Por Petter Lopes
O que é engenharia social?
Hadnagy (2014), define a engenharia social como qualquer ato que influencie alguém a tomar uma ação que pode ou não ser do seu interesse. Engenharia social nem sempre envolve truques ou enganos. Em vez disso, trata-se mais de como conduzimos nossas interações sociais diariamente. Trata-se de como nos comunicamos, conversamos e passamos nosso ponto de vista para pessoas com quem interagimos.
Tenha em mente que é vital que o engenheiro social se torne parte da mesma “tribo” que o alvo. Uma tribo pode envolver um local de trabalho, crenças, roupas, música — qualquer coisa que faz com que as pessoas se juntem a um grupo. Uma vez que isso ocorra, coletar informações ou obter acesso é muito mais simples.
Coleta de Informações
A informação é a força vital do engenheiro social. Quanto mais informações o engenheiro social tem, mais vetores (ou, métodos de infiltração), ele pode desenvolver, mais ele entende o alvo, e mais ele pode entender as fraquezas e pontos fortes do alvo. A coleta de informações pode ser baseada na Web, usando ferramentas como Google dorking e Maltego, por meio da técnica de OSINT. Também pode envolver encontro presencial, como tirar fotos, escopo de localização e provocação.
O poder da internet facilita muito a coleta de informações hoje em dia, e isso significa que um engenheiro social pode obter uma quantidade muito grande de dados. Aprender a categorizar e armazenar essas informações é muito importante. A Inteligência de Fontes Abertas, que os pesquisadores e serviços de segurança chamam de OSINT, é uma das ferramentas mais valiosas para a coleta de informações para Engenharia Social, devido à vasta quantidade de informações online publicamente disponíveis.
Cada vez que entramos online, abrimos mão de parte de nossa identidade. Às vezes, vem na forma de um e-mail usado para criar uma conta no Twitter. Outras vezes, é um número de telefone para autenticação de dois fatores ou carimbos de data/hora de dias e semanas sugerindo quando um usuário está acordado e dormindo.
Quando um engenheiro social coleta informações, a regra de ouro deve ser “nenhuma informação é inútil”.
Veja no vídeo a seguir, com base científica como funciona a Engenharia Socialhttps://www.youtube.com/embed/judfUIzewko?feature=oembed
Pretexting
Seu pretexto é a pessoa que você vai retratar — o ato que você vai colocar. É um pouco como o método agindo — você se torna a pessoa que você está fingindo ser. Roupas, ID, linguagem corporal e conhecimento desempenham um papel em tornar um pretexto crível. Da mesma forma, um pretexto nem sempre é pessoalmente.
Seja pessoalmente, por telefone ou por e-mail, o pretexto de um engenheiro social precisa abranger roupas, linguagem e escolha de palavras, sons e todos os aspectos do método de comunicação para provar ao alvo que o engenheiro social é quem ele diz ser.
Excitação
A obtenção é a arte de obter informações sem fazer perguntas diretas — apenas continuar uma conversa normal. A excitação é falar com seu alvo sobre sua vida, família e trabalho. Você constrói relacionamento com seu alvo (veja a próxima seção) e faz com que ele ou ela goste de você, abra e ofereça detalhes que você pode usar. Uma explicação tão simples, mas um dos aspectos mais importantes da engenharia social.
Rapport
O autor Robin Dreeke define e discute habilidades de construção de relacionamento em seu livro It’s Not All About “Me.”. Ele pode rapidamente ensinar a qualquer um as melhores técnicas para fazer as pessoas se sentirem queridas, o que cria uma atmosfera de confiança. Essa confiança, então, faz com que eles falem e dêem informações que podem ser valiosas. Essa confiança também pode fazer com que alguém tome medidas, como clicar em um link ruim ou deixar um engenheiro social passar por uma porta.
Rapport é o sentimento de proximidade ou confiança que é desenvolvido quando psicologicamente alguém se abre e agora está disposto a confiar em você informações sobre suas vidas.
