Engenharia Social - O que é isso?

Engenharia Social, ou programação neurolinguística, é o termo comum para diferentes abordagens para fazer as pessoas pensarem ou fazerem o que você quer.

Você pode estar interessado em dar uma olhada em nossas outras ferramentas antivírus:
Trojan Killer, Trojan Scanner.

O que é Engenharia Social | Técnicas e Prevenção de Ataques | Gridinsoft

Engenharia Social

October 30, 2022

Algumas pessoas têm um talento natural para convencer os outros a fazer algo ou pensar como quiserem. Alguns dizem que é por causa do carisma e das habilidades de orador. Alguns culpam a credulidade das pessoas. Mas os efeitos são os mesmos - e raramente trazem algo positivo para a parte passiva.

A Engenharia Social √© uma massa de abordagens e t√©cnicas que descrevem as formas de influenciar as opini√Ķes e a√ß√Ķes dos outros. Pode ser indiv√≠duos separados, bem como multid√Ķes. Esses m√©todos geralmente concentram a aten√ß√£o nos problemas e prop√Ķem a coisa escolhida como solu√ß√£o para esse problema. Gra√ßas ao desenvolvimento da comunica√ß√£o, tornou-se elementar a realiza√ß√£o de eventos de engenharia social ‚Äď em mensageiros, redes sociais, via e-mail, ou mesmo por telefone. A engenharia social √© um m√©todo espec√≠fico de publicidade direta.

Engenharia social

Na seguran√ßa cibern√©tica, a engenharia social desempenha um grande papel na dissemina√ß√£o de malware. Sua universalidade permite que os hackers o usem em ataques cibern√©ticos a corpora√ß√Ķes ou em campanhas de spam massivas contra indiv√≠duos. E a quantidade total de m√©todos de engenharia permite torn√°-lo eficaz em diferentes ambientes. Tamb√©m √© relativamente f√°cil de aplicar - tudo que voc√™ precisa √© de um texto onde a v√≠tima ser√° motivada ou mesmo for√ßada a reagir. Sem software complicado, sem esperan√ßa de eventos aleat√≥rios - √© ideal para qualquer categoria de cibercriminosos.

Como funciona a Engenharia Social?

√Č importante mencionar que revisaremos os m√©todos de engenharia social usados ‚Äč‚Äčem ataques cibern√©ticos. Existem muitos outros m√©todos, mas na maioria s√£o semelhantes, e as diferen√ßas gerais se escondem na forma como s√£o usados. Como mencionamos acima, os crimes cibern√©ticos com o uso do assunto podem ser feitos por e-mail ou como mensagem em diferentes canais de comunica√ß√£o (mensageiros, f√≥runs, chats no jogo). Um dos alvos mais frequentes da engenharia social √© fazer com que as pessoas confiem em voc√™ e fa√ßam o que voc√™ diz. Isso n√£o √© uma coisa instant√Ęnea e pode levar dias ou at√© semanas. Mas vale a pena gastar um certo tempo ao apontar para um grande p√ļblico. √Č √≥bvio que quanto mais confian√ßa voc√™ ganhar - maior a chance de que as pessoas comam sua isca. No entanto, quanto mais pessoas voc√™ tenta enganar, mais tempo voc√™ precisa.

Engenharia social

Ao cometer spoofing de e-mail, você precisa de muito menos esforço para fazer alguém acreditar em você. Você não está indo para o contato direto - tudo o que você precisa fazer é disfarçar sua mensagem como uma de um remetente legítimo. Alguns analistas até dividem a falsificação da engenharia social - já que é muito simples. Mas para todas as outras práticas, você precisará de muito mais trabalho. Vejamos vários exemplos de engenharia social que ocorreram na vida real.

Exemplos de ataques de engenharia social:

1. Phishing

A maneira mais difundida de aproveitar as t√°ticas de engenharia social, os hackers usam e-mails, sites e mensagens de texto enganosos para roubar informa√ß√Ķes pessoais ou organizacionais confidenciais de v√≠timas inocentes.

