. Graças ao desenvolvimento da comunicação, tornou-se elementar a realização de eventos de engenharia social – em mensageiros, redes sociais, via e-mail, ou mesmo por telefone. A engenharia social é um método específico de publicidade direta.

Engenharia social

Na segurança cibernética, a engenharia social desempenha um grande papel na disseminação de malware. Sua universalidade permite que os hackers o usem em ataques cibernéticos a corporações ou em campanhas de spam massivas contra indivíduos. E a quantidade total de métodos de engenharia permite torná-lo eficaz em diferentes ambientes. Também é relativamente fácil de aplicar - tudo que você precisa é de um texto onde a vítima será motivada ou mesmo forçada a reagir. Sem software complicado, sem esperança de eventos aleatórios - é ideal para qualquer categoria de cibercriminosos.

Como funciona a Engenharia Social?

É importante mencionar que revisaremos os métodos de engenharia social usados ​​em ataques cibernéticos. Existem muitos outros métodos, mas na maioria são semelhantes, e as diferenças gerais se escondem na forma como são usados. Como mencionamos acima, os crimes cibernéticos com o uso do assunto podem ser feitos por e-mail ou como mensagem em diferentes canais de comunicação (mensageiros, fóruns, chats no jogo). Um dos alvos mais frequentes da engenharia social é fazer com que as pessoas confiem em você e façam o que você diz. Isso não é uma coisa instantânea e pode levar dias ou até semanas. Mas vale a pena gastar um certo tempo ao apontar para um grande público. É óbvio que quanto mais confiança você ganhar - maior a chance de que as pessoas comam sua isca. No entanto, quanto mais pessoas você tenta enganar, mais tempo você precisa.

Engenharia social

Ao cometer spoofing de e-mail, você precisa de muito menos esforço para fazer alguém acreditar em você. Você não está indo para o contato direto - tudo o que você precisa fazer é disfarçar sua mensagem como uma de um remetente legítimo. Alguns analistas até dividem a falsificação da engenharia social - já que é muito simples. Mas para todas as outras práticas, você precisará de muito mais trabalho. Vejamos vários exemplos de engenharia social que ocorreram na vida real.

Exemplos de ataques de engenharia social:

1. Phishing

A maneira mais difundida de aproveitar as táticas de engenharia social, os hackers usam e-mails, sites e mensagens de texto enganosos para roubar informações pessoais ou organizacionais confidenciais de vítimas inocentes.

2. Spear Phishing

Este esquema de e-mail é usado para realizar ataques direcionados contra indivíduos ou empresas. Spear phishing é mais complexo do que um e-mail comum de phishing em massa, exigindo uma pesquisa aprofundada sobre possíveis alvos e suas organizações.

Mencionamos a falsificação de e-mail como um dos exemplos de engenharia social elementar. No entanto, casos muito mais sofisticados ocorreram durante diferentes ataques cibernéticos. Ao infectar a empresa através da mensagem de e-mail falsificada, você precisa fazer muito trabalho para fazer o leitor acreditar que a mensagem e o remetente são legítimos. Por exemplo, o bandido pode se apresentar como distribuidor autorizado de uma determinada empresa e oferecer a você a assinatura de um contrato com ela. No final, você receberá um arquivo com “termos e detalhes do contrato” - um documento do Word ou uma tabela do Excel que contém a macro. Este último é um dos mais elementos exploráveis dos produtos da Microsoft. Hackers adicionam o script de download de malware às macros; assim que você abrir o arquivo e permitir macros, seu PC será infectado.

3. Isca

Esse tipo de ataque pode ser realizado online ou em ambiente físico. A vítima geralmente promete uma recompensa por informações confidenciais ou conhecimento de seu paradeiro.

4. Malware

Em uma categoria de ataques de ransomware, as vítimas recebem uma mensagem com palavras urgentes e são induzidas a instalar malware no seu(s) dispositivo(s). Ironicamente, uma tática popular é dizer à vítima que o malware já foi instalado em seu computador e que o remetente removerá o software se pagar uma taxa.

Por exemplo, o Discord tornou-se um local de conversa para diferentes categorias de pessoas. No entanto, a maioria de seu público são gamers e programadores. Os usuários podem entrar no canal para tirar dúvidas em ambas as categorias. Como configurar isso, passar desse nível, qual estrutura é melhor - esses temas são típicos dessa rede social. E, simultaneamente, as respostas a essas perguntas podem exigir aplicações especiais.