Robin divide a relação de construção em 10 métodos diferentes. Rapidamente eles são:
Cada um desses 10 aspectos é poderoso e pode fazer parte do arsenal de um engenheiro social eficaz.
Influência/Manipulação
Eu defino “influência” como “fazer alguém querer fazer o que você quer que eles façam” Em essência, seu alvo segue de bom grado, como se fosse ideia deles e algo que eles queriam fazer parte o tempo todo.
Uma das maiores mentes em relação a este tema é o Dr. Robert Cialdini. Ele passou a vida estudando influência e como funciona.
Dr. Robert Cialdini define oito aspectos de influência:
Em essência, o objetivo quando você influencia alguém é sempre tentar fazê-lo se sentir melhor por ter conhecido você. Quando você manipula alguém, não há objetivo focado em seus sentimentos; o objetivo é conseguir o que você quer, independentemente de como o assunto se sente.
Enquadramento
Assim como o quadro de uma casa é sua estrutura básica, o quadro de uma pessoa é sua história emocional, psicológica e pessoal e familiar. O que faz ela pensar, agir e falar do jeito que ela pensa? Essas motivações são o quadro de uma pessoa. A maneira mais fácil de fazer isso é encontrar um ponto em comum e, em seguida, construir uma relação. Fazer isso torna a ponte dos dois quadros muito mais fácil. Assim que os quadros são superados, o alvo e o engenheiro social se tornam parte da mesma “tribo”, e é mais fácil coletar informações desse alvo.
Comunicações não verbais
Os não verbais compõem uma grande parte de como nos comunicamos. O que dizemos é confirmado ou contrariado pela forma como dizemos e como olhamos quando dizemos isso. Ganhar a capacidade de detectar, analisar e ler microexpressões, macroexpressões, microexpressões sutis, sinais de conversação e linguagem corporal pode ajudá-lo como engenheiro social a entender a composição emocional do seu alvo.
Entender o estado emocional do seu alvo antes de se envolver com ele ou ela pode ajudá-lo a alterar sua abordagem, sua abertura e os tipos de perguntas que você faz e conversas que você tem.
Visão geral da Engenharia Social
A Wikipédia define-a como “o ato de manipular as pessoas para realizar ações ou divulgar informações confidenciais. Embora semelhante a um truque de confiança ou fraude simples, o termo normalmente se aplica a truques ou enganos para fins de coleta de informações, fraude ou acesso ao sistema de computador; na maioria dos casos, o agressor nunca fica cara a cara com a vítima.”
O Dicionário Webster define o social como “ou relativo à vida, bem-estar e relações dos seres humanos em uma comunidade”. Também define a engenharia como “a arte ou a ciência de fazer aplicação prática do conhecimento das ciências puras, como física ou química, como na construção de motores, pontes, edifícios, minas, navios e plantas químicas ou artifícios hábeis ou astutos; manobras.
Combinando essas duas definições, você pode facilmente ver que a engenharia social é a arte ou melhor ainda, a ciência, de manobrar habilmente os seres humanos para agir em algum aspecto de suas vidas. Essa definição amplia os horizontes dos engenheiros sociais em todos os lugares. A engenharia social é usada no cotidiano na forma como as crianças fazem seus pais cederem às suas demandas. É usado na forma como os professores interagem com seus alunos, na forma como médicos, advogados ou psicólogos obtêm informações de seus pacientes ou clientes. É definitivamente usado na aplicação da lei, e no namoro — é realmente usado em todas as interações humanas, de bebês a políticos e todos no meio.
Gosto de dar um passo adiante nessa definição e dizer que uma verdadeira definição de engenharia social é o ato de manipular uma pessoa para tomar uma ação que pode ou não ser do melhor interesse do “alvo”. Isso pode incluir obter informações, obter acesso ou obter o alvo para tomar determinadas medidas.
