Como acontece o crime de Engenharia Social?

Como acontece o crime de Engenharia Social?

Os crimes de engenharia social são tão ou até mais comuns do que qualquer outro, envolvem 60% dos ataques cibernéticos.  Nesse caso, entra o Detetive Particular especializado, para fazer trabalhos de prevenção. Porque a engenharia Social é o fato de enganar pessoas para obter informações ou dados, ao invés de invadir ou usar hackers. Um engenheiro social pode chamar um funcionário e se passar por um alguém, para obtenção de uma senha ou acesso ao local premeditado. Detetive Socorro Amaral

Os ataques comuns de Engenharia Social incluem e-mails de phishing, vishing (telefonemas de pessoas que se apresentam como uma organização respeitada) e baiting (do inglês, “isca”, através das quais o invasor carrega drives USB com malware e simplesmente espera que o usuário os conecta à sua máquina).

Aqui viemos demonstrar a relação entre a engenharia social e o crime de estelionato no meio digital. Tem como objetivo estudar, analisar as formas e os meios empregados para a caracterização do crime na esfera virtual. Expõe também sobre as maneiras e programas utilizados para a consumação do mesmo e a responsabilidade e segurança das pessoas envolvidas. O foco do presente estudo não é o de se aprofundar no crime de estelionato propriamente dito, mas sim, um olhar sob a ótica da engenharia social, também como suas formas de execução no meio digital, lembrando que o estelionato digital não é um novo crime, e sim o já tipificado no artigo 171 do Código Penal, porém praticado com um modo de operação novo.

Artigo 171 do Código Penal– Obter, para si ou para outrem, vantagem ilícita em prejuízo alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil, ou qualquer outro meio fraudulento

A Engenharia Social desempenha um papel de vital importância em um grande número de ataques cibernéticos, independentemente do tamanho do crime, pequeno ou sofisticado. De fato, como observou o pesquisador sênior da ESET David Harley em uma publicação (em inglês), a Engenharia Social sempre permaneceu como “uma constante ao longo da história da segurança na Internet”.

Mas, o que seria exatamente a Engenharia Social? Em seu sentido mais amplo, a Engenharia Social é baseada na manipulação psicológica, ou seja, tenta convencer as pessoas a fazerem aquilo que você quer que elas façam. Como