O que é engenharia social?
Em segurança digital, a engenharia social é o ato de persuadir e manipular pessoas após uma extensa pesquisa sobre elas. Ela está muito ligada aos golpes de phishing, portanto, é uma ameaça séria à segurança de e-mail e aos dados da sua empresa.
A seguinte questão vai te ajudar a entender o termo engenharia social:
No geral, para obter informações importantes é mais fácil persuadir uma pessoa ou hackear o computador dela?
Pense neste exemplo. Um fraudador quer saber um determinado login e senha para acessar a conta bancária de uma empresa. Seria mais fácil ele enganar um funcionário da empresa, como o contador, por exemplo, ou descobrir uma vulnerabilidade em um software que o contador utiliza?
Bingo! No geral, persuadir e manipular pessoas requer menos esforço e acaba sendo muito eficaz. Quando falamos em segurança cibernética, essa tática é chamada de engenharia social.
Neste artigo, você vai ler mais sobre:
BEC - Business Email Compromise
Faça o download deste ebook para entender tudo sobre BEC, das características às técnicas mais usadas.
Como funciona a engenharia social?
Dissemos que, geralmente, a engenharia social exige menos esforço do que uma invasão baseada em vulnerabilidade de software ou rede, mas isso não significa que não seja trabalhosa e profunda. Muito pelo contrário.
Engenheiros sociais são pessoas espertas e estudiosas. Uma vez que o alvo é definido, eles fazem uma extensa pesquisa sobre ele.
Por exemplo, se o alvo for uma empresa, o hacker reunirá o máximo de informações possíveis sobre a operação, a estrutura, os funcionários, os parceiros e os diretores da empresa. Para isso, ele usa mecanismos de busca, redes sociais e o próprio site da empresa.
Depois disso, o criminoso concentra os seus esforços no lado mais fraco da segurança digital: as pessoas, ou o chamado “fator humano”. Na maioria das vezes, para conseguir o que está procurando, o hacker vai enganar as vítimas tentando se passar por outra pessoa, como um diretor ou um parceiro.
É por isso que a engenharia social é uma das principais técnicas utlizadas em golpes phishing, quando os criminosos tentam se passar por outras pessoas.
Exemplo de um ataque de engenharia social
Confira 10 casos famosos de engenharia social clicando aqui.
Um dos exemplos mais famosos das implicações que um ataque utilizando engenharia social pode causar envolve a violação de dados da empresa de segurança RSA, em 2011. Foi um ataque phishing.
Um pequeno grupo de funcionários da RSA recebeu e-mails com um anexo: um documento do Excel. O assunto do e-mail dizia algo como “Plano de Recrutamento”.
O que os funcionários não sabiam: era um anexo malicioso, que acabou abrindo uma backdoor para os hackers. Devido a esse ataque, estima-se que a RSA tenha gasto cerca de US$ 66 milhões.