Engenharia Social – Do que se trata?

É um termo usado nos tempos modernos, mas que define uma ação que sempre existiu na sociedade: elaborar formas de enganar/manipular ou de se aproveitar das pessoas, e tomar ações conforme suas reações/respostas.

O próprio termo pressupõe que o ser humano é o principal “ativo” ou personagem. Ou seja, são atividades relacionadas ao ser humano e seus comportamentos e reações diante de estímulos físicos (principalmente visuais ou auditivos) e emocionais/psicológicos (empatia, medo, ansiedade, curiosidade, receio, senso de urgência, confiança, consumismo imediatista, etc).

Ao Vivo e Online: As Formas de Abordagem

O que tudo isso nos diz? Que a Engenharia Social são métodos e esquemas utilizados por aproveitadores/malfeitores para tirar benefícios de alguém – em essência, técnicas e ações perniciosas (que causam danos).

E isso tem tudo a ver com segurança na web, bem como em toda situação que envolve troca de informações usando aparelhos ou artigos eletrônicos (transações bancárias, mensagens instantâneas, mídias sociais, telefonemas, e-mails), bem como em interações sociais face a face.

Como, “sem querer”, você está fornecendo suas informações pessoais

Veja alguns exemplos de como suas informações pessoais podem ser “adquiridas” ou fornecidas (de livre vontade ou por desatenção) - pessoalmente ou online (veja algumas técnicas de Phishing):

• Uma pessoa, fazendo se passar por funcionário do Censo, ou do seu provedor de internet (ou outro serviço), faz uma visita (sem que você tenha agendado) e começa a fazer perguntas sobre sua renda, ou então diz que veio fazer manutenção periódica ou atualização
  

• Você está usando seu celular ou laptop em local público – cercado de pessoas, e alguém está se fingindo de distraído atrás de você, coletando seus inputs (Leia nosso Post sobre Shoulder Surfing)
  

• Você joga extratos, comprovantes de pagamento, recibos de compra, holerites ou declarações de imposto de renda no lixo, sem nem ao menos picar/rasgar/obliterar os papéis (quem se aproveita dessa situação são os chamados “Dumpster Divers”, em português “mergulhadores dos lixos”)
  

• Você recebe (via correios ou entrega em domicílio) uma correspondência (que parece legítima), cujo remetente é uma instituição reconhecida, contendo um brinde ou outra cortesia (um CD/DVD, cupom-presente, um novo cartão, etc)
  

• Você recebe um e-mail com o assunto “URGENTE” ou “IMPORTANTE” de uma instituição governamental ou bancária (p. ex: Receita Federal, Banco do Brasil), solicitando que entre em contato devido à “inconsistências” a serem resolvidas (ou assuntos parecidos)
  

• Você recebe um e-mail cujo remetente é alguma empresa conhecida e que tem um link para atualização dos seus dados ou do cadastro (ou algo similar), e você clica no link
  

• Você recebe (e aceita) um novo contato no Whatsapp (ou outro mensageiro instantâneo) que diz que é o Serviço de Atendimento ao Consumidor (SAC) da empresa “X” (loja, aliás que você está acostumado a comprar), e você começa a responder o questionário/pesquisa

Para cada falha nossa, uma contrapartida da Engenharia Social

Citamos apenas algumas das incontáveis maneiras pelas quais podemos ser compelidos a compartilhar nossas informações com outros. Os criminosos (dos mundos real e cibernético) são observadores do comportamento humano, e espiões de nossos hábitos e propensões.

Eles se baseiam em fatos palpáveis, estatísticas e probabilidades. Estão atualizados sobre tendências de mercado, tipos de público-alvo, classes e status de consumidores – enfim, sobre o mercado no qual eles trabalham – o mercado comportamental.

Infelizmente, é sabido que a grande maioria dos golpes e fraudes bem-sucedidos são consequência de nossas próprias falhas e pontos-fracos.

Temos a tendência de acreditar/confiar antes de duvidar/questionar legitimidade. Ninguém quer ser intencionalmente explorado ou manipulado.

