O que é a Engenharia social? 11 exemplos a serem observados 

Conteúdo

Engenharia social

O que exatamente é Engenharia Social, afinal?

A engenharia social refere-se ao ato de manipular as pessoas para extrair suas informações confidenciais. O tipo de informação que os criminosos procuram pode variar. Normalmente, os indivíduos são visados ​​por seus dados bancários ou senhas de contas. Os criminosos também tentam acessar o computador da vítima para instalar software malicioso. Este software os ajuda a extrair qualquer informação de que possam precisar.   

Os criminosos usam táticas de engenharia social porque geralmente é fácil explorar uma pessoa ganhando sua confiança e convencê-la a fornecer seus dados pessoais. É uma maneira mais conveniente do que invadir diretamente o computador de alguém sem seu conhecimento.

Exemplos de Engenharia Social

Você poderá se proteger melhor ao ser informado sobre as diferentes maneiras pelas quais a engenharia social é feita. 

1. Pretexto

O pretexto é usado quando o criminoso deseja acessar informações confidenciais da vítima para realizar uma tarefa crítica. O invasor tenta obter as informações por meio de várias mentiras cuidadosamente elaboradas.  

O criminoso começa estabelecendo confiança com a vítima. Isso pode ser feito fazendo-se passar por amigos, colegas, funcionários do banco, policiais ou outras autoridades que possam solicitar essas informações confidenciais. O atacante faz-lhes uma série de perguntas com o pretexto de confirmar a sua identidade e recolhe dados pessoais neste processo.  

Este método é usado para extrair todos os tipos de detalhes pessoais e oficiais de uma pessoa. Essas informações podem incluir endereços pessoais, números de previdência social, números de telefone, registros telefônicos, dados bancários, datas de férias de funcionários, informações de segurança relacionadas a empresas e assim por diante.

pretexto engenharia social

2. Roubo de Desvio

Este é um tipo de golpe que geralmente é direcionado a empresas de correio e transporte. O criminoso tenta enganar a empresa-alvo, fazendo-a entregar a encomenda em um local de entrega diferente do originalmente pretendido. Essa técnica é usada para roubar bens preciosos que estão sendo entregues pelo correio.  

Esse golpe pode ser realizado tanto offline quanto online. O pessoal que transporta os pacotes pode ser abordado e convencido a entregar a entrega em outro local. Os invasores também podem obter acesso ao sistema de entrega online. Eles podem então interceptar o cronograma de entrega e fazer alterações nele.

3. Phishing

Phishing é uma das formas mais populares de engenharia social. Os golpes de phishing envolvem e-mail e mensagens de texto que podem criar um sentimento de curiosidade, medo ou urgência nas vítimas. O texto ou e-mail os instiga a clicar em links que levariam a sites maliciosos ou anexos que instalariam malware em seus dispositivos.  

Por exemplo, os usuários de um serviço online podem receber um e-mail alegando que houve uma alteração na política que exige que alterem suas senhas imediatamente. O e-mail conterá um link para um site ilegal idêntico ao site original. O usuário inserirá as credenciais de sua conta nesse site, considerando-o legítimo. Ao enviar seus dados, as informações serão acessíveis ao criminoso.

phishing de cartão de crédito

4. Phishing lança

Este é um tipo de golpe de phishing mais direcionado a um indivíduo ou organização em particular. O invasor personaliza suas mensagens com base nos cargos, características e contratos relacionados à vítima, para que pareçam mais genuínas. Spear phishing exige mais esforço por parte do criminoso e pode levar muito mais tempo do que o phishing normal. No entanto, eles são mais difíceis de identificar e têm uma melhor taxa de sucesso.  

 

Por exemplo, um invasor tentando fazer spear phishing em uma organização enviará um e-mail a um funcionário que se faz passar pelo consultor de TI da empresa. O e-mail será enquadrado de forma exatamente semelhante à forma como o consultor o faz. Parecerá autêntico o suficiente para enganar o destinatário. O e-mail solicitará que o funcionário altere sua senha, fornecendo-lhe um link para uma página da Web maliciosa que registrará suas informações e as enviará ao invasor.

5. Perfuração de água

O golpe do water-holing tira proveito de sites confiáveis ​​que são regularmente visitados por muitas pessoas. O criminoso coletará informações sobre um grupo-alvo de pessoas para determinar quais sites eles visitam com frequência. Esses sites serão então testados quanto a vulnerabilidades. Com o tempo, um ou mais membros desse grupo serão infectados. O invasor poderá acessar o sistema seguro desses usuários infectados.  

