Talvez a Engenharia Social seja mais antiga do que imaginamos, mas qual a origem de sua definição no formato que a conhecemos hoje?
A Engenharia Social é um recurso utilizado por vários golpes que se aproveitam da fragilidade emocional do ser humano para ter sucesso.
Você já notou um olhar estranho enquanto utilizava o celular no elevador?
Caso positivo, saiba que ações simples como essa caracterizam o uso de engenharia social, esteja o sujeito consciente ou não do ato.
Nunca sabemos quando uma informação relevante pode ser exposta em momentos informais.
A paranoia não é a solução
A origem da engenharia social não mente, ela sempre esteve presente, ainda que somente agora esteja ganhando o devido destaque nos estudos de ciberataques.
É difícil combater algo que acontece o tempo inteiro, portanto, conscientizar funcionários não pode significar o mesmo que deixá-los paranoicos.
O cuidado deve ser recorrente, porém orgânico na rotina de trabalho de cada um.
Neste artigo falaremos um pouco de como a engenharia social esteve presente em alguns momentos históricos e como ela ganhou a forma que conhecemos hoje.
Abordaremos:
- Como a Engenharia Social tornou-se um assunto relevante
- A Engenharia Social em momentos fictícios e históricos
- A origem do termo Engenharia Social
- Principais ataques da última década
Como a Engenharia Social tornou-se um assunto relevante
A Engenharia Social hoje, no contexto de segurança da informação, é reconhecida como um método de abordagem que explora as vulnerabilidades emocionais da vítima.
Mas nem sempre foi assim.
Desde que o termo foi utilizado pela primeira vez, teve diferentes significados, de acordo com o campo aplicado:
Sociologia
Em meados do século 19 a Engenharia Social era um termo utilizado popularmente na era do positivismo sociológico, apontando a intervenção cientifica na sociedade.
Acreditava-se que o envolvimento de cientistas nas relações humanas aceleraria o processo de evolução humana, tornando-nos mais civilizados rapidamente.
Durante a época também foi reconhecida como "Engenharia Cultural".
Psicologia
Quando seu uso em sociologia deixou de ser popular, o termo Engenharia Social ganhou novo significado dentro do campo da psicologia.
Dentro deste cenário a palavra como a ganhar a conotação mais próxima do que representa hoje, sendo utilizada para definir a manipulação social.
Sua utilização era tipicamente aplicável em discursos de ciência política e psicologia social, tratando de intervenções com o intuito de mudar os costumes sociais e culturais de um povo.
Segurança da Informação
Quando aplicada no campo de segurança da informação, o significado de Engenharia Social manteve o aspecto de manipulação.
Mas diferente do aspecto psicológico, que busca mudar comportamentos de um grande grupo de pessoas, em tecnologia tornou-se uma ação concentrável em grupos menores ou até mesmo indivíduos.
Além disso, o sucesso da prática tornou-se dependente da habilidade de influenciar e persuadir as vítimas a realizarem algo, não apenas manipular.
O origem do termo Engenharia Social
O origem da Engenharia Social em Segurança da Informação foi contextualizada e popularizada pelo hacker americano mundialmente conhecido, Kevin Mitnick.
Em seu livro "The Art of Deception: Controlling the Human Element of Security" ele define como o campo de segurança da informação se associa ao termo.
No Brasil, o livro foi publicado como "A Arte de Enganar", e o autor traz exemplos reais de como as práticas de engenharia social potencializam as ações de um hacker.
A Engenharia Social em momentos fictícios e históricos
Considerando sua definição, acredita-se que a Engenharia Social seja mais antiga do que os computadores.
É possível identifica-la em situações fictícias e históricas, como:
No livro de gênesis
No primeiro livro de gênesis, Adão e Eva foram os primeiros pecadores da humanidade ao comer o fruto proibido.
Mas o que a Engenharia Social tem a ver com isso?
Segundo o livro, a história iniciou-se pela fraqueza emocional de Eva, que durante comunicação com o Diabo disfarçado acreditou em sua história.
Na figura de uma cobra, o Diabo convenceu-a de que Deus os proibia de comer a maçã porque não queria dividir seus poderes.
E essa foi a abordagem necessária para que ela e Adão despertassem um dos sete pecados capitais: a inveja.
O enredo então resultou no casal realizando o que o Diabo queria, tornando-se um dos exemplos mais antigos de um ataque de Engenharia Social.
Ulysses na Mitologia Grega
O exército grego estava prestes a perder em um conflito contra Troia.
Foi aí que Ulysses, o líder dos soldados gregos decidiu apostar em uma estratégia, a falsa desistência da guerra.
Mas após o anúncio feito, Ulysses foi além ao presentear a realeza de Troia com um cavalo, mas não era qualquer um.
O povo de Troia recebeu um grande e pesado cavalo de madeira para amenizar os efeitos da guerra.
Foi então que no atardecer da noite, quando todos os cidadães de Troia já estavam com a guarda baixa, que descobriram que o peso do cavalo era resultado do exército que carregava dentro de si.
O presente na verdade era um esconderijo e foi então que o exército grego revidou o ataque e ganhou a guerra.
Foi assim, sem computadores ou internet que a Engenharia Social atingiu mais vítimas ao despertar sua vaidade.
Desta história também originou-se o nome de um dos malwares mais conhecidos do mundo, o Cavalo de Troia, que assim como na mitologia, envolve um arquivo disfarçado, que ao ser executado, ataca o dispositivo da vítima.
Nos anos 60
Frank Abagnale, 71 anos, é hoje um consultor de elite na segurança da informação americana, mas sua história mostra que ele nem sempre esteve deste lado.
Dos seus 15 aos 21 anos, ele tornou-se conhecido por fazer exatamente o contrário, foi um grande impostor.
Dentre seus maiores golpes, um em especial repercutiu bastante durante os anos 60.
E tudo começou quando ele passou-se por um estudante de jornalismo para coletar as informações que necessitava para aplicar um de seus maiores golpes.
Foi com os dados coletados que ele foi capaz de enganar toda a tripulação da Pan American World Airways (Pan Am), extinta e na época maior companhia aérea americana.
Durante a vivência do personagem, Frank teve acesso a diversos voos gratuitamente, fraudou contra-cheques e documentos.
Linha de Tempo: 10 empresas que sofreram ataques de Engenharia Social nos últimos 10 anos
2010 – Netflix
Durante a realização de um concurso, a Netflix cedeu voluntariamente os dados de mais de 480,000 assinantes.
Após a polêmica da ação, a empresa pontuou que os dados, que envolviam informações como as preferências dos usuários, eram anônimos.
Mas ainda sim, participantes do concurso alegaram ter entendido o processo de anonimato da plataforma e a possibilidade de identificar os indivíduos.
2011 – Sony PSN
A sony teve um dos maiores vazamentos de dados de 2011 no marketplace de seu console, Sony PSN.
Durante a realização de um concurso, expôs cerca de 1.6 milhões dados, incluindo cartões de crédito, endereços, datas de aniversário, senhas e respostas para as perguntas de segurança.
2012 – LinkedIn
Em 2012, o LinkedIn teve uma vazamento de dados de mais de 167 milhões de dados, incluindo e-mails, senhas e endereços.
Usuários da plataforma foram instruídos a alterar suas senhas e os dados foram reconhecidos pelas vítimas através do site Have I Been Pwned.
2013 – Yahoo
Mais de 3 bilhões de dados da Yahoo foram expostos em 2013, como e-mails, endereços, datas de nascimento e respostas para as perguntas de segurança dos usuários.
Mas a grande polêmica é que a empresa só descobriu o caso 3 anos depois, no final de 2016.
2014 – Sony Pictures Entertainment
Em 2014 a Sony Pictures Entertainment sofreu um pequeno vazamento de cerca de 47 mil dados.
Ainda sim, a brecha ganho grande repercussão por envolver o acesso a e-mails particulares, informações sobre filmes não lançados e o contato de celebridades.
2015 – Ashley Madison
A plataforma de relacionamentos extraconjugais teve mais de 37 milhões de dados vazados, incluindo o cartão de crédito, endereço e número de telefone dos usuários.
2016 – Comitê Nacional Democrático
O Comitê Nacional Democrático dos Estados Unidos teve muitas informações publicamente expostas, incluindo a de políticos como Hillary Clinton e o atual presidente do país, Donald Trump.
2017 – Equifax
Mais de 143 milhões de norte-americanos tiveram dados como o número de documentos, cartão de crédito, nome e endereço comprometidos após um vazamento da Equifax, uma das maiores empresas de crédito do país.
2018 – Facebook
O Facebook sofreu com ao menos 2 vazamentos de dados ao longo de 2018.
Em setembro, foram mais de 50 milhões, e em outubro, 30 milhões, totalizando ao menos 80 milhões de dados expostos.
2019 – OxyData.Io e People Data Labs
Mais de 1.2 bilhões de usuários tiveram dados como e-mail, contas em redes sociais e telefone expostos em 2019, tornando-se o maior vazamento partindo da mesma fonte.
No caso, envolvia um banco de dados compartilhado entre duas empresas agregadoras de dados: OxyData.Io e People Data Labs.
Não permita que sua empresa seja o próximo alvo da Engenharia Social
Ao longo dos últimos 10 anos diversas empresas grandes foram vítimas de ataques de engenharia social, e isso apenas reforça o seguinte: todos estão vulneráveis.
Para evitar este tipo de golpe, é muito importante que práticas recorrentes de conscientização sejam aplicadas no ambiente corporativo.
Quer ler mais sobre Engenharia Social
Dúvidas sobre como proteger sua empresa?
Consulte nossos especialistas em Segurança da Informação para descobrir o que você pode fazer hoje para proteger sua empresa deste tipo de ataque.
