Você alguma vez já ouviu falar no termo engenharia social? Talvez pouca gente tenha noção do que é engenharia social. E não é para menos, porque realmente não é um termo tão utilizado a ponto de já ser de conhecimento do público geral.
Mas mesmo não sabendo o significado de engenharia social logo de cara, depois de você entender um pouco mais sobre o tema, vai perceber que sabe muito bem o que é engenharia social. Vai perceber também que muitas vezes já passou por situações onde teve contato com ela.
Antes de entrarmos no tema central deste artigo e explorarmos mais a engenharia social, o que é ela é, como funciona e quais são os possíveis tipos no mundo cibernético, vamos ressaltar que a palavra engenharia aqui não se refere bem a engenharia como você está acostumado a ouvir. Mas sim, de um tipo de manipulação, de trabalhar as informações para que a vítima caia em algum tipo de golpe ou situação de perigo.
Índice
O que é engenharia social?
Como já adiantamos, a engenharia social é uma forma de manipulação da informação e persuasão dos usuários, fazendo com que se crie um contexto propício para o ataque com a finalidade de cometer algum ato ilícito, como roubo de informações, roubo financeiro, de dados, ou até mesmo para gerar situações de pânico. Há pessoas que também dizem que ela faz uma espécie de hacking humano.
A engenharia social possui técnicas que fazem com que as pessoas caiam em armadilhas sem perceber. Isso pode ser tanto no ambiente virtual como face a face. Estudando e observando os comportamentos dos usuários com muito cuidado, quem comete crimes utilizando ataques de engenharia social, vai atacar de uma forma para ludibriar a vítima, enganar, fazer com que ela siga as ordens passadas por conta própria, sem o uso de violência ou força física.
Ou seja, as técnicas utilizadas por ataques de engenharia social envolvem a vítima de tal forma que ela sente plena confiança no que está fazendo e com quem está interagindo. Assim, não percebe que pode estar se prejudicando fortemente com suas próprias ações e acredita estar em segurança.
Aliás, a confiança é uma das principais armas dos ataques de engenharia social. Para que a dê certo, é sempre preciso conquistar a confiança dos usuários, seja se fazendo passar por outra pessoa, por uma empresa ou então usando argumentos tão convincentes que não geram dúvida em quem está do outro lado.
E quando falamos em ataques de engenharia social aplicada no mundo virtual, entra também a questão da falta de conhecimento técnico de grande parte da população. Os hackers que fazem uso de ataque de engenharia social, sabem que as vítimas não possuem o mesmo conhecimento que eles em questões relacionadas à internet. Assim, possuem esta vantagem, que é estar sempre um passo à frente dos usuários, já que podem utilizar maneiras de ataques que misturam a engenharia social e a parte técnica de alguém especializado em crimes virtuais.
Como a engenharia social funciona?
Como estamos focando neste artigo na engenharia social aplicada a golpes virtuais, vamos explicar como isso funciona e suas características.
Os ataques de engenharia social estão sempre baseados nos comportamentos das pessoas, ou seja, em como elas pensam e agem em determinadas situações as quais são expostas. Isso é a base para que o criminoso planeje o seu ataque.
O planejamento de um ataque de engenharia social passa por algumas fases, todas elas utilizam a manipulação como uma das principais ferramentas. Podemos dizer que os ataques de engenharia social passam pelas fases de observação e estudo, início de contato, exploração da vítima e finalização.
Observação e planejamento – Este é o início da preparação de um golpe. Aqui, o criminoso define o seu objetivo, e planeja como vai alcançá-lo. Para isso, ele estuda de perto o comportamento da vítima e planeja os próximos passos.
Quando falamos em observar o comportamento da vítima, não significa que ela será perseguida e que será observada o tempo todo, apesar de que isso também pode acontecer com menos frequência. Mas, na maioria das vezes, quem está se preparando para usar armas de engenharia social, acaba analisando comportamentos mais generalizados, como um todo. Ou seja, como uma pessoa se comportaria ao receber tal mensagem ou ao ser abordada de tal maneira?
Assim, são definidos os próximos passos, que levarão ao objetivo final, que costuma ser algum tipo de roubo, seja de informações ou de dinheiro, ou invasões a sistemas, ou ainda o constrangimento de uma pessoa ou alguma empresa.