O último é, exatamente, a principal superfície de ataque. Você pode deslizar o malware em vez de todo o programa e infectar muitos usuários com uma única mensagem. E para que todos acreditem que esse arquivo é confiável, você pode aplicar a engenharia social. O grupo de bandidos fez isso em fevereiro de 2021. Uma cadeia de chats foi atacada a partir das contas que estavam presentes há vários meses e consideradas confiáveis ​​e legítimas. Claro, os mesmos ataques aconteceram antes e depois - mas nunca com uma escala tão grande. Esse caso levou ao surgimento do termo “Vírus Discord”.

5. Pretexto

Este ataque envolve o perpetrador assumindo uma identidade falsa para induzir as vítimas a fornecer informações. O uso de pretexto geralmente é usado contra organizações com muitos dados de clientes, como bancos, provedores de cartão de crédito e empresas de serviços públicos.

6. Quid Pro Quo

Esse ataque se concentra na troca de informações ou serviços para convencer a vítima a agir. Normalmente, os cibercriminosos que realizam esses esquemas não fazem pesquisas avançadas de alvos e se oferecem para fornecer “assistência”, assumindo identidades como profissionais de suporte técnico.

7. Traslado

Este ataque tem como alvo indivíduos que podem dar ao criminoso acesso físico a um prédio ou área segura. Esses golpes geralmente são bem-sucedidos devido à cortesia equivocada da vítima, como se eles mantivessem a porta aberta para um "funcionário" desconhecido.

8. Vishing

Neste cenário, os criminosos cibernéticos deixarão mensagens de voz urgentes para convencer as vítimas de que devem agir rapidamente para se protegerem da prisão ou de outro risco. Além disso, bancos, agências governamentais e agências de aplicação da lei costumam se passar por personas em golpes de vishing.

9. Perfuração de água

Esse ataque usa técnicas avançadas de engenharia social para infectar um site e seus visitantes com malware. A infecção geralmente se espalha por meio de um site específico para o setor das vítimas, como um site popular que é visitado regularmente.

10. Chamadas telefônicas

Você provavelmente já ouviu falar do filme O Lobo de Wall Street. Ele descreve o que significa engenharia social sobre chamadas telefônicas. Uma vítima recebe uma ligação onde é garantido que compra algo ou entrega o dinheiro ao chamador. Nos tempos retratados no filme (anos 90), as vendas por telefone eram muito eficazes. É muito fácil assegurar a um indivíduo que você é um especialista em um determinado setor, principalmente quando você usa muitos termos profissionais e seu discurso é muito consistente. Então, quando a pessoa acredita no seu profissionalismo, forçá-la a fazer o que você quer é simples.

O exemplo mais notável de engenharia social por telefone é o golpe de suporte técnico. Surgiu no início de 2021 e existe em diferentes formas hoje. No início, você vê o banner assustador na janela do navegador que diz que você tem seu PC infectado e deve entrar em contato com o suporte. Alternativamente, essas declarações podem notificá-lo sobre o ato legal de assistir pornografia ou visitar sites proibidos. De qualquer forma, você pode ligar para o número especificado no banner.

No telefone, os fraudadores garantirão que tudo o que você viu no banner seja verdade. Eles descreverão em detalhes como isso aconteceu e quais coisas catastróficas acontecerão se você não seguir as instruções. Instale o “removedor de malware” (software desonesto), transfira a “multa” ou até mesmo dê aos bandidos as informações completas sobre sua pessoa - eles podem perguntar qualquer coisa à vítima assustada.

A engenharia social é ilegal?

Após os parágrafos acima, você pode pensar que a engenharia social é o destino dos cibercriminosos e golpistas. No entanto, a verdadeira essência desta técnica é apenas a arte da sugestão. Em alguns casos, pode ser usado para fins benevolentes - por exemplo, para dissuadir as pessoas de proibir ações ou usar drogas. Várias religiões são o exemplo perfeito do uso benevolente da engenharia social - abbe garante que as pessoas ajam como Deus diz, por exemplo. Esse é apenas o modo de vida educado, então, praticamente, a religião guia a paróquia no caminho certo.