Por exemplo, médicos, psicólogos e terapeutas muitas vezes usam elementos que considero engenharia social para “manipular” seus pacientes para tomar ações que são boas para eles, enquanto um vigarista usa elementos da engenharia social para convencer seu alvo a tomar ações que levam à perda para eles. Mesmo que o final do jogo seja muito diferente, a abordagem pode ser muito a mesma. Um psicólogo pode usar uma série de perguntas bem concebidas para ajudar um paciente a chegar a uma conclusão de que a mudança é necessária. Da mesma forma, um vigarista usará perguntas bem trabalhadas para mover seu alvo para uma posição vulnerável.
Ambos os exemplos são a engenharia social em sua forma mais verdadeira, mas têm objetivos e resultados muito diferentes. Engenharia social não é apenas enganar as pessoas ou mentir ou fazer parte.
“A verdadeira engenharia social não é apenas acreditar que você está desempenhando um papel, mas naquele momento você é essa pessoa, você é esse papel, é o que sua vida é.”- Chris Nickerson
A engenharia social não é apenas uma ação, mas uma coleção das habilidades mencionadas no quadro que, quando montadas, compõem a ação, a habilidade e a ciência que chamo de engenharia social.
Analisar como uma criança pode manipular um pai tão facilmente dá ao engenheiro social uma visão de como a mente humana funciona. Perceber como uma psicóloga faz perguntas pode ajudar a ver o que deixa as pessoas à vontade. Perceber como um agente da lei realiza um interrogatório bem sucedido dá um caminho claro sobre como obter informações de um alvo. Ver como governos e políticos enquadram suas mensagens para o maior impacto pode mostrar o que funciona e o que não funciona. Analisar como um ator entra em um papel pode abrir seus olhos para o incrível mundo do pretexto. Ao dissecar a pesquisa e o trabalho de algumas das mentes líderes em microexpressões e persuasão, você pode ver como usar essas técnicas na engenharia social. Ao revisar alguns dos motivadores de alguns dos maiores vendedores do mundo e especialistas em persuasão, você pode aprender a construir relacionamento, colocar as pessoas à vontade e fechar negócios.
Então, pesquisando e analisando o outro lado dessa moeda — os vigaristas, golpistas e ladrões — você pode aprender como todas essas habilidades se unem para influenciar as pessoas e mover as pessoas em direções que eles pensavam que nunca iriam. Misture esse conhecimento com as habilidades de lock picks, espiões que usam câmeras escondidas, e coletores de informações profissionais e você tem um engenheiro social talentoso.
Grandes nomes da Engenharia Social:
Infelizmente, no mundo de hoje, hackers mal-intencionados estão continuamente melhorando suas habilidades na manipulação de pessoas e ataques maliciosos de engenharia social estão aumentando. Insiders maliciosos listados entre os três primeiros sugerem que as empresas precisam estar mais conscientes das ameaças representadas pela engenharia social maliciosa, mesmo dos funcionários.
Muitos ataques poderiam ter sido evitados se as pessoas tivessem algum treinamento. Às vezes, descobrir como pessoas maliciosas pensam e agem pode ser um abridor de olhos.
Como exemplo em uma escala muito menor e mais pessoal, eu estava recentemente discutindo com uma amiga próxima suas contas financeiras e como ela estava preocupada em ser hackeada ou enganada. No decorrer da conversa começamos a discutir como é fácil “adivinhar” as senhas das pessoas. Eu disse a ela que muitas pessoas usam as mesmas senhas para cada conta; Vi o rosto dela ficar branco quando ela percebeu que era ela. Eu disse a ela que a maioria das pessoas usam senhas simplistas que combinam coisas como o nome do cônjuge, seu aniversário ou data de aniversário. Eu a vi ir um tom cada vez mais brilhante de pálido. Continuei dizendo que na maioria das vezes as pessoas escolhiam a mais simples “questão de segurança” como “seu nome de solteira (ou sua mãe) e como é fácil encontrar essa informação através da Internet ou alguns telefonemas falsos.