Também são definidas as técnicas a serem utilizadas. Será uma aproximação por email? Por mensagem de texto? Pessoalmente? Qual será o tipo de abordagem para gerar confiança e segurança? Será utilizado algum tipo de mensagem que gere um senso de urgência? Ou de medo? Tudo isso é avaliado antes de dar início ao golpe.
Início do contato – Aqui, podemos dizer que o ataque de engenharia social começa a ser colocado em prática. É quando o criminoso começa a aproximação com a vítima, seja por e-mail, seja por telefone, mensagem de WhatsApp ou SMS. Seja como for existe uma aproximação que, usualmente, leva a uma sensação de confiança.
Quem está utilizando as técnicas de engenharia social, pode estar se fazendo passar por outra pessoa ou então por alguma empresa conhecida do usuário. Assim, a confiança pode ser estabelecida mais prontamente. Esta fase pode tanto ser curta, como mais prolongada, dependendo do objetivo final do ataque virtual.
Uma característica comum de ataques de engenharia social, é utilizar algumas emoções que fazem com que a vítima não consiga pensar muito bem antes de agir. Entre elas estão a urgência, o medo, o pânico e a vontade de fazer parte de algo e não perder oportunidades. Isso é sempre utilizado nesta fase com o usuário.
Exploração – Aqui é onde, de fato, o crime acontece. Após o período de observação, planejamento e estabelecimento de contato (lembrando que tudo isso pode acontecer muito rápido, como em um único e-mail, ou então demorar muito tempo a se concretizar), vem a parte onde a vítima acaba entregando o que o criminoso quer, ou agindo como ele quer, sem ao menos perceber.
Como os ataques de engenharia social não envolvem a violência física, as coisas se desdobram de uma maneira que a vítima age por conta própria, clicando em algum link que vai infectar seu computador, enviando dados pessoais ou de sua conta bancária, transferindo dinheiro, etc.
Quando perceber que foi enganada, já é tarde demais para a pessoa que caiu em um ataque de engenharia social.
Finalização – Com o objetivo alcançado, ocorre um afastamento entre criminoso e vítima. Seja um email que não chega mais, uma mensagem que para de ser recebida ou uma pessoa que você parecia conhecer e confiar que some de repente.
Aqui, o crime é finalizado e, como o criminoso já atingiu seu objetivo, não tem mais motivo de ter qualquer tipo de contato com a vítima.
Mais uma vez, é importante lembrar que todo esse processo, apesar de parecer longo, pode se dar em apenas uma troca de e-mail. Mas também há casos onde isso se estende por muito tempo, através de conversas em redes sociais ou aplicativos de mensagens, por exemplo.
Tipos de Engenharia Social
Para exemplificarmos melhor os ataques de engenharia social, vamos falar sobre alguns tipos que são utilizados com certa frequência. Assim, você vai perceber como eles atuam.
Conhecer os tipos de ataques de engenharia social utilizados no golpes virtuais é o primeiro passo para se proteger contra eles, já que mesmo com proteções como antivírus e VPNs, eles ainda assim podem chegar até você e seus dispositivos eletrônicos.
É importante lembrar que a engenharia social está envolvida em praticamente todos os tipos de ataques e golpes virtuais. Quase todos eles se utilizam das técnicas de engenharia social para atingir seus objetivos. Assim, como é grande a lista com os tipos de ataques de engenharia social, exemplos são fundamentais para entender melhor.
Novas formas surgem a cada momento e, por isso, não é possível conhecer todas elas. O que podemos fazer é saber como algumas funcionam para termos mais chance de identificá-las quando uma ameaça como esta chegar até nós.
Phishing
O phishing é um dos golpes virtuais mais utilizados hoje em dia. No phishing, os golpistas fingem se passar por outra pessoa ou por uma empresa, para ganharem a confiança do usuário e fazerem com que eles enviem informações pessoais, dados de cartão de crédito ou cliquem em links perigosos que espalham malware.
O phishing pode acontecer através de mensagens de e-mail, de sms ou outros aplicativos de mensagens de texto ou até mesmo com a comunicação direta. Por vezes, utilizam um site falso ou formulários que copiam algum original e confundem as pessoas, que fornecem seus dados voluntariamente ou acabam infectados por malware.
