Engenharia social (Social Engineering)

Vagner Bom Jesus
4 min readApr 4, 2023

--

Capítulo 1 — O que é engenharia social

A engenharia social é o conjunto de técnicas para manipular, influenciar ou enganar você, a fim de obter controle sobre seu sistema de computador ou instalações.

O hacker pode usar o telefone, e-mail, correio tradicional, redes sociais, aplicativos de mensagens ou contato direto para obter acesso ilegal.

Ele tentará manipular, influenciar ou enganar qualquer pessoa na empresa , incluindo aqueles com alto perfil, como o CEO, CFO, etc.

A engenharia social não requer nenhuma habilidade técnica . Pense bem: por que alguém deveria gastar tempo e dinheiro para quebrar um sistema se a senha para acessar um sistema pode ser solicitada diretamente a você?

Os seres humanos são o elo mais fraco da segurança, não as máquinas, portanto o elemento humano é crucial.

De acordo com o Relatório de investigações de violação de dados de 2021 da Verizon, 85% das violações envolveram um elemento humano, ou seja, engenharia social.

Também é importante observar que 20% dos atores, ou seja, a pessoa que realiza os ataques, são internos à organização:

Kevin Mitnick é o hacker mais famoso de todos os tempos. Ele executou a maioria de seus hacks usando técnicas de Engenharia Social.

Por favor, assista a este vídeo onde ele explica seu primeiro hack de Engenharia Social, aos 12 anos (ele começou a ter acesso a grandes empresas aos 16):

Vishing

Existem várias maneiras de um hacker obter acesso ilegal. Se o hacking for feito por voz, como um telefonema, é chamado de vishing .

Por favor, assista a este vídeo, onde um hacker obtém acesso à conta de telecomunicações de alguém:

Smishing

Se o hacking for feito usando uma mensagem de texto, é chamado de smishing .

Por favor, assista a este pequeno vídeo:

Phishing

Se o hacking for feito usando e-mail, é chamado de phishing. COVID está sendo usado como um tema em torno do phishing. Por favor, assista a este pequeno vídeo de notícias:

Quando o ataque é direcionado a um indivíduo, organização ou empresa específica, é chamado de spear phishing . Se for direcionado a altos executivos, é definido como baleação . Esses ataques são perigosos porque, por exemplo, os administradores têm acesso privilegiado e os altos executivos têm acesso às finanças das empresas. Se você tiver acesso a sistemas como administrador, a dinheiro ou a dados privados ou confidenciais, você é um alvo potencial desses tipos de ataques. Por favor, assista a este vídeo, onde poderá acompanhar um exemplo real, que custou ao contribuinte 700.000 USD:

Como reconhecer um e-mail de ataque de phishing:

Baiting

Um tipo de ataque de engenharia social em que um golpista usa uma promessa falsa para atrair a vítima para uma armadilha que pode roubar informações pessoais e financeiras ou infligir malware ao sistema é chamado de Baiting.

Um exemplo muito conhecido é um ataque de phishing USB. Os hackers geralmente deixam um pendrive em algum lugar perto da vítima, esperando por uma oportunidade. Assim que a vítima insere o USB em um computador, o malware (software malicioso) é executado.

Por favor, veja o vídeo:

Tailgating ou piggybacking

Tailgating ou piggybacking é uma violação de segurança física na qual uma pessoa não autorizada segue um indivíduo autorizado para entrar em um local seguro .

Por favor, assista ao vídeo:

Resumo

  • A engenharia social é o conjunto de técnicas para manipular, influenciar ou enganar você a fim de obter controle sobre seu sistema de computador ou instalações;
  • O hacker pode usar o telefone, e-mail, correio tradicional, redes sociais, aplicativos de mensagens ou contato direto para obter acesso ilegal;
  • Ele tentará manipular, influenciar ou enganar qualquer pessoa na empresa , incluindo aqueles com alto perfil, como o CEO, CFO, etc.;
  • A engenharia social não requer nenhuma habilidade técnica;
  • 85% das violações envolveram um elemento humano, ou seja, engenharia social;
  • 20% dos atores, ou seja, a pessoa que realiza os ataques, são internos à organização.

--

--