...::: Engenharia Social :::...
Ao contrário do que possa estar a pensar ao ler o titulo deste artigo, queria desde já esclarecer que Engenharia Social não se trata de um novo curso mas sim de um termo bastante usado na Segurança de Informação e define o cinjunto de práticas utilizadas por determinada pessoa que tem como objectivo manipular a sua vitima e desta forma fazer com que esta forneça informações sensíveis, seja infectada por Malware ou visite determinados sites.
É uma expressão um pouco estranha, até mesmo bizarra. Ainda assim, frequentemente vemos ela associada a notícias de segurança em TI – ou a falta dela, como é mais comum. E o pior é que a expressão significa uma técnica que é usada desde sempre pelos hackers, sempre com resultados.
Mas afinal, que diabos é “engenharia social”?
Bom, digamos que você tenha recebido um e-mail de algum amigo seu com o título de “fotos das férias”. Tenho certeza que você já recebeu alguma mensagem legítima parecida com essa, ou ao menos já viu alguém recebendo. Se quem envia é um amigo, isso significa que é seguro e que realmente são fotos das tais férias.
Nem tanto. Seu amigo pode estar infectado com algum malware(ou não ser tão seu amigo assim, mas prefiro acreditar mais na primeira hipótese). O e-mail não tem detalhes específicos, só mensagens genéricas do tipo “veja nossas fotos”. Como você já deve ter percebido, não são arquivos genuínos. Ora são links que lhe levam a outros sites suspeitos, ora são eles próprios arquivos executáveis camuflados como .jpg.
Sei que a maioria já conhece esse golpe. Mas o truque é pegar os que não percebem a falta de informações, que possam autenticar o autor da mensagem ou a lista de endereços no cabeçalho em ordem alfabética, ou o link real visível no canto esquerdo inferior do navegador.
E claro, o exemplo que eu citei é simples para ilustrar, mas os golpes têm ficado cada vez mais elaborados. Perto do final do ano, são mensagens de Natal. No verão, são do Big Brother. Depois tem o imposto de renda, o título de eleitor e até coisas factuais, como o Obama. Todas elas com endereços de remetente e até layout com mínimas diferenças dos reais.
O ato de levar você a achar que é algo genuíno, movê-lo pela curiosidade e fazer com que você instale o maldito do malware no PC sem sequer ter consciência do perigo é a bendita da engenharia social. Ou seja, ele lhe engana, trai a sua confiança.
Você nem deveria ter dado essa confiança. É preciso ser cético mesmo com sites, endereços e amigos conhecidos. Nunca se sabe quando um deles (ou mais) pode estar infectado.
Não se engane também: isso não diz respeito somente a usuários domésticos. Pelo contrário. As pessoas têm o terrível hábito de acharem que o computador no trabalho é da empresa e que, por isso, podem fazer qualquer coisa com ele. E lá se vão sites suspeitos abertos livremente, anexos de Power Point com mensagens de auto-ajuda e muito, mas muito arquivo baixado.
Ah, mas é claro que esse tipo de funcionário não infecta somente o PC do trabalho, pois eles próprios acabam funcionando como vetores dessas pragas. Afinal, onde você acha que ele enfia aquele pendrive cheio de planilhas, backups de documentos do Word e imagens de apresentações? Por favor, mantenha o nível e não responda em voz alta.
Agora que você sabe o que é engenharia social, procure conscientizar as pessoas em volta. É o que eu estou fazendo – na revista e também no blog. Isso sim, é algo que vale a pena ser socializado.
Publicado originalmente na coluna Firewall da revista PC Magazine 40, em fevereiro
É uma expressão um pouco estranha, até mesmo bizarra. Ainda assim, frequentemente vemos ela associada a notícias de segurança em TI – ou a falta dela, como é mais comum. E o pior é que a expressão significa uma técnica que é usada desde sempre pelos hackers, sempre com resultados.
[...] Ao contrário das ameaças mais comuns entre os internautas como o malware onde pode ser controlado com alguma tranquilidade quando comparado com o Spam, pois afecta qualquer utilizador independentemente do seu sistema operativo, ou seja, nem os fanáticos da Apple arranjam argumentos para isto xD. Os spammers de hoje em dia tornam-se cada vez mais eficientes nos seus objectivos recorrendo ao uso de serviços online e à engenharia social. [...]
Algumas das técnicas usadas pela Engenharia Social são as seguintes:
- Assumir outra personalidade
- Fazer passar-se por outra pessoa
- Persuasão
- Virus que se espalham por email
- Emails Falsos (Spam / Esquemas Phishing)
Um exemplo da utilização de engenharia Social
Já aqui falamos sobre a utilização de emails com o fim de propagar vírus, neste tipo de emails a Engenharia Social abunda uma vez que o utilizador é incentivado a fazer o download de determinado anexo, como uma foto, tendo um texto que fala da suposta imagem anexada como sendo uma mulher de bikini por exemplo. Originado a aberture de sites, excução de anexos, etc. ou seja de uma forma resumida, a Engenharia Social é o despertar da curiosidade do utilizador para que este seja levado a ser infectado pelo método do hacker.
Podem ler mais sobre engenharia social aqui na wikipedia.
0 Response to "...::: Engenharia Social :::..."
Postar um comentário