Um exemplo comum de phishing são e-mails enviados como se fossem de um banco ou instituições financeiras, avisando que o seu cartão de crédito está bloqueado ou que foi clonado e que, para liberar, você deve clicar em um link e colocar seus dados.
Utilizar mensagens que trazem emoção ao usuário, como o medo, a urgência e o pânico, são ferramentas de engenharia social utilizadas nos ataques de phishing. Atenção a esses sinais!
O phishing pode acontecer também de uma maneira mais direcionada, mais bem planejada e não enviado como spam, como normalmente acontece. Neste caso, ele é chamado de spear phishing e trata-se de um ataque um pouco mais elaborado e personalizado de phishing.
Vishing
O vishing é um phishing que utiliza mensagens de voz para convencer as pessoas. Também pode ser o uso de voz com uma pessoa real, se fazendo passar por outra para enganar o usuário. Esta técnica muitas vezes é bem sucedida porque as pessoas têm mais segurança quando estão falando com outra e não somente com mensagens.
Smishing
Da mesma forma que o vishing, o smishing é uma variação do phishing de e-mail, onde os hackers utilizam mensagens de texto para chegar até a pessoal. Essas mensagens podem ser através de SMS, de aplicativos de mensagens como o WhatsApp ou ainda conversas em inbox de redes sociais. As mensagens podem solicitar envio de informações ou então espalhar malware.
Pretexting
A palavra pretexting vem da palavra pretexto. Isso significa que, nesta técnica de ataque de engenharia social, a pessoa é convencida através de pretextos muito bem elaborados, que convence de que o fato é verdadeiro. O pretexting é utilizado em golpes envolvendo premiações, indenizações e heranças. Uma história é contada, e a pessoa acaba se envolvendo e acreditando que se trata de algo sério e confiável.
Sextorsion
O termo sextorsion vem de extorção sexual, como dá para perceber. Esta é uma prática que visa chantagear e extorquir alguém em troca da não divulgação de imagens de teor sexual. Isso pode acontecer com um vazamento de informações e também utilizando táticas de ataques de engenharia social que fazem com que a pessoa envie as imagens por conta própria.
Tanto pessoas famosas e importantes, quanto pessoas anônimas podem ser vítimas de sextorsion. Por isso, é preciso ter muito cuidado com quem compartilhamos informações, já que crime pode acontecer tanto com o envio das imagens de maneira espontânea, quanto por invasões aos dispositivos.
Tailgating
O tailgating não é uma prática tão comum de ataque de engenharia social como as outras, que acontecem em ambiente virtual e com maior frequência. Mas vale explicar mais sobre como funciona.
No inglês, tailgating significa andar grudado ao veículo que está à frente. E no ataque de engenharia social, é a mesma coisa. Aqui, os criminosos se aproveitam de uma proximidade para cometer alguma invasão. Um exemplo disso, são pessoas que se aproveitam de alguma oportunidade para entrar em um local em uma organização à qual não teriam acesso se não estivessem junto a outra pessoa. Aí então, comentem o crime.
Quid pro Quo
Este golpe, diz respeito ao fato de conseguir uma coisa em troca de algo. A expressão quid pro quo significa “toma lá, dá cá”. Ou seja, quando estamos falando de segurança virtual e crimes que ocorrem no ambiente virtual, o quid pro quo são aqueles que oferecem algo em troca do usuário enviar alguma informação.
Normalmente, oferecem alguma recompensa em troca. Como por exemplo, responder uma pesquisa em um formulário em troca de algum prêmio. Porém, a recompensa nunca vem. Pelo contrário, as pessoas sempre saem prejudicada com seus dados roubados ou expostos, assim como seu dispositivo infectado com algum malware.
Spoofing
O spoofing é mais um tipo de crime cibernético que utiliza ferramentas de engenharia social para convencer a vítima. Neste caso, o usuário entra em um site, ou recebe um e-mail falso, mas acredita que ele é verdadeiro, pois é uma cópia do original.
Assim, acredita que está em um ambiente seguro e segue as instruções solicitadas. No spoofing sempre há alguém ou algum site ou e-mail se fazendo passar por outra pessoa ou por outra empresa.