Muitas pessoas exibirão essas informações em contas de redes sociais como o Facebook.
Alguns “desafios online”, aplicativos que parecem inofensivos a primeira vista, aproveitam-se da boa-fé das pessoas para coletar dados que, futuramente poderão ser utilizados para aplicação de golpes utilizando-se de Engenharia Social. Dentre os dados solicitados, temos, seu nome, data de nascimento e endereço de rua, e fornecer uma senha para uma conta que seria configurada e enviada para o seu endereço de e-mail. Todos os dias são criados sites para coletar essas informações confidenciais.
Um telefonema com uma pesquisa ou uma pesquisa rápida na Internet pode render uma data de nascimento ou data de aniversário, e armado com essas informações eu tenho o suficiente para construir uma lista de ataque por senha. Muitos vazamentos de dados pessoais têm ocorrido nos últimos tempos, o que também contribui para a identificação de um indivíduo e a perpetração de golpes. Hoje, no Brasil, o mais comum são os golpes envolvendo PIX.
Perceber como os engenheiros sociais mal-intencionados pensam, como os golpistas reagem à informação e como os vigaristas tentarão qualquer coisa, pode ajudar as pessoas a estarem mais conscientes do que está acontecendo ao seu redor.
Engenharia Social e Seu Lugar na Sociedade
É importante ficar bem claro que, nem sempre a Engenharia Social será aplicada com um propósito ruim, muito pelo contrário, podemos perceber a sua aplicação no nosso cotidiano o tempo todo. Muitas vezes, por exemplo, a engenharia social pode ser usada para motivar uma pessoa a tomar uma ação que seja boa para ela. Como a prática de exercícios, motivação para estudar, ajudar o próximo, etc…
As seguintes seções apresentam alguns exemplos de engenharia social, golpes e manipulação e uma revisão de como eles funcionavam.
O Golpe 419, ou golpe Nigeriano
Basicamente, um e-mail (ou, ultimamente, uma carta) chega ao alvo dizendo que ele foi escolhido para um negócio muito lucrativo e tudo o que ele precisa fazer é oferecer um pouco de ajuda. Se a vítima ajudar o remetente da carta extrair uma grande oferta de um pouco de ajuda. Se a vítima ajudar o remetente da carta extrair uma grande quantia de dinheiro de bancos estrangeiros, ele pode ter uma porcentagem. Depois que o alvo é confiante e “assina”, surge um problema que faz com que o alvo pague uma taxa. Depois que a taxa é paga outro problema aparece, juntamente com outra taxa.
Cada problema é “o último” com “uma taxa final” e isso pode ser estendido ao longo de muitos meses. A vítima nunca vê dinheiro e perde de US$ 10.000 a US$ 50.000 no processo. O que torna esse golpe tão incrível é que, no passado, documentos oficiais, documentos, papel timbrado e até mesmo reuniões presenciais foram relatados.
Recentemente, surgiu uma variação deste golpe onde as vítimas são literalmente enviadas um cheque real. Os golpistas prometem uma enorme quantia de dinheiro e querem em troca apenas uma pequena parte de seus esforços. Se o alvo transferir uma pequena quantia (em comparação) de US $ 10.000, quando receber o cheque prometido eles podem depositar o cheque e manter a diferença. O problema é que o cheque que vem é uma fraude e quando a vítima vai descontar ela é esbofeteada com acusações de fraude e multas, em alguns casos depois que a vítima já transferiu dinheiro para o golpista. Este golpe é bem sucedido porque joga na ganância da vítima. Fonte: www.social-engineer.org/wiki/archives/ConMen/ConMen-Scam-NigerianFee.html, acessado em 27 de dezembro de 2021.
