Quais sentimentos a Engenharia Social consegue despertar para persuadir suas vítimas?
Um ataque de Engenharia Social resulta no sucesso do criminoso em persuadir as vítimas a realizarem o que desejam.
A persuasão por si, é um processo, conhecido também como teoria da persuasão na psicologia.
Para que alcance o objetivo, a prática pode envolver uma vítima emocionalmente de diversas maneiras, e isso faz com que qualquer um seja vulnerável a ela.
Para conhecermos alguns dos sentimentos explorados pela Engenharia Social, separamos:
- O que é Engenharia Social em Segurança da Informação
- Como Funciona um ataque de Engenharia Social
- Quem é quem em um ataque de Engenharia Social
- Os sentimentos explorados pela Engenharia Social
Seguimos.
O que é Engenharia Social em Segurança da Informação?
A Engenharia Social que conhecemos hoje é utilizada para definir ataques que se utilizem da fragilidade emocional humana para acontecer.
Mas antes de desenvolver a temática, é importante contextualizar o significado de segurança da informação:
É uma série de práticas que visa a proteção de todos os tipos de dados que a empresa armazene.
A base da segurança da informação em 4 pilares:
- Confidencialidade
- Integridade
- Disponibilidade
- Autenticidade
Por esses princípios que o fator humano torna-se uma parte tão importante no processo de segurança de dados.
É difícil imaginar sua eficiência sem pensar na importância das pessoas e em sua vulnerabilidade como alvos.
Por exemplo, sabe aquele modelo novo do iPhone que você viu antes da Apple divulgar?
Provavelmente partiu de um funcionário que foi alvo de um ataque de engenharia social.
Isso pode gerar prejuízos na empresa já que a concorrência terá acesso ao modelo e pode pensar em um lançamento parecido e até prévio ao Iphone, tirando toda a exclusividade do produto.
Mas é a partir de reações simples (como a desatenção) que ataques de diferentes dimensões podem ocorrer.
Não por acaso que diversos produtos no mercado, como os próprios iphones, já são hoje armazenados em locais que poucas pessoas têm acesso.
E se todos podem ser vítimas de ataques de Engenharia Social, isso nunca irá resolver o problema mas, mas pode ajudar na hora de identificar a origem da vulnerabilidade.
E é por este raciocínio que chegamos a Engenharia Social.
É possível separar as ameaças na segurança de dados em duas categorias: tecnológicas e humanas.
A primeira, envolve recursos tecnológicos e por isso exige maiores habilidades do criminoso, já as ameaças humanas – também conhecidas como fator humano, exigem pouco ou nenhuma habilidade tecnológica do infrator.
Não é só para o mal
Embora desde sua origem tenha sido utilizada para fins negativos, as técnicas de Engenharia Social podem e já são incorporadas em muitas situações benéficas.
Traçar o uso de dispositivo de uma pessoa desaparecida, por exemplo, pode auxiliar na busca.
A polícia pode se beneficiar do recurso para muitas investigações.
E empresas podem oferecer treinamentos internos mais realistas ao aplicar nos próprios funcionários ou em processos seletivos, tudo depende dos dados coletados e a finalidade da ação.
Como funciona um Ataque de Engenharia Social na Segurança da Informação
Para entendermos como os ataques de Engenharia Social, ainda que semelhantes, possam ter impactos diferentes, é importante compreender que seu sistema funciona na base de tentativa e erro:
Coleta de informações, planejamento de ataques, aquisição das ferramentas necessárias, ataque, uso das informações coletadas.
Sendo assim, novas tentativas de ataques podem ser mais convincentes por trazerem elementos que as tornem mais verídicas, com os dados coletados na tentativa anterior.
Quem é quem em um ataque de Engenharia Social
O Engenheiro Social
Apesar do nome, um engenheiro social não é um especialista na área de roubar informações.
Até porque a formação ainda não existe. Ao menos não formalmente.
Mas para que alguém execute ataques de engenharia social, algumas habilidades podem ser necessárias:
- Capacidade de contar uma boa história de maneira convincente.
- Habilidade para utilizar as informações coletadas a seu favor.
- Poder de persuadir para conseguir que as ações sejam voluntárias.
- Inteligência analítica necessária para estudar o alvo ou público-alvo com precisão.
A Vítima de Engenharia Social
A engenharia social está presente em todo lugar, qualquer sinal ou ação pode ser o suficiente para que alguém obtenha alguma informação da vítima.