Um exemplo são e-mails fingindo ser de alguma empresa que incluem links para acesso de um site que você confia, porém, não é o site original e o usuário acaba enviando suas informações para o criminoso ou tendo seu dispositivo atacado por malware e vírus.
Dumpster diving
Esta técnica de ataque é uma das mais antigas e consiste em realmente revirar lixos, papéis ou outras informações descartadas em busca de algo que possa ser utilizado para tirar vantagens. Em inglês, o termo dumpster diving significa mergulhar no lixo e é realmente isso que ocorre.
Muitas vezes, descartamos papéis e documentos que contém informações a nosso respeito, como nome, endereço, CPF e outros. Isso pode ser usado por criminosos contra você.
Exemplos de engenharia social
Agora que conseguimos passar pelo tema do significado de engenharia social, as técnicas que são utilizadas e os principais objetivos dos criminosos, vamos exemplificar mostrando como isso é utilizado no meio virtual.
E-mail malicioso
O recebimento de qualquer e-mail que te cause sensação de que pode haver algo estranho, deve ser levado em consideração. Isso porque o e-mail é uma das principais formas de acesso às pessoas com ataques de engenharia social.
Um e-mail que se faz passar por uma empresa com a qual você tem contrato, ou com uma loja que você costuma comprar, uma organização ou até mesmo com pessoas que você tem relacionamento. Esses e-mails costumam te convencer a alguma ação, como baixar um anexo que contém malware, clicar em um link ou levar a um formulário para você inserir suas informações. Na maioria das vezes, a vítima não percebe que está caindo em um golpe por se tratar de imitações muito bem feitas.
Ligações telefônicas fingindo ser de banco
Este é um exemplo bastante comum de ataque de engenharia social. Neste caso, a pessoa recebe uma ligação como se fosse do seu banco. Na conversa, ela é convencida de que algo aconteceu com sua conta bancária, seu cartão de crédito ou débito e que, para bloquear e solicitar um novo, deve passar algumas informações à pessoa que está na linha.
Neste momento, como as pessoas acreditam estar realmente falando com um funcionário do seu banco, passam as informações solicitadas e são roubadas. Normalmente, pessoas idosas caem bastante neste golpe de engenharia social, pois são facilmente convencidas e, com isso, são uma presa fácil.
Fazer se passar por agência do governo
Muitas vezes, os ataques de engenharia social utilizam do poder que um funcionário do governo teria para falar com a vítima. Neste cenário, se fazem passar por alguém que trabalha em alguma agência governamental e entram em contato com a pessoa dizendo ter uma multa, ou alguma restituição do IR a receber, ou ainda algum formulário que tenha que ser preenchido.
Causar medo ou senso de urgência
Seja por e-mail, por mensagem de SMS, WhatsApp, telefone ou redes sociais, um ataque de engenharia social vai chegar até os usuários sempre causando alguma emoção como medo, pânico ou um senso de urgência que a leve a agir sem pensar muito.
Imagine um e-mail que chega falando que você ganhou algo muito valioso, mas que para receber, tem que clicar nos próximos minutos em algum link para não perder a oportunidade. Ou uma mensagem de SMS dizendo ser dos Correios e que, para liberar uma entrega sua, você tem que clicar em um link e preencher um formulário, caso contrário, pagará uma grande multa. Se perceber um desses sinais, tenha cuidado.
Mexer com a curiosidade
Outro jeito de utilizar emoções para conseguir atingir os objetivos com o ataque de engenharia social é através da curiosidade. Mensagens induzindo a vítima a clicar em um link para ter uma informação exclusiva, ou para ver uma imagem que viralizou, são jeitos comuns que causam um grande estrago nos dispositivos das pessoas afetadas.
Fingir ser uma marca conhecida da vítima
A estratégia de se fazer passar por uma marca ou uma empresa com a qual os usuários já têm estabelecida uma relação de confiança, é um dos meios de a engenharia social agir. Assim, não há a necessidade de perder tempo criando um vínculo de confiança, já que a vítima acreditou se tratar de algo confiável e seguro.
