Currículo
- 4 Sections
- 12 Lessons
- 6 Hours
- A engenharia social e as suas motivações4
- Técnicas de phishing e vetores de ataque5
- Implicações legais e éticas da engenharia social4
- Leituras adicionais2
Curriculum
Fundamentos e motivações da engenharia social
A engenharia social é uma técnica utilizada pelos cibercriminosos para manipular indivíduos no sentido de divulgarem informações confidenciais ou realizarem ações que comprometam a segurança. É o termo utilizado para uma vasta gama de atividades maliciosas realizadas através de interações humanas. Utiliza a manipulação psicológica para induzir os utilizadores a cometer erros de segurança ou a fornecer informações sensíveis.
As principais motivações dos ataques de engenharia social giram em torno da exploração da psicologia humana e da confiança para obter ganhos ilícitos. O ganho financeiro é uma motivação comum, com os atacantes a tentarem roubar informações financeiras sensíveis, como detalhes de cartões de crédito, credenciais de início de sessão ou informações bancárias. Outra motivação significativa por detrás dos ataques de engenharia social é o roubo de dados.
Os cibercriminosos podem visar as organizações para obter acesso a informações de propriedade, propriedade intelectual ou dados pessoais que podem ser vendidos no mercado negro ou utilizados para roubo de identidade.
Claro que saber porque é que os cibercriminosos atuam é essencial para nos defendermos das suas táticas. Igualmente importante é reconhecer as implicações éticas e utilizar os nossos conhecimentos de forma responsável. Ao promover a consciência ética, não estamos apenas a proteger os dados; estamos a defender princípios de integridade e confiança, o que é importante, não só na nossa vida profissional, mas também nas nossas comunidades. Assim, à medida que exploramos o mundo da engenharia social, é fundamental manter a ética no centro da questão.
Caraterísticas e funcionamento
Ao contrário dos métodos tradicionais de pirataria informática, que visam vulnerabilidades técnicas, a engenharia social aproveita-se da confiança inerente e da inclinação natural para ajudar os outros, o que a torna uma arma potente no arsenal do ciberataque. Os engenheiros sociais disfarçam-se frequentemente de entidades de confiança, como colegas, pessoal de apoio informático ou figuras de autoridade, para ganhar a confiança das suas vítimas e extrair informações valiosas. Exploram vários princípios psicológicos, como a reciprocidade, a autoridade e a prova social, para obter a resposta desejada por parte dos seus alvos. Ao utilizar estas táticas, podem contornar os protocolos de segurança e obter acesso não autorizado a informações ou sistemas sensíveis.
Tipos de ataques de engenharia social
Existem vários tipos comuns de ataques de engenharia social, cada um com as suas próprias caraterísticas e métodos distintos:
- phishing: neste tipo de ataques, os cibercriminosos utilizam e-mails, mensagens ou websites fraudulentos para enganar as pessoas e levá-las a divulgar informações pessoais ou financeiras, como credenciais de início de sessão ou números de cartões de crédito;
- pretexting: envolve a criação de um cenário ou pretexto fabricado para manipular as pessoas a fornecerem informações sensíveis ou a realizarem ações que normalmente não fariam;
- baiting: tentam as vítimas com promessas de algo desejável, como o descarregamento gratuito de software ou de filmes, que contêm malware ou códigos maliciosos;
- spear phishing: visa indivíduos ou organizações específicas, utilizando frequentemente informações personalizadas para aumentar a probabilidade de sucesso do ataque;
- tailgating: os criminosos obtêm acesso físico não autorizado a áreas seguras seguindo de perto o pessoal autorizado ou manipulando a sua passagem pelos pontos de controlo de segurança.
Exemplos e caraterísticas
Há muitos exemplos de ataques de engenharia social, tanto ao nível pessoal, como empresarial. Por exemplo, uma fraude de phishing comum pode incluir uma mensagem de correio eletrónico que se faz passar por um banco, pedindo ao destinatário que verifique os dados da sua conta clicando numa ligação. Da mesma forma, um esquema de pretexting pode envolver um atacante que se faz passar por um técnico de informática, alegando precisar de acesso remoto ao computador da vítima para resolver um suposto problema. As caraterísticas dos ataques de engenharia social bem-sucedidos incluem a exploração da confiança, a criação de um sentimento de urgência e a utilização de dinâmicas sociais para manipular as vítimas de modo que estas cumpram as exigências do atacante.