O Poder da Escassez
O artigo arquivado em www.socialengineer.org/wiki/archives/Governments/Governments-FoodElectionWeapon.html fala sobre um princípio chamado escassez. Escassez é quando as pessoas são informadas de que algo que precisam ou querem tem disponibilidade limitada e para obtê-lo elas devem cumprir uma certa atitude ou ação.
Muitas vezes o comportamento desejado nem sequer é falado, mas a maneira como é transmitido é mostrando às pessoas que estão agindo “corretamente” recebendo recompensas. O artigo fala sobre o uso de alimentos para vencer as eleições na África do Sul. Quando um grupo ou pessoa não apoia o líder “certo”, os alimentos se tornam escassos e os empregos que as pessoas já tiveram são dados a outros que são mais solidários. Quando as pessoas vêem isso em ação, não demora muito para colocá-los na fila.
O Dalai Lama e Engenharia Social
O interessante artigo arquivado em www.socialengineer.org/wiki/archives/Spies/Spies-DalaiLama.html detalha um ataque feito ao Dalai Lama em 2009. Um grupo de hackers chinês queria acessar os servidores e arquivos na rede de propriedade do Dalai Lama. Que métodos foram usados neste ataque bem sucedido?
Os atacantes convenceram o pessoal do escritório do Dalai Lama a baixar e abrir software malicioso em seus servidores. Este ataque é interessante porque mistura tanto o hacking tecnológico quanto a engenharia social.
O artigo afirma: “O software foi anexado a e-mails que supostamente vinham de colegas ou contatos do movimento tibetano, de acordo com o pesquisador Ross Anderson, professor de engenharia de segurança do Laboratório de Computação da Universidade de Cambridge, citado pelo Washington Times na segunda-feira. O software roubou senhas e outras informações, o que, por sua vez, deu aos hackers acesso ao sistema de e-mail do escritório e documentos armazenados em computadores de lá.”
A manipulação foi usada, bem como vetores comuns de ataque, como phishing (a prática de enviar e-mails com mensagens sedutoras e links ou arquivos que devem ser abertos para receber mais informações; muitas vezes esses links ou arquivos levam a cargas maliciosas) e exploração. Este ataque pode funcionar e tem trabalhado contra grandes corporações, bem como governos. Este exemplo é apenas um em um grande pool de exemplos onde esses vetores causam danos consideráveis.
Este formato de golpe é bem comum ainda, em diversos casos que atendi, alguns clientes relatavam por exemplo que, o golpista ficava ao telefone orientando como baixar e aplicar o software de segurança bancária. Ao fazer isso, ao invés de instalar um software legítimo, o golpista em seu organizado “suporte” ao usuário, induzia a vítima a instalar um software modificado, fazendo posteriormente acessos indevidos e efetuando transferências bancárias. Como comentado antes, é algo que está acontecendo com muita frequência no Brasil, após a implantação do método de transferência via PIX.
Roubo de funcionários
Funcionários descontentes podem causar grandes estragos, em alguns estudos realizados, foi confirmado que funcionários entrevistados admitiram ter tomado dados de um tipo ou outro de seus empregadores. Muitas vezes esses dados são vendidos para concorrentes (como aconteceu nesta história de um funcionário do Morgan Stanley: www.socialengineer.org/wiki/archives/DisgruntledEmployees/DisgruntledEmployees-MorganStanley.html). Um funcionário descontente que é deixado descontrolado pode ser mais devastador do que uma equipe de hackers determinados e qualificados.
DarkMarket e Mestre Splynter
Em 2009, uma história surgiu sobre um grupo subterrâneo chamado DarkMarket — o chamado eBay para criminosos, um grupo muito apertado que negociava números de cartões de crédito roubados e ferramentas de roubo de identidade, bem como os itens necessários para fazer credenciais falsas e muito mais.
Um agente do FBI chamado J. Keith Mularski foi disfarçado e se infiltrou no site do DarkMarket. Depois de um tempo, o agente Mularski foi feito administrador do site. Apesar de muitos tentarem desacredita-lo, ele ficou preso por mais de três anos como administrador do local. Durante esse tempo, Mularski teve que viver como um hacker malicioso, falar e agir como um só, e pensar como um. Seu pretexto era um de um spammer malicioso e ele tinha conhecimento suficiente para fazê-lo. Seu pretexto e suas habilidades de engenharia social valeram a pena porque o Agente Mularski se infiltrou no DarkMarket como o infame Mestre Splynter, e depois de três anos foi essencial para fechar uma enorme rede de roubo de identidade.
A operação de engenharia social de três anos rendeu 59 prisões e evitou mais de US$ 70 milhões em fraudes bancárias. Este é apenas um exemplo de como as habilidades de engenharia social podem ser usadas para o bem.
Os Diferentes Tipos de Engenheiros Sociais
Como discutido anteriormente, a engenharia social pode assumir muitas formas. Pode ser malicioso e pode ser amigável, pode se acumular e pode derrubar. Antes de passar para o núcleo deste livro, dê uma breve olhada nas diferentes formas de engenheiros sociais e uma descrição muito curta de cada um:
Hackers: Os fornecedores de software estão se tornando mais qualificados para criar softwares endurecidos ou mais difíceis de invadir. À medida que os hackers estão atingindo softwares mais endurecidos e à medida que vetores de ataque de software e rede, como hackers, estão se tornando mais difíceis, os hackers estão se voltando para habilidades de engenharia social. Muitas vezes usando uma mistura de hardware e habilidades pessoais, os hackers estão usando engenharia social em grandes ataques, bem como em pequenas violações em todo o mundo.
Testadores de Intrusão: Uma vez que um testador de penetração do mundo real (também conhecido como pentester) é muito ofensivo por natureza, essa categoria deve seguir após hackers. Verdadeiros testadores de penetração aprendem e usam as habilidades que os hackers mal-intencionados usam para realmente ajudar a garantir a segurança de um cliente. Pentesters são pessoas que podem ter as habilidades de um chapéu preto malicioso, mas que nunca usam as informações para ganho pessoal ou danos ao alvo.
Espiões usam a engenharia social como um modo de vida. Muitas vezes empregando todos os aspectos do quadro de engenharia social, espiões são especialistas nesta ciência. Espiões de todo o mundo são ensinados diferentes métodos de “enganar” as vítimas a acreditar que são alguém ou algo que não são. Além de serem ensinados a arte da engenharia social, muitas vezes os espiões também se baseiam na credibilidade, sabendo um pouco ou até mesmo muito sobre os negócios ou governo que estão tentando projetar socialmente.
Ladrões de identidade: Roubo de identidade é o uso de informações como nome de uma pessoa, números de conta bancária, endereço, data de nascimento e número do CPF sem o conhecimento do proprietário. Este crime pode variar de vestir um uniforme a se passar por alguém a golpes muito mais elaborados. Ladrões de identidade empregam muitos aspectos da engenharia social e com o passar do tempo parecem mais encorajados e indiferentes ao sofrimento que causam.
Empregados descontentes: Depois que um empregado ficou descontente, muitas vezes eles entram em uma relação contraditória com seu empregador. Esta pode muitas vezes ser uma situação unilateral, porque o empregado normalmente tentará esconder seu nível de descontentamento para não colocar seu emprego em risco. No entanto, quanto mais descontentes eles se tornam, mais fácil fica para justificar atos de roubo, vandalismo ou outros crimes.
Golpista: Golpes ou contras apelam para a ganância ou outros princípios que atraem as crenças e desejos das pessoas de “ganhar um dinheirinho”. Golpistas ou vigaristas dominam a habilidade de ler pessoas e escolher pequenas pistas que fazem de uma pessoa uma boa “marca”. Eles também são hábeis em criar situações que apresentam como oportunidades imbatíveis para uma marca.