Alguns exemplos são e-mails de empresas com as quais a pessoa tem contratos de serviços, como de telefonia por exemplo, ou então lojas nas quais já é um cliente. Qualquer comunicação que chegue se fazendo passar por destinatários que já são de confiança, têm grandes chances de fazer com que eles sigam as instruções e entreguem o que está sendo pedido.
Promessas financeiras
Você já recebeu alguma mensagem dizendo que você ganhou algum sorteio de empresas e que, para receber o prêmio, precisa fornecer algumas informações? Ou algo similar a isso? Pois existe uma grande chance de se tratar de um golpe cibernético envolvendo engenharia social.
Tudo que aparecer repentinamente prometendo prêmios, lucros, e valores em dinheiro, desconfie. Assim como pessoas que entram em contato pedindo ajuda para receber prêmios.
Maior ataque de engenharia social no Brasil
Os ataques de engenharia social têm crescido no Brasil nos últimos anos, assim como no resto do mundo. Além dos ataques individuais e spams que ocorrem com a população diretamente, alguns grandes ataques envolvendo organizações e empresas governamentais e empresas também ocorrem.
Um dos grandes ataques de engenharia social no Brasil ocorreu em 2022, quando mais de 223 milhões de cidadãos brasileiros tiveram os seus dados de CPF expostos, junto aos seus nomes, sexo, data de nascimento, benefícios recebidos, escolaridade, renda, entre utras informações. O fato trouxe grande prejuízo a muita gente.
Não se sabe ao certo como este grande vazamento ocorreu, mas existe uma grande chance de ter ocorrido ataque de engenharia social e manipulação de funcionários, que acabaram por abrir algum tipo de brecha na segurança das informações.
Como se prevenir da engenharia social?
Apesar de não termos como nos prevenir 100% dos ataques cibernéticos que envolvem a engenharia social, podemos tomar algumas atitudes para reconhecermos os riscos e não termos atitudes impulsivas na Internet.
Cuidado com links e anexos de e-mails
A atenção com o que você recebe, seja através de e-mail, mensagem de texto ou até ligação telefônica, é fundamental na hora de se prevenir contra ataques de engenharia social.
Apesar de inofensivos, e-mails podem apresentar grandes riscos se optamos por clicar em qualquer link e abrir qualquer anexo, mesmo sem verificar se é seguro. A sugestão é realmente ter atenção redobrada na hora de clicar em um link ou abrir um anexo do e-mail. Confira se o destinatário é correto, se o arquivo é seguro e não forneça informações privadas por este meio.
Não compartilhe informações pessoais em redes sociais
As redes sociais são uma porta de entrada para ferramentas que o ataque de engenharia social utiliza. Através delas, é possível conhecer muita coisa sobre os usuários, sua rotina, sua família, seus hábitos. Por isso, tente compartilhar o mínimo possível de sua vida privada na rede social. Além disso, mantenha seu perfil fechado somente para quem realmente você conhece.
Não confie em quem você somente conhece online
Ataques de engenharia social utilizam a manipulação como arma. Por isso, é tão fácil convencer alguém em uma conversa online. Por isso, sempre que começar a manter uma conversa online com alguém que você não conhece de fato, tenha cautela.
Existem casos onde a conversa pode durar meses e até mesmo anos. Esse tempo varia de acordo com o tempo necessário para ganho da confiança. Então, mesmo que você ache que conhece bem a pessoa que está falando online, cuidado.
Tenha senhas fortes
O uso de senhas fortes para se prevenir de qualquer tipo de crime virtual é uma das mais básicas, mas, mesmo assim, vale a pena ressaltar novamente, já que a invasão de e-mails e outras contas como contas bancárias, é o primeiro passo em muitos crimes.
Tente variar no uso das senhas e não tenha a mesma para todos os seus acessos. O uso de letras maiúsculas, minúsculas, números e caracteres especiais também é altamente recomendado.
Use autenticação de dois fatores
A autenticação de dois fatores é uma ferramenta importante de prevenção contra crimes virtuais. Com ela, você garante que seus acessos estejam protegidos e que, se alguém tentar entrar em alguma conta sua, você receba um aviso em seu telefone ou e-mail para fazer a liberação.
Usar a autenticação de dois fatores pode prevenir de ter seus dados roubados por um invasor, contas clonadas, entre muitos outros crimes e golpes que acontecem na Internet.