O nome vem da analogia de como os animais bebem água reunindo-se em seus lugares de confiança quando estão com sede. Eles não pensam duas vezes em tomar precauções. Os predadores estão cientes disso, então eles esperam por perto, prontos para atacá-los quando sua guarda estiver baixa. Water-holing no cenário digital pode ser usado para fazer alguns dos ataques mais devastadores em um grupo de usuários vulneráveis ​​ao mesmo tempo.  

6. Isca

Como fica evidente pelo nome, a isca envolve o uso de uma falsa promessa para despertar a curiosidade ou a ganância da vítima. A vítima é atraída para uma armadilha digital que ajudará o criminoso a roubar seus dados pessoais ou instalar malware em seus sistemas.  

Baiting pode ocorrer através de meios online e offline. Como exemplo off-line, o criminoso pode deixar a isca na forma de um pen drive infectado com malware em locais visíveis. Pode ser o elevador, banheiro, estacionamento etc. da empresa-alvo. A unidade flash terá uma aparência autêntica, o que fará com que a vítima a pegue e a insira em seu computador de trabalho ou doméstico. A unidade flash exportará automaticamente o malware para o sistema. 

As formas online de isca podem ser na forma de anúncios atraentes e sedutores que encorajam as vítimas a clicar neles. O link pode baixar programas maliciosos, que infectarão o computador com malware.  

iscagem

7. Quid Pro Quo

Um ataque quid pro quo significa um ataque “algo por algo”. É uma variação da técnica de isca. Em vez de atrair as vítimas com a promessa de um benefício, um ataque quid pro quo promete um serviço se uma ação específica for executada. O invasor oferece um benefício falso à vítima em troca de acesso ou informação.  

A forma mais comum desse ataque é quando um criminoso se faz passar por uma equipe de TI de uma empresa. O criminoso então contata os funcionários da empresa e oferece a eles um novo software ou uma atualização do sistema. O funcionário será solicitado a desativar seu software antivírus ou instalar software malicioso se desejar a atualização. 

Experimente o GoPhish gratuitamente na AWS hoje mesmo

8. Utilização não autorizada

Um ataque não autorizado também é chamado de piggybacking. Envolve o criminoso que busca entrar em um local restrito que não possui as devidas medidas de autenticação. O criminoso pode ter acesso andando atrás de outra pessoa autorizada a entrar na área.  

Por exemplo, o criminoso pode se passar por um entregador que está com as mãos cheias de pacotes. Ele espera que um funcionário autorizado entre na porta. O entregador impostor então pede ao funcionário que segure a porta para ele, deixando-o entrar sem autorização.

9. Armadilha de mel

Esse truque envolve o criminoso fingindo ser uma pessoa atraente online. A pessoa faz amizade com seus alvos e finge um relacionamento online com eles. O criminoso então aproveita esse relacionamento para extrair os dados pessoais de suas vítimas, pedir dinheiro emprestado ou fazer com que instalem malware em seus computadores.  

O nome 'honeytrap' vem das velhas táticas de espionagem onde as mulheres eram usadas para atingir os homens.

10. Ladino

O software não autorizado pode aparecer na forma de antimalware não autorizado, scanner não autorizado, scareware não autorizado, antispyware e assim por diante. Esse tipo de malware de computador induz os usuários a pagar por um software simulado ou falso que prometia remover malware. O software de segurança desonesto tornou-se uma preocupação crescente nos últimos anos. Um usuário desavisado pode facilmente ser vítima de tal software, que está disponível em abundância.

11. Malware

O objetivo de um ataque de malware é fazer com que a vítima instale malware em seus sistemas. O invasor manipula as emoções humanas para fazer com que a vítima permita que o malware entre em seus computadores. Essa técnica envolve o uso de mensagens instantâneas, mensagens de texto, mídias sociais, e-mail, etc., para enviar mensagens de phishing. Essas mensagens induzem a vítima a clicar em um link que abrirá um site que contém o malware.  

As táticas de intimidação são freqüentemente usadas para as mensagens. Eles podem dizer que há algo errado com sua conta e que você deve clicar imediatamente no link fornecido para fazer login em sua conta. O link fará com que você baixe um arquivo através do qual o malware será instalado em seu computador.

malwares

Fique atento, fique seguro

Manter-se informado é o primeiro passo para se proteger de ataques de engenharia social. Uma dica básica é ignorar qualquer mensagem solicitando sua senha ou informações financeiras. Você pode usar filtros de spam que acompanham seus serviços de e-mail para sinalizar esses e-mails. Obter um software antivírus confiável também ajudará a proteger ainda mais seu sistema. 

Experimente o GoPhish gratuitamente na AWS hoje mesmo

Serviços

Sobre a empresa

Nosso endereço

Hailbytes

9511 Queens Guard Ct.

Laurel, DM 20723

Telefone: (732) 771-9995

E-mail: info@hailbytes.com

Soluções

Perguntas frequentes sobre segurança

Redes sociais