2. Spear Phishing

Este esquema de e-mail √© usado para realizar ataques direcionados contra indiv√≠duos ou empresas. Spear phishing √© mais complexo do que um e-mail comum de phishing em massa, exigindo uma pesquisa aprofundada sobre poss√≠veis alvos e suas organiza√ß√Ķes.

Mencionamos a falsifica√ß√£o de e-mail como um dos exemplos de engenharia social elementar. No entanto, casos muito mais sofisticados ocorreram durante diferentes ataques cibern√©ticos. Ao infectar a empresa atrav√©s da mensagem de e-mail falsificada, voc√™ precisa fazer muito trabalho para fazer o leitor acreditar que a mensagem e o remetente s√£o leg√≠timos. Por exemplo, o bandido pode se apresentar como distribuidor autorizado de uma determinada empresa e oferecer a voc√™ a assinatura de um contrato com ela. No final, voc√™ receber√° um arquivo com ‚Äútermos e detalhes do contrato‚ÄĚ - um documento do Word ou uma tabela do Excel que cont√©m a macro. Este √ļltimo √© um dos mais elementos explor√°veis dos produtos da Microsoft. Hackers adicionam o script de download de malware √†s macros; assim que voc√™ abrir o arquivo e permitir macros, seu PC ser√° infectado.

3. Isca

Esse tipo de ataque pode ser realizado online ou em ambiente f√≠sico. A v√≠tima geralmente promete uma recompensa por informa√ß√Ķes confidenciais ou conhecimento de seu paradeiro.

4. Malware

Em uma categoria de ataques de ransomware, as vítimas recebem uma mensagem com palavras urgentes e são induzidas a instalar malware no seu(s) dispositivo(s). Ironicamente, uma tática popular é dizer à vítima que o malware já foi instalado em seu computador e que o remetente removerá o software se pagar uma taxa.

Por exemplo, o Discord tornou-se um local de conversa para diferentes categorias de pessoas. No entanto, a maioria de seu p√ļblico s√£o gamers e programadores. Os usu√°rios podem entrar no canal para tirar d√ļvidas em ambas as categorias. Como configurar isso, passar desse n√≠vel, qual estrutura √© melhor - esses temas s√£o t√≠picos dessa rede social. E, simultaneamente, as respostas a essas perguntas podem exigir aplica√ß√Ķes especiais.

O √ļltimo √©, exatamente, a principal superf√≠cie de ataque. Voc√™ pode deslizar o malware em vez de todo o programa e infectar muitos usu√°rios com uma √ļnica mensagem. E para que todos acreditem que esse arquivo √© confi√°vel, voc√™ pode aplicar a engenharia social. O grupo de bandidos fez isso em fevereiro de 2021. Uma cadeia de chats foi atacada a partir das contas que estavam presentes h√° v√°rios meses e consideradas confi√°veis ‚Äč‚Äče leg√≠timas. Claro, os mesmos ataques aconteceram antes e depois - mas nunca com uma escala t√£o grande. Esse caso levou ao surgimento do termo ‚ÄúV√≠rus Discord‚ÄĚ.

5. Pretexto

Este ataque envolve o perpetrador assumindo uma identidade falsa para induzir as v√≠timas a fornecer informa√ß√Ķes. O uso de pretexto geralmente √© usado contra organiza√ß√Ķes com muitos dados de clientes, como bancos, provedores de cart√£o de cr√©dito e empresas de servi√ßos p√ļblicos.

6. Quid Pro Quo

Esse ataque se concentra na troca de informa√ß√Ķes ou servi√ßos para convencer a v√≠tima a agir. Normalmente, os cibercriminosos que realizam esses esquemas n√£o fazem pesquisas avan√ßadas de alvos e se oferecem para fornecer ‚Äúassist√™ncia‚ÄĚ, assumindo identidades como profissionais de suporte t√©cnico.

7. Traslado

Este ataque tem como alvo indivíduos que podem dar ao criminoso acesso físico a um prédio ou área segura. Esses golpes geralmente são bem-sucedidos devido à cortesia equivocada da vítima, como se eles mantivessem a porta aberta para um "funcionário" desconhecido.

