No jargão popular, esse é o famoso "171", uma alusão ao artigo de mesmo número no Código Penal Brasileiro, que define o crime de estelionato ("Obter, para si ou para outrem, vantagem ilícita, em prejuízo alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil, ou qualquer outro meio fraudulento").
Embora seja uma técnica antiga e muito comum entre fraudadores e criminosos tradicionais, na comunidade de segurança da informação esse tipo de ataque ficou muito popular graças as ações do hacker Kevin Mitnick nos anos 90, que escreveu alguns livros excelentes sobre o assunto.
O principal objetivo dos ataques de engenharia social é subverter o fator humano da segurança, através de técnicas de manipulação com o uso de fatores psicológicos e comportamentais. Assim, o criminoso consegue explorar as pessoas para viabilizar golpes contra indivíduos e empresas.
Várias fraudes que nós já conhecemos no nosso dia-a-dia são casos típicos de engenharia social. Por exemplo:
- Golpe do falso sequestro: um criminoso liga para um número aleatório e, quando a pessoa atende, ele fala que sequestrou o filho da pessoa do outro lado. Ao fundo, você pode ouvir muito barulho, gritos e o choro da possível vítima. Assustada, a vítima começa a conversar com o criminoso, acaba inclusive dando o nome do possível parente sequestrado ("Você sequestrou o Joãozinho? Ele está bem?"). Isso tudo para exigir o pagamento de um resgate - de alguém que nunca foi sequestrado e provavelmente está bem e seguro em casa, assistindo novela.
- Roubo de conta do Whatsapp: O criminoso liga para a vítima, dizendo ser de alguma empresa (ex: OLX, Mercado Livre) e diz que vai mandar um código de segurança para aprovar o anúncio, que na verdade é o código de segurança do WhatsApp. Se a vítima for convencida, o criminoso usa esse código para roubar a conta do Whstaspp e começa a pedir dinheiro emprestado para seus amigos e parentes (outro golpe de engenharia social na sequência!)
- Golpe do falso atendente do banco: O criminoso liga para o correntista, dizendo ser do banco em que tem conta, e avisa que o cliente foi vítima de uma fraude (que não é verdade). Para estornar a suposta transação fraudulenta, o falso atendente precisa que o cliente forneça a sua senha.
- O falso atendente nas redes sociais: Parecido com o exemplo anterior, nesse caso os criminosos criam perfis falsos em nome do banco ou da instituição, ou dizendo ser do time de suporte. Através das redes sociais, entram em contato com clientes e fazem se passar por atendentes do banco para conseguir descobrir a senha da conta da vítima.
- A ligação do diretor: o criminoso liga para o suporte técnico da empresa, fala que é o diretor e que está em uma reunião importante, mas sua senha na rede não está funcionando. Assim, o criminoso convence o funcionário a trocar a senha do diretor por uma senha conhecida pelo criminoso. Assim, ele conseguirá invadir a rede da empresa.
- Phishing: Os criminosos mandam mensagens por e-mail, SMS e redes sociais com alguma mensagem para que a vítima clique em um link malicioso. Pode ser uma mensagem compartilhando as fotos da festa da turma, ou com um pedido para você atualizar o token de segurança do seu banco, etc.
O "engenheiro social" geralmente é uma pessoa com habilidades de comunicação, bom papo e empatia, e bom domínio das técnicas de persuasão. Normalmente a vítima nem percebe que foi enganada.