Principal ponto de ataque: Desinformação e Atitudes Impulsivas

Logicamente podemos cair em golpes, mesmo estando atualizados sobre os tipos de ameaças mais comuns. Mas será muito menos provável, e o estrago pode ser diminuído drasticamente. O importante é ter em mente que será muito mais difícil um golpe se concretizar sem o seu consentimento – melhor dizendo, sem a sua “bobeada”.

Malfeitores se aproveitam de suas capacidades de persuasão e manipulação emocional, bem como de nossas atitudes tomadas em momentos de pressão, coerção ou sob influência de estímulos que mexem com nossas emoções – positiva ou negativamente, ou seja, ações impulsivas e menos racionais.

Deixamos algumas dicas para que evitemos nos tornar vítimas de fraudes e golpes, tomando mais controle sobre o que acontece ao nosso redor:

• Desconfie, seja mais cético e conteste. Se você não agendou a visita, ou se a pessoa se recusa a informar credenciais, você não é obrigado a permitir acesso ou fornecer quaisquer informações
  

• Duvide antes de acreditar. Recebeu qualquer informação (seja de que forma for) que parece estranha ou que te deixou tenso ou preocupado? Entre em contato direto com a pessoa ou empresa e pergunte se o que foi enviado para você realmente foi enviado por ela
  

• Fique ciente de que nenhuma informação que você fornece é irrelevante ou inocente. Um simples número de telefone ou de documento pessoal está atrelado a dezenas de outros... Cada informação obtida pode ser usada como dado para construir a falsa legitimidade do criminoso
  

• Está se sentindo muito tentado a comprar ou clicar em algo, porque parece imperdível ou preocupante? Não compre e nem clique em nada agora. Levante, vá tomar água, e depois - com calma e sem pressão, faça todas as verificações possíveis. Sobre o vendedor, o produto, os benefícios, e sobre o site, o link, a informação, etc)
  

• Não conhece a pessoa ou o e-mail do remetente? Jogue na lixeira e delete! Ninguém está lhe obrigando a abrir, mesmo que o assunto pareça colocá-lo numa situação desagradável
  

• Conhece o ditado “achado não é roubado”? Pois saiba que o achado pode ser uma roubada... Viu um pen-drive ou DVD/CD jogado (“esquecido”) numa mesa, ou no chão? Recomendamos deixar onde está Seus dispositivos poderão sofrer sérias consequências se você decidir ver o que ele contém... Melhor é não pegar nada que não lhe pertença
  

• Em contrapartida, se for jogar fora qualquer dispositivo de armazenamento de dados que lhe pertença, certifique-se de inutilizá-lo completamente

Interferência Humana = Causa e Solução

Dá para perceber que o tópico de Engenharia Social é bastante abrangente e que aborda muitas variantes e inúmeras técnicas e esquemas. Nosso intuito aqui não é nos atermos tanto às técnicas utilizadas e sua terminologia (Spoofing, Phishing), mas sim ao aspecto humano - que é o principal envolvido.

Malwares e ameaças à segurança não são coisas auto-criadas por meio de tecnologia. São produto de mentes humanas. Sim, o meio de disseminação é feito através de dispositivos tecnológicos, mas estes também são operados e gerenciados por humanos.

Para que um malware faça algum estrago, geralmente é preciso que alguém acenda o pavio ou “puxe o gatilho” - ou seja, que uma pessoa tenha dado um clique, feito um download... Que alguma informação tenha sido vazada.

Enfim, não dá para fugir da verdade. Temos nossa parte de culpa nisso tudo, qualquer que seja a natureza de nossa falha (imprudência, desatenção, falta de informação, ou até mesmo a mais pura maldade..). O fato é, no entanto, que se existem consequências para nossas ações, foquemos em nossas ações!

Atitudes mais conscientes e ações feitas com mais discernimento, sabedoria e conhecimento de causa só trazem benefícios, não só para você. Suas experiências e dicas podem ajudar outras pessoas a ficarem menos estressadas com esse mundo ameaçador.

Compartilhe, e NOS VEMOS NOS PRÓXIMOS POSTS!

Site Pesquisado: https://usa.kaspersky.com/resource-center/definitions/what-is-social-engineering