8. Vishing

Neste cenário, os criminosos cibernéticos deixarão mensagens de voz urgentes para convencer as vítimas de que devem agir rapidamente para se protegerem da prisão ou de outro risco. Além disso, bancos, agências governamentais e agências de aplicação da lei costumam se passar por personas em golpes de vishing.

9. Perfuração de água

Esse ataque usa técnicas avançadas de engenharia social para infectar um site e seus visitantes com malware. A infecção geralmente se espalha por meio de um site específico para o setor das vítimas, como um site popular que é visitado regularmente.

10. Chamadas telef√īnicas

Voc√™ provavelmente j√° ouviu falar do filme O Lobo de Wall Street. Ele descreve o que significa engenharia social sobre chamadas telef√īnicas. Uma v√≠tima recebe uma liga√ß√£o onde √© garantido que compra algo ou entrega o dinheiro ao chamador. Nos tempos retratados no filme (anos 90), as vendas por telefone eram muito eficazes. √Č muito f√°cil assegurar a um indiv√≠duo que voc√™ √© um especialista em um determinado setor, principalmente quando voc√™ usa muitos termos profissionais e seu discurso √© muito consistente. Ent√£o, quando a pessoa acredita no seu profissionalismo, for√ß√°-la a fazer o que voc√™ quer √© simples.

O exemplo mais not√°vel de engenharia social por telefone √© o golpe de suporte t√©cnico. Surgiu no in√≠cio de 2021 e existe em diferentes formas hoje. No in√≠cio, voc√™ v√™ o banner assustador na janela do navegador que diz que voc√™ tem seu PC infectado e deve entrar em contato com o suporte. Alternativamente, essas declara√ß√Ķes podem notific√°-lo sobre o ato legal de assistir pornografia ou visitar sites proibidos. De qualquer forma, voc√™ pode ligar para o n√ļmero especificado no banner.

No telefone, os fraudadores garantir√£o que tudo o que voc√™ viu no banner seja verdade. Eles descrever√£o em detalhes como isso aconteceu e quais coisas catastr√≥ficas acontecer√£o se voc√™ n√£o seguir as instru√ß√Ķes. Instale o ‚Äúremovedor de malware‚ÄĚ (software desonesto), transfira a ‚Äúmulta‚ÄĚ ou at√© mesmo d√™ aos bandidos as informa√ß√Ķes completas sobre sua pessoa - eles podem perguntar qualquer coisa √† v√≠tima assustada.

A engenharia social é ilegal?

Ap√≥s os par√°grafos acima, voc√™ pode pensar que a engenharia social √© o destino dos cibercriminosos e golpistas. No entanto, a verdadeira ess√™ncia desta t√©cnica √© apenas a arte da sugest√£o. Em alguns casos, pode ser usado para fins benevolentes - por exemplo, para dissuadir as pessoas de proibir a√ß√Ķes ou usar drogas. V√°rias religi√Ķes s√£o o exemplo perfeito do uso benevolente da engenharia social - abbe garante que as pessoas ajam como Deus diz, por exemplo. Esse √© apenas o modo de vida educado, ent√£o, praticamente, a religi√£o guia a par√≥quia no caminho certo.

No entanto, certamente pode ser chamado de faca de dois gumes. Apesar de ser formado como benevolente, encontrou o aplicativo em muitas situa√ß√Ķes question√°veis, muitas vezes at√© maliciosas. Voc√™ n√£o ser√° punido por engenharia social como est√°, mas provavelmente enfrentar√° uma a√ß√£o legal por fraude se us√°-la para enganar algu√©m. No entanto, isso n√£o impede que os cibercriminosos o usem aqui e ali.

Como se proteger?

Essa pergunta n√£o pode ser respondida linearmente. Cada humano tem seu n√≠vel de credulidade. Da√≠ cada um ter√° suas maneiras de espelhar a tentativa de enganar. √Č por isso que decidimos descrever apenas os conselhos mais b√°sicos.