Muitos criminosos são especializados nessa arte de convencer e enganar as suas vítimas, e existem várias técnicas para manipulá-las. Veja, por exemplo, a lista abaixo com os ataques de engenharia social mais comuns:
- "Pretexting" (personificação): O fraudador se passa por pessoas ou empresas de confiança da vítima, para esconder o verdadeiro propósito ou lógica por trás de suas ações. Esse ataque é muito usado pois, quando a vítima, acredita que está em contato com alguém de confiança, ela fornece mais facilmente os dados para o engenheiro social, sem perceber que se trata de um golpe;
- Intimidação: O criminoso se faz passar por uma figura de autoridade para coagir suas vítimas;
- Empatia: Ao contrário da intimidação, muitas vezes o fraudador pode ganhar a confiança da vítima tentando se aproximar dela de forma amigável, apelando ara o lado sentimental, elogiando para fomentar o ego da vítima, ou oferecendo ajuda para ganhar sua confiança;
- "Baiting" (ou isca): Usado para seduzir a vitima com promessas de oferecer algo de valor, ou oferecendo um presente para conquistar a sua confiança. O criminoso pode, também, deixar em um local do escritório um pen-drive (ou um brinde com interface USB) com um malware pré-implantado, com objetivo de infectar o computador da vítima;
- "Quid Pro Quo": Prometendo algo à vitima em troca de sua ajuda. É o "toma lá, dá cá";
- "Blackmailing" (ou chantagem): O criminoso pede algo e ameaça revelar alguma coisa que a vítima deseja manter em segredo, ou que causaria dano a ela;
- "Shoulder surfing": Aproveitando a distração, o criminoso olha o que a vítima faz no computador, "por cima dos ombros", como acessar informações ou enquanto digita uma senha;
- "Dumpster diving": O invasor meche no lixo da sua empresa, buscando informações que podem ter sido descartadas, como documentos, anotações em papel ou post-its, etc;
- "Tailgating": Técnica de conseguir acesso físico ao escritório da empresa, quando indivíduos não autorizados seguem algum funcionário e "pega carona" no seu acesso, como quando a pessoa segura a porta para a suposta colega de trabalho;
- Roubo de identidade: Nesse processo, após roubar as informações pessoais da vítima, em seguida o engenheiro social utiliza essas informações para fazer se passar por outra pessoa e cometer fraudes e atos ilícitos;
- Phishing: Um exemplo clássico de engenharia social por meios tecnológicos. Um cibercriminoso cria uma mensagem (e-mail, SMS ou redes sociais) com conteúdo atrativo para a vítima, que acredita estar diante de um e-mail legítimo e, assim, clica no link malicioso ou baixa o arquivo anexo a mensagem;
- Vishing: É o nome dado ao ataque de "phishing" realizado por ligação telefônica. O criminoso liga para a vítima se fazendo passar pela central de atendimento do banco, da empresa de telefonia ou qualquer outra empresa já utilizada pela vítima, com objetivo de enganá-la e aplicar golpes. É o caso do golpe da "falsa central de atendimento". Golpes mais sofisticados incluem o uso de ferramentas que simulam o atendimento automatizado de centrais telefônicas, com mensagens pré-gravadas e opção do cliente fornecer a sua senha digitando no teclado do telefone;
- Spoofing: quando o criminoso consegue esconder a real origem de seu acesso, seja mascarando o seu endereço IP ou trocando a identificação de seu número telefônico em uma chamada ou mensagem de SMS.
Alguns fatores psicológicos favorecem o criminoso especializado em engenharia social, tais como:
- Falta de atenção
- Medo de punição ou dano
- Sentimento de empatia com o criminoso
- Vontade de ajudar ao próximo
- Possibilidade ganhos
- Sempre desconfie e seja vigilante;
- Sempre siga os processos existentes, mesmo que pareçam burocráticos;
- Verifique a identidade da pessoa, se ela é quem ela reivindica ser, se é um funcionário atual e se a pessoa está autorizada a fazer uma solicitação;
- Desconfie quando seu interlocutor te pede muitas informações;
- Não compartilhe informações pessoais e corporativas com outras pessoas e tenha cuidado dobrado quando pedirem informações confidenciais;
- Mantenha sempre a calma e evite distrações;
- Resista a pressão (por exemplo, "a sua conte será encerrada" ou "vou avisar o seu chefe que você não colaborou");
- Questione as solicitações que receber, independente do cargo, importância ou urgência que a outra pessoa alega ter;
- Não dê acesso ao escritório para pessoas não identificadas, e denuncie quando encontrar alguém estranho no ambiente;
- Mantenha documentos em gavetas e armários trancados, além de exercer uma política de "mesa limpa";
- Sempre tenha cuidado com o manuseio e o descarte de documentos, e nunca deixe expostos documentos com informações confidenciais;.
- Quando não estiver usando, minimize as janelas dos aplicativos e browsers em seu computador., para que não vejam as suas telas;
- Ao sair da mesa, sempre bloqueie o acesso ao equipamento.
- Assista o excelente filme "Prenda-me se for capaz", de 2002, que conta a história do fraudador americano Frank Abagnale Jr., que praticou diversos golpes nos anos 60, incluindo fraudes contra a companhia aérea Pan Am, aonde fingiu ser piloto e fraudava cheques para receber salário da empresa. Os gifs animados desse post foram tirados desse filme;
- Artigo na The Hack, em parceria com a Compugraf: "Engenharia social: o guia definitivo sobre a ameaça que assola a segurança da informação"
- Segurança da informação vs. Engenharia Social - Como se proteger para não ser mais uma vítima
- Como se proteger dos ataques de engenharia social?
- Ataques de Engenharia Social: tudo que você precisa saber!
- Engenharia Social: O que é? Conceitos, técnicas e como se proteger.
- Guia Completo da Engenharia Social (Compugraf)
- Veja esse vídeo curtinho da Compugraf:
- Fique atento para não ser uma vítima de Phishing, Smishing ou Vishing (adicionado em 03/07)