Engenharia social é um termo usado para diversas atividades maliciosas realizadas por meio de interações humanas, como o phishing, por exemplo. Ele usa manipulação psicológica para explorar nossas vulnerabilidades emocionais e induzir os usuários a cometer erros de segurança ou fornecer informações confidenciais.
A engenharia social envolve, muitas vezes, oportunidades urgentes e solicitações urgentes para transmitir uma sensação de pânico na vítima. Dessa forma, elas acabam caindo em phishing com facilidade.
A tática de engenharia social mais comum: Phishing
A forma mais dominante de ataques de engenharia social são os ataques de phishing, que é uma forma de fraude em que um invasor finge ser uma pessoa ou empresa conhecida pelo alvo e envia uma mensagem solicitando acesso a um sistema seguro na esperança de explorar esse acesso para obter ganhos financeiros.
O phishing está no centro das ameaças de engenharia social. A prática faz muitas vítimas diariamente e, os golpes são enviados constantemente por e-mail, para roubo de informações e credenciais das vítimas.
Outras ameaças da engenharia social
Spear phishing
As mensagens de spear phishing são ataques direcionados e personalizados direcionados a um indivíduo específico. Esses ataques geralmente são projetados para parecer vir de alguém em quem o usuário já confia, com o objetivo de induzir o alvo a clicar em um link malicioso na mensagem.
Quando isso acontece, o alvo revela involuntariamente informações confidenciais, instala programas maliciosos (malware) em sua rede ou executa o primeiro estágio de uma ameaça persistente avançada (APT), para citar algumas das possíveis consequências.
Whale-phishing ou caça à baleia
Whaling é uma forma de spear phishing destinada a alvos de alto perfil e alto valor, como celebridades, executivos de empresas, membros do conselho e funcionários do governo.
Phishing de pescador
O phishing do pescador é um termo mais recente para ataques tipicamente instigados pelo alvo. O ataque começa com um cliente reclamando nas redes sociais sobre os serviços de uma empresa ou instituição financeira. Os cibercriminosos vasculham contas de grandes empresas, buscando esses tipos de mensagens. Depois de encontrar um, eles enviam a esse cliente uma mensagem de phishing usando contas falsas de mídia social corporativa.
Vishing
O vishing, ou phishing de voz, emprega a tecnologia de telefone ou VoIP (voz sobre protocolo de internet). Esse tipo de ataque está crescendo em popularidade, com casos aumentando incríveis 550% apenas nos últimos 12 meses.
As táticas de vishing são mais comumente usadas contra os idosos. Os atacantes podem, por exemplo, alegar ser um membro da família que precisa de uma transferência imediata de dinheiro para se livrar de problemas, ou uma instituição de caridade buscando doações após um desastre natural.
Isca e scareware
Além das inúmeras categorias e subcategorias de phishing, existem outras formas de engenharia social, como a baseada em anúncios e a física. Veja, por exemplo, a isca – em que uma promessa falsa, como um anúncio online de um jogo gratuito ou software com grandes descontos, é usada para enganar a vítima a revelar informações pessoais e financeiras confidenciais ou infectar seu sistema com malware ou ransomware.
Enquanto isso, os ataques de scareware usam anúncios pop-up para assustar o usuário e fazê-lo pensar que seu sistema está infectado por um vírus de computador e que ele precisa comprar o software antivírus oferecido para se proteger. Em vez disso, o próprio software é malicioso, infectando o sistema do usuário com os mesmos vírus que eles estavam tentando impedir.
Tailgating e surf de ombro
Formas de ataques físicos de engenharia social, incluindo tailgating, uma tentativa de obter acesso físico não autorizado a espaços seguros nas instalações da empresa por meio de coerção ou engano.
Da mesma forma, bisbilhotar ou “surfar no ombro” em espaços públicos é uma maneira extremamente simples de obter acesso a informações confidenciais.
Em última análise, à medida que as tecnologias evoluem, também evoluem os métodos usados ??pelos cibercriminosos para roubar dinheiro, danificar dados e prejudicar reputações.
