No contexto da cibersegurança, engenharia social, normalmente referido como social engineering é um termo dado à manipulação psicológica de pessoas para a extorsão de dinheiro ou divulgação de informações.
Estes ataques consistem na manipulação da vítima para a levar a fazer aquilo que o atacante pretende. Esta manipulação é feita de forma subtil e tendo por base conhecimentos sobre a pessoa que poucas pessoas teriam construindo assim uma base de confiança.
O ciclo deste tipo de ataques, permite aos criminosos a construção de um processo capaz de o enganar.
- Preparar informação sobre si ou um grupo social a que faça parte (pessoas conhecidas, empresas, associações, etc)
- Infiltrar-se nesse grupo estabelecendo uma relação ou iniciando uma interação que seja a base da confiança.
- Explorar a vitima. Assim que a confiança esteja estabelecida, passam ao ataque.
- Desaparecer. Uma vez cumprido o objectivo, os atacantes “desaparecem do mapa”.
Exemplo prático:
Fazer-se passar por funcionário de uma empresa conhecida da vítima e dar dados pessoais da mesma para tentar obter dados adicionais. “Olá Sr. José, fala o Nuno da EmpresaX. Estamos a atualizar os dados dos nossos clientes, poderia-nos confirmar se o seu número mantém-se o 910000000? Sim? E o e-mail, continua a ser o srjose@gmail.com? Perfeito. Não temos aqui os dados da sua esposa, poderia nos facultar o nome completo e contacto telefónico?”
Posteriormente, estes dados novos poderão ser utilizados para subscrever a serviços, aceder a informação privilegiada no local de trabalho ou quem sabe envio de uma campanha de phishing digital.
Mas este é apenas um dos muitos exemplos do tipo de ataque que pode utilizar engenharia social. Desconfie de chamadas, e-mails, mensagens ou SMS que tenham informações sobre si que não se recorda de fornecer.
Porque é tão perigoso?
Porque dificilmente soam os sinos do alarme nas nossas cabeças quando recebemos uma chamada/e-mail ou mensagem de alguém que diz pertencer a uma empresa/grupo/ser amigo de alguém que conhecemos e que claramente tem informações sobre nós que poucas pessoas teriam. Tem de ser verdade, não é? Não.
Se não tem a certeza, não divulge dados adicionais, não aceda aos pedidos, não se deixe enganar. Se a pessoa diz pertencer à empresa X, contacte directamente a empresa X e confirme que aquela pessoa lá trabalha. Se lhe dizem vir por parte de Y que perdeu acesso aos dados da empresa, ligue com Y para confirmar que deverá permitir acesso.
É sempre preferível gastar mais alguns momentos mas agir com cautela.
Quer verificar se a sua informação foi revelada online ou se o seu e-mail está comprometido? Clique aqui.
