Aula sobre Engenharia Social

Bem-vindos à aula de Engenharia Social! Hoje, vamos explorar os fundamentos dessa prática, entender como os atacantes a utilizam e aprender estratégias para nos proteger.

A engenharia social é a manipulação psicológica de pessoas para que realizem ações ou divulguem informações confidenciais. Em vez de explorar vulnerabilidades técnicas, os engenheiros sociais exploram a natureza humana.

Confiança: As pessoas tendem a confiar umas nas outras.
Autoridade: Indivíduos são influenciados por figuras de autoridade.
Urgência: Pressão de tempo pode levar a decisões precipitadas.
Empatia: Desejo de ajudar os outros.

Principais Tipos de Ataques

1. Phishing

Envio de e-mails fraudulentos que parecem ser de fontes confiáveis para obter informações sensíveis.

Exemplo: Um e-mail que parece ser do seu banco solicitando a confirmação de dados pessoais.

2. Spear Phishing

Ataques direcionados a indivíduos ou organizações específicas com informações personalizadas.

Exemplo: Um e-mail para o departamento financeiro com detalhes precisos pedindo uma transferência bancária.

3. Whaling

Tipo de spear phishing que visa alvos de alto perfil, como executivos.

Exemplo: Um falso e-mail do CEO solicitando informações confidenciais.

4. Vishing (Voice Phishing)

Uso de chamadas telefônicas para extrair informações ou induzir ações.

Exemplo: Uma ligação fingindo ser do suporte técnico pedindo acesso remoto ao computador.

5. Smishing (SMS Phishing)

Envio de mensagens de texto fraudulentas para induzir a vítima a revelar informações.

Exemplo: Um SMS informando que você ganhou um prêmio e pedindo dados pessoais para o resgate.

6. Pretexting

Criação de um cenário plausível para enganar a vítima e obter informações.

Exemplo: Alguém se passa por funcionário de TI solicitando a senha para "resolver um problema".

7. Baiting

Oferecer algo de valor para enganar a vítima a executar uma ação.

Exemplo: Deixar um pendrive infectado em um local público esperando que alguém o conecte.

8. Tailgating (Piggybacking)

Acesso físico não autorizado seguindo alguém que tem acesso legítimo.

Exemplo: Entrar em uma área restrita aproveitando-se de alguém que segura a porta aberta.

Técnicas Comuns Utilizadas

Impersonação: Fingir ser outra pessoa.
Engenharia de Contexto: Criar cenários convincentes.
Exploração de Emoções: Medo, ganância, curiosidade.
Utilização de Informações Públicas: Redes sociais e outras fontes.

Como Reconhecer um Ataque

Solicitações Não Solicitadas: Pedidos inesperados de informações.
Erros de Gramática e Ortografia: Comuns em e-mails fraudulentos.
URLs Suspeitas: Links que não correspondem ao site oficial.
Pressão para Agir Imediatamente: Criação de senso de urgência.

Medidas de Proteção

Educação e Conscientização

Treinamentos Regulares: Atualizar conhecimentos sobre as últimas técnicas.
Simulações de Ataques: Testes internos para avaliar a resposta dos funcionários.

Políticas de Segurança

Procedimentos de Verificação: Confirmar solicitações através de canais oficiais.
Controle de Acesso: Limitar acesso a informações sensíveis.

Tecnologias de Segurança

Filtros de E-mail: Bloquear e-mails suspeitos.
Autenticação Multifator: Adicionar camadas extras de segurança.

Estudos de Caso

Ataque de Phishing ao Google e Facebook

Entre 2013 e 2015, um fraudador enganou funcionários para que efetuassem pagamentos que totalizaram mais de \$100 milhões.

Como aconteceu?

O fraudador enviou faturas falsas parecendo ser de um fornecedor legítimo.
Usou e-mails e documentos falsificados para convencer os funcionários.

WannaCry Ransomware

Em 2017, o WannaCry se espalhou globalmente afetando milhares de computadores.