Recrutadores executivos: Os recrutadores também devem dominar muitos aspectos da engenharia social. Tendo que dominar a provocação, bem como muitos dos princípios psicológicos da engenharia social, eles se tornam muito adeptos não só de ler as pessoas, mas também de entender o que motiva as pessoas. Muitas vezes um recrutador deve levar em consideração e agradar não só o candidato ao emprego, mas também o pôster do trabalho.
Vendedores: Semelhante aos recrutadores, os vendedores devem dominar muitas habilidades de pessoas. Muitos gurus de vendas dizem que um bom vendedor não manipula as pessoas, mas usa suas habilidades para descobrir quais são as necessidades das pessoas e, em seguida, vê se eles podem preenchê-la. A arte das vendas requer muitas habilidades, como a coleta de nformações, a obtenção, a influência, os princípios psicológicos, bem como muitas outras habilidades de pessoas.
Governos: Muitas vezes não são olhado como engenheiros sociais, os governos utilizam a engenharia social para controlar as mensagens que liberam, bem como as pessoas que governam. Muitos governos utilizam prova social, autoridade e escassez para garantir que seus súditos estejam no controle. Esse tipo de engenharia social nem sempre é negativa, pois algumas das mensagens que os governos transmitem são para o bem do povo e o uso de certos elementos da engenharia social pode tornar a mensagem mais atraente e mais amplamente aceita.
Médicos, psicólogos e advogados: Embora as pessoas nessas carreiras possam não parecer que se encaixam na mesma categoria que muitos desses outros engenheiros sociais, esse grupo emprega os mesmos métodos usados pelos outros grupos desta lista. Eles devem usar táticas de obtenção e entrevista adequada e interrogatório, bem como muitos, se não todos os princípios psicológicos da engenharia social para manipular seus “alvos” (clientes) na direção que eles querem que eles tomem.
Independentemente do campo, parece que você pode encontrar engenharia social ou um aspecto dele. Em cada situação, saber quais elementos funcionarão é a parte difícil, mas depois aprender a utilizar esses elementos é onde entra a habilidade. Essa foi a base do pensamento por trás do desenvolvimento do marco da engenharia social. Esse quadro revolucionou a forma como a engenharia social é dissecada.
As Três Formas Básicas de Engenharia Social
A engenharia social em sua forma maliciosa é geralmente categorizada em três áreas diferentes. É importante que você entenda as diferenças entre os três, porque os não verbais desempenham um papel em cada um. Vamos dar uma olhada em cada um: phishing, provocação telefônica e personificação.
Phishing, a pescaria
A forma mais utilizada de engenharia social é o phishing — o envio de e-mails em massa ou direcionados que contenham arquivos, links ou instruções maliciosas. Se clicado, aberto ou seguido, esses aspectos de um phish causam violações, perda de dados e muitos outros problemas.
Seja qual for o método utilizado, o engenheiro social escreve e-mails que usam medo, curiosidade ou autoridade para fazer com que o leitor realize uma ação que não seja do seu interesse.
Esses e-mails nos afetam porque nos atingem na carteira — ou assim somos levados a acreditar. O medo de que alguém possa ter acessado e roubado nossos fundos é suficiente para nos fazer clicar em um link e entrar rapidamente em nossa conta para verificar. E isso é exatamente o que o atacante quer que façamos. Muitas vezes um site falso, um login falso e pequenos scripts colhem as credenciais que você insere. Quando o atacante tem essas credenciais, ele faz login e então faz a mesma coisa que criou medo em você: rouba seu dinheiro.
Usando comunicação não verbal em phishing
Considere o conceito de enquadramento, que é a estrutura sobre a qual a casa mental e psicológica de uma pessoa é construída. O engenheiro social quer alterar esse quadro e fazer com que o alvo pense, sinta e reaja no quadro do engenheiro social. Isso é chamado de ponte de quadro. Uma pessoa constrói uma “ponte” entre seu quadro e a armação da outra pessoa, tornando mais fácil para a segunda pessoa encontrá-lo no meio ou encontrar esse ponto comum.