  • Nunca negligencie a verifica√ß√£o das formas alternativas. Mesmo quando algu√©m lhe oferecer uma forma muito eficaz de resolver o problema, ser√° uma √≥tima ideia rever essa forma e procurar v√°rias outras. Possivelmente, a revis√£o do oferecido descobrir√° a fraude.
  • Nunca confie nos aplicativos oferecidos. Nas plataformas de comunica√ß√£o online acima mencionadas, as pessoas podem se oferecer para usar seus pr√≥prios aplicativos. Como mesmo os leg√≠timos podem acionar os programas anti-malware, o conselho para ignorar ou desativar o antiv√≠rus n√£o soa como uma amea√ßa. No entanto, ainda √© importante garantir que esse aplicativo esteja OK.
  • Pense racionalmente. Ningu√©m lhe dar√° conselhos gratuitos para investir em algo ou comprar algo completo por nada. Mesmo que essas ofertas possam ser relevantes na √ļltima d√©cada, elas n√£o s√£o boas nos dias de hoje. E eles devem levantar ainda mais suspeitas se a oferta lhe der algum lucro irreal ou algo assim. Se parece bom demais para ser verdade, provavelmente √©.
  • Verifique as informa√ß√Ķes sobre a pessoa que lhe ofereceu a coisa. Se voc√™ tiver apenas um n√ļmero de telefone - verifique-o. Isso pode ser suficiente para entender o que esperar. A Internet possibilitou a verifica√ß√£o de cada n√ļmero, e quanto mais pessoas recebiam chamadas desse n√ļmero - maior a chance de ver as informa√ß√Ķes completas sobre o chamador e suas inten√ß√Ķes.< /li>
  • Mantenha seu software antiv√≠rus/antimalware atualizado ‚Äď Certifique-se de que as atualiza√ß√Ķes autom√°ticas estejam ativadas ou crie o h√°bito de baixar as assinaturas mais recentes todos os dias. Verifique periodicamente para garantir que as atualiza√ß√Ķes foram aplicadas e verifique seu sistema em busca de poss√≠veis infec√ß√Ķes.

3 maneiras pelas quais as organiza√ß√Ķes evitam ataques de engenharia social

As medidas a seguir podem ajudar a prevenir e prevenir ataques de engenharia social contra sua organização:

1ÔłŹ‚É£ Treinamento de conscientiza√ß√£o de seguran√ßa


A educação de conscientização sobre segurança deve ser uma atividade contínua em qualquer empresa. Os membros da equipe podem não estar cientes dos perigos da engenharia social ou, se estiverem, podem esquecer os detalhes ao longo do tempo. Portanto, conduzir e atualizar continuamente a conscientização sobre segurança entre os funcionários é a primeira linha de defesa contra a engenharia social.

Os funcion√°rios de todos os n√≠veis de uma empresa devem ser instru√≠dos a evitar fornecer informa√ß√Ķes por e-mail ou telefone para chamarizes de "vendas" sobre quais hardwares, softwares, aplicativos e recursos s√£o de uso comum.

2ÔłŹ‚É£ Ferramentas antiv√≠rus e de seguran√ßa de endpoint


A medida principal é instalar antivírus/antimalware e outros segurança de endpoint medidas nos dispositivos dos usuários. As ferramentas modernas de proteção de endpoints podem identificar e bloquear mensagens óbvias de phishing ou qualquer mensagem vinculada a sites ou IPs maliciosos em bancos de dados de inteligência de ameaças. Eles também podem interceptar e interromper processos maliciosos no dispositivo de um usuário. Embora os ataques sofisticados sejam projetados para contornar ou desabilitar os agentes de endpoint e AV, esses ataques tendem a deixar outros sinais indicadores de um ataque bem-sucedido.

3ÔłŹ‚É£ Teste de penetra√ß√£o


Existem in√ļmeras maneiras criativas de penetrar nas defesas de uma organiza√ß√£o com engenharia social. Usar um hacker √©tico para realizar testes de penetra√ß√£o permite que um indiv√≠duo com o conjunto de habilidades de um hacker identifique e explore pontos fracos em sua organiza√ß√£o. Quando um teste de penetra√ß√£o consegue comprometer sistemas confidenciais, ele pode ajud√°-lo a descobrir funcion√°rios ou t√©cnicas que voc√™ deve se concentrar na prote√ß√£o ou m√©todos de engenharia social aos quais voc√™ pode ser especialmente suscet√≠vel.