No entanto, certamente pode ser chamado de faca de dois gumes. Apesar de ser formado como benevolente, encontrou o aplicativo em muitas situações questionáveis, muitas vezes até maliciosas. Você não será punido por engenharia social como está, mas provavelmente enfrentará uma ação legal por fraude se usá-la para enganar alguém. No entanto, isso não impede que os cibercriminosos o usem aqui e ali.

Como se proteger?

Essa pergunta não pode ser respondida linearmente. Cada humano tem seu nível de credulidade. Daí cada um terá suas maneiras de espelhar a tentativa de enganar. É por isso que decidimos descrever apenas os conselhos mais básicos.

  • Nunca negligencie a verificação das formas alternativas. Mesmo quando alguém lhe oferecer uma forma muito eficaz de resolver o problema, será uma ótima ideia rever essa forma e procurar várias outras. Possivelmente, a revisão do oferecido descobrirá a fraude.
  • Nunca confie nos aplicativos oferecidos. Nas plataformas de comunicação online acima mencionadas, as pessoas podem se oferecer para usar seus próprios aplicativos. Como mesmo os legítimos podem acionar os programas anti-malware, o conselho para ignorar ou desativar o antivírus não soa como uma ameaça. No entanto, ainda é importante garantir que esse aplicativo esteja OK.
  • Pense racionalmente. Ninguém lhe dará conselhos gratuitos para investir em algo ou comprar algo completo por nada. Mesmo que essas ofertas possam ser relevantes na última década, elas não são boas nos dias de hoje. E eles devem levantar ainda mais suspeitas se a oferta lhe der algum lucro irreal ou algo assim. Se parece bom demais para ser verdade, provavelmente é.
  • Verifique as informações sobre a pessoa que lhe ofereceu a coisa. Se você tiver apenas um número de telefone - verifique-o. Isso pode ser suficiente para entender o que esperar. A Internet possibilitou a verificação de cada número, e quanto mais pessoas recebiam chamadas desse número - maior a chance de ver as informações completas sobre o chamador e suas intenções.< /li>
  • Mantenha seu software antivírus/antimalware atualizado – Certifique-se de que as atualizações automáticas estejam ativadas ou crie o hábito de baixar as assinaturas mais recentes todos os dias. Verifique periodicamente para garantir que as atualizações foram aplicadas e verifique seu sistema em busca de possíveis infecções.

3 maneiras pelas quais as organizações evitam ataques de engenharia social

As medidas a seguir podem ajudar a prevenir e prevenir ataques de engenharia social contra sua organização:

1️⃣ Treinamento de conscientização de segurança


A educação de conscientização sobre segurança deve ser uma atividade contínua em qualquer empresa. Os membros da equipe podem não estar cientes dos perigos da engenharia social ou, se estiverem, podem esquecer os detalhes ao longo do tempo. Portanto, conduzir e atualizar continuamente a conscientização sobre segurança entre os funcionários é a primeira linha de defesa contra a engenharia social.

Os funcionários de todos os níveis de uma empresa devem ser instruídos a evitar fornecer informações por e-mail ou telefone para chamarizes de "vendas" sobre quais hardwares, softwares, aplicativos e recursos são de uso comum.

2️⃣ Ferramentas antivírus e de segurança de endpoint


A medida principal é instalar antivírus/antimalware e outros segurança de endpoint medidas nos dispositivos dos usuários. As ferramentas modernas de proteção de endpoints podem identificar e bloquear mensagens óbvias de phishing ou qualquer mensagem vinculada a sites ou IPs maliciosos em bancos de dados de inteligência de ameaças. Eles também podem interceptar e interromper processos maliciosos no dispositivo de um usuário. Embora os ataques sofisticados sejam projetados para contornar ou desabilitar os agentes de endpoint e AV, esses ataques tendem a deixar outros sinais indicadores de um ataque bem-sucedido.

3️⃣ Teste de penetração


Existem inúmeras maneiras criativas de penetrar nas defesas de uma organização com engenharia social. Usar um hacker ético para realizar testes de penetração permite que um indivíduo com o conjunto de habilidades de um hacker identifique e explore pontos fracos em sua organização. Quando um teste de penetração consegue comprometer sistemas confidenciais, ele pode ajudá-lo a descobrir funcionários ou técnicas que você deve se concentrar na proteção ou métodos de engenharia social aos quais você pode ser especialmente suscetível.