Cheque se realmente a pessoa ou empresa com quem está falando é real
Se você recebeu um e-mail oferecendo algo, ou então com uma mensagem que te causou emoções como pânico, medo, ou então curiosidade, a melhor coisa a fazer é esperar um pouco antes de fazer a ação sugerida pelo e-mail ou mensagem.
Espere, respire e faça uma checagem também do domínio dos sites para garantir a segurança. Será que realmente foi o seu banco que enviou aquele e-mail sobre o cartão de crédito bloqueado ou que solicitou dados da sua conta bancária? Ou será que a loja que entrou em contato por WhatsApp é realmente verdadeira? ou ainda, será que a pessoa da família te pedindo um Pix é real ou é alguém se fazendo passar por ela? Fazer esse tipo de checagem pode evitar muitos problemas.
Mantenha seu antivírus atualizado
Esta também é uma dica que todo mundo conhece, mas que muitos deixam passar por ignorar avisos de atualização ou por não querer investir em bons sistemas de antivírus para seus dispositivos.
É muito importante manter sistemas de antivírus atualizados em seu computador, celular ou qualquer outro dispositivo. Ele vai ajudar a identificar e eliminar possíveis ameaças que chegam até você por mensagens e e-mails, assim como eliminar malware.
Use uma VPN
Não há soluções mágicas para a segurança virtual, porém, navegar com uma VPN vai tornar a sua experiência muito mais segura. Hoje em dia, a VPN já se tornou muito mais acessível a um número maior de pessoas e ela pode ser a chave para uma navegação com privacidade e segurança.
Com o acesso através de um servidor VPN, você conta com a proteção do seu endereço de IP, já que se conectará com outro IP, que estará localizado em um dos servidores oferecidos. Esses servidores estão espalhados por diversos países no mundo e você pode escolher de onde quer se conectar.
Além da proteção do endereço de IP, a VPN utiliza técnicas de proteção como o uso de criptografia de ponta, que faz com que qualquer mensagem não possa ser descriptografada. As vantagens de uma VPN são muitas em relação à segurança cibernética e vale a pena pensar em usar uma caso ainda não o faça.
Eduque-se sobre a engenharia social
Mesmo tomando várias atitudes para proteger os seus dispositivos, a principal arma contra ataques de engenharia social é a educação. Isso porque todas as informações de crimes cibernéticos são relativamente novas e mudam a todo tempo, com o surgimento de novas técnicas.
Conhecer as ameaças que existem é o primeiro passo para evitá-las e navegar em segurança. Hoje em dia, existem cursos online sobre como se proteger de ataques de engenharia social e hackers. Esses cursos são ótimas formas de se educar sobre o assunto e estar preparado para enfrentar essa nova realidade de crimes virtuais que utilizam ataques de engenharia social.
A Surfshark oferece um curso para prevenir ataques de engenharia social que pode ser feito online. Apesar de estar somente disponível em inglês, é uma ótima opção para entender melhor o assunto com informações e vídeos didáticos para evitar cair em ataques online.
FAQ
Ataques de engenharia social são considerados crimes?
Sim, ataques virtuais com o uso da engenharia social como phishing, smishing e muitos outros golpes, são considerados crimes virtuais. Eles possuem penas previstas pela legislação que variam de acordo com o tipo de crime que o autor praticou e gravidade.
Quem é mais afetado por ataques envolvendo engenharia social?
Os maiores alvos que caem em ataques virtuais costumam ser tanto pessoas idosas, que não possuem muito conhecimento do mundo virtual, como pessoas de qualquer idade que não prestem atenção em detalhes antes de agir online. Infelizmente, quaisquer pessoas podem ser alvos de golpes virtuais, até mesmo pessoas que entendem bastante deste universo.
Como não cair em ataques online que envolvam engenharia social?
A melhor maneira de evitar cair em ataques que envolvam a engenharia social e ter mais segurança, é a informação. Informar-se sobre como se prevenir e utilizar ferramentas de prevenção e segurança enquanto navega na Internet podem ajudar muito. Além disso, é preciso também ter uma atitude preventiva em relação a e-mails, mídias sociais e mensagens recebidas. A cibersegurança depende tanto de cuidados com as ameaças nos seus dispositivos quanto com a sua atitude.