A maior brecha dos sistemas de segurança não é sua tecnologia, mas as pessoas.
Todos os seres humanos possuem características (como o gosto por algum estilo musical), padrões de comportamento e psicológicos. É na observação dessas características que um engenheiro social obtêm o que precisa.
Seja o colaborador um profissional da área técnica ou mais humanizada, todos estão sujeitos a falhar na proteção contra um ataque deste tipo, pois possuem vulnerabilidades humanas.
Em situações cotidianas, vítimas podem ser feitas:
- Quando desatentos – em modo “automático” na realização de suas tarefas.
- Ocasião em que não verificam a autenticidade das mensagens recebidas.
- Ao passo que vivenciam algum problema pessoal e a mensagem soa como a oportunidade de melhorar as coisas.
- No momento em que se sensibilizam com a mensagem recebida e tem intenções de ajudar.
- Na hora em que precisa de ajuda e não possui muitas habilidades técnicas.
Sentimentos explorados pela Engenharia Social
A Engenharia Social explora vulnerabilidades emocionais da vítima e usa como isca assuntos atuais, promoções ou até mesmo falsas premiações.
Por não exigir conhecimentos técnicos, a engenharia social também existe sem tecnologia, algo conhecido como no-tech hacking.
Por ser tão simples, as vítimas de um engenheiro social podem demorar a duvidar da comunicação.
E talvez até chegar a isso, o criminoso já a terá atingido através de diferentes emoções, sendo algumas delas:
Curiosidade
Quase todo ataque de engenharia social inicia a partir da curiosidade do alvo. No caso de phishing, por exemplo, é o benefício imperdível que ele poderá adquirir naquele momento, se seguir as instruções.
Após a surpresa inicial, o usuário certamente vai ter curiosidade para entender melhor do que se trata a mensagem recebida. E para validar sua opinião, ele pode acabar clicando em algum link malicioso ou preenchendo algum formulário.
Preguiça
Por que um funcionário iria digitar as senhas manualmente toda vez que forem acessar alguma coisa?
Ou até mesmo optar voluntariamente pela autenticação de dois fatores se tudo pode ser preenchido automaticamente?
Com atalhos nos tornamos, na maioria das vezes, mais vulneráveis.
Cortar caminho nem sempre é o melhor a ser feito.
É importante que todos sejam conscientizados não apenas sobre as medidas a serem tomadas na rotina dentro da empresa, mas também, a importância de cada uma delas.
Solidariedade
Ajudar um colega de trabalho é uma prática simples e naturalmente aplicada em um ambiente saudável.
Mas não só isso.
Como já dizia um velho ditado “Quando a esmola é demais, o santo desconfia”.
E o engenheiro social utiliza muito bem o recurso ao criar campanhas de doações falsas, descontos imperdíveis que serão revertidos em prol de alguma causa, etc.
É importante despertar nos funcionários o entendimento da importância de se questionar tudo com o que interagem ao longo do dia.
Até mesmo na voluntária ajuda alheia.
Vaidade
O modelo mais recente de um smartphone ou o luxo de realizar alguma atividade são características que envolvem a vaidade da vítima.
Funcionários podem ser seduzidos por uma oferta de empréstimo, compra ou até mesmo um novo emprego.
É pensando na própria fragilidade que todos devem ser conscientizados sobre separar o que precisam do que podem ter em um outro momento. pois a engenharia social utiliza muito bem a vaidade ao seduzir as vítimas a partir do consumo.
Ansiedade
Em uma realidade em que o problema de grandes cidades e muitos ambientes corporativos é a ansiedade, a engenharia social aproveita-se muito do fato.
Tudo deve ser feito rapidamente, as ofertas são irrecusáveis e a sensação de urgência torna-se protagonista a ponto de muitos não atentarem-se ao que chega a eles.
É neste momento que as maiores vítimas são pegas, na pressa do momento, pois não são capazes de criar suspeitas sobre a situação.
O Brasil no foco dos ataques de Phishing
A vulnerabilidade do Fator Humano
Todos estamos sujeitos a cair em um golpe de Engenharia Social, uma comunicação poderosa não separa o CEO de um outro profissional.
É por isso que os treinamentos de inteligência emocional, ao lado da conscientização e softwares preventivos podem ser essenciais para a segurança de dados de sua empresa.
Quer saber como a Compugraf pode ajudar na tarefa de encontrar as melhores soluções para sua empresa? Fale com nossos especialistas!