Engenharia social
O termo “Engenharia Social” nasceu em meados do século 19 para definir como a intervenção científica na sociedade poderia acelerar a evolução do ser humano.
Já no âmbito da Segurança da Informação o termo é utilizado para apontar golpes, que se utilizam da manipulação de informações, e que levam à exploração de vulnerabilidades emocionais do ser humano, seja ele em grupo ou individualmente. Euforia por um prêmio, espanto por uma notícia surpreendente, preocupação por algo que não foi feito por você mesmo, são alguns dos exemplos destas vulnerabilidade emocionais.
O termo foi bastante popularizado após o hacker americano Kevin Mitnick lançar o livro: “The Art of Deception: Controlling the Human Element of Security” (em português: “A arte de enganar”), demonstrando através de histórias reais como o comportamento humano é ponto crucial e estratégico para a Segurança da Informação de qualquer companhia.
E falando em histórias reais, vamos entender um pouquinho alguns dos golpes mais comuns de engenharia social. Talvez você possa até não estar familiarizado com os termos, mas com certeza conhece alguém que já caiu em alguns deles.
- Phishing (email) / smishing (sms) / vishing (voz): talvez o formato de golpe digital mais popular, tem a intenção de induzir a vítima a clicar em links, baixar arquivos ou compartilhar informações através de meios muito semelhantes a ambientes reais.
Exemplos: sms de atualização de dados cadastrais, links promocionais, alerta de pendências financeiras, ligações para informar sobre tentativa de uso não autorizado, entre outros. - Baiting: Já pensou encontrar um recurso de mídia “perdido” por aí? Primeiro pensamento é abrir pra tentar identificar algum arquivo que remeta ao dono né? Aí que está, esta técnica se utiliza de mídias removíveis para infectar dispositivos no momento da conexão.
Exemplos: pendrives, dvds, hds externos esquecidos em local de grande circulação ou distribuído como “brinde”. - Tailgating: está enganado quem pensa que engenharia social é algo apenas em meios digitais. Nesta tática, o golpista se aproxima de alguém que possui acesso à um local restrito e aproveita o momento para burlar o controle.
Exemplos: “segura a porta pra mim”, “esqueci o crachá”, “vou aproveitar pra passar junto”.
Dito tudo isso, como fazer pra se proteger de tantas ameaças?! Existem algumas golden rules que funcionam muito bem e podem evitar muitos problemas indesejados. Vamos a elas:
- Duvide da sua sorte!
Tem coisas que são boas demais pra ser verdade. - Suspeite de mensagens alarmantes!
O tom de ameaça jamais será utilizado por canais oficiais. - Suspeite de textos com erros!
Comunicações oficiais não admitem esse tipo de erro. - Confira se a fonte é confiável!
Valide a veracidade de links, remetentes, perfis verificados e anexos duvidosos. - Desconfie de pedidos de ajuda ou de solicitações de dados pessoais!
Valide qualquer informação duvidosa através dos canais oficiais das empresas ou outros meios de contatos pessoais. - Jamais compartilhe senhas ou tokens!
Esses códigos são pessoais e intransferíveis, são como a sua identidade no mundo digital.
O mundo é digital e a tecnologia é nossa aliada no dia a dia, mas é preciso estar atento aos riscos do mundo virtual para garantir a proteção na vida real!