Uma das principais regras do enquadramento é que todas as palavras que usamos evocam o quadro. Nossa mente pensa em imagens, então as palavras que usamos criam cenários de imagem em nossas mentes. Essas imagens criam reações emocionais, e essas reações são o que fazem com que o alvo tome a ação que pode ou não ser do seu melhor interesse.
Um engenheiro social mal-intencionado quer criar um conjunto de gatilhos emocionais em, por exemplo, um e-mail que fará com que o alvo realize essa ação. Em muitos casos, o engenheiro social malicioso usa as emoções do medo (de perda, roubo, e assim por diante) ou tristeza (como está ligado à empatia e ao apelo “me ajude”) para provocar as respostas que ele quer.
Declarações como “Isso deve ser concluído em 24 horas ou sua conta será suspensa” provocam uma resposta de medo. Combine isso com a possibilidade de que sua conta possa ter sido usada sem o seu conhecimento, e você tem uma receita perfeita para resposta baseada no medo. É baseado em palavras, e essas palavras pintam um quadro em sua mente, e essa imagem causa a reação emocional.
Outro aspecto é o uso de emoticons, que são cada vez mais utilizados em textos, e-mails e mensagens instantâneas. A emoção direcionada ao alvo pode afetar a forma como essa pessoa reage à mensagem. Os emoticons são usados não tanto em e-mails baseados em medo, mas em e-mails de phishing que fingem ser de amigos (como e-mails de amigos do Facebook) ou potenciais parceiros românticos (como e-mails de sites populares de namoro). Nesses cenários, os emoticons são usados para fazer o remetente parecer feliz, amigável e aberto.
Quando o telefone é mais perigoso que o malware
A segunda forma mais utilizada de engenharia social é a captação de telefone. Por que o número de ataques por telefone aumentou?
Por Petter Lopes | dez 28, 2021 | Análise Comportamental, Behavioral Analysis, Cibercrimes, Criminal Profiling, Detecção do Engano, Forense Digital, Segurança da Informação
Referências
Hadnagy, Christopher. Social Engineering: The Art of Human Hacking; 2010; John Wiley & Sons
Hadnagy, Christopher. Unmasking the Social Engineer: The Human Element of Security; 2014; John Wiley & Sons
Petter Anderson Lopes
Perito Judicial em Forense Digital, Criminal Profiling & Behavioral Analysis
CEO da PERITUM – Consultoria e Treinamento LTDA.
Computação Forense, Digital Forensics and Fraud Investigation | Criminal Profiling – Behavioral Analysis
Intelligence and Information and Cyber Security | CPME | Autor e Professor
Especializando em Certified Criminal Profiling pela Heritage University(EUA) e Behavior & Law(Espanha), coordenado por Mark Safarik ex diretor da Unidade de Análise Comportamental do FBI, endossado pela CPBA (Criminal Profiling & Behavioral Analysis International Group).
Certificado Practitioner em Microexpressões Faciais (C|PME método FACS, Paul Ekman).
Certificado Forensic Psychology (Psicologia Forense) pela The Open University.
Certificado pela ACE AccessData Certified Examiner e Rochester Institute of Technology em Computer Forensics. Certificado Especialista em Desenvolvimento pela Microsoft MCP.
CBO 2041-10 “Elaboram laudo pericial, organizando provas e determinando as causas dos fatos. Realizam diligências, examinando locais, buscando evidências, selecionando e coletando indícios materiais e encaminhando peças para exames com ou sem quesitos. Analisam provas, peças, materiais, documentos e outros vestígios relacionados aos fatos. Efetuam cálculos, medições, assim como, solicitam e/ou realizam ensaios laboratoriais, utilizando e desenvolvendo técnicas e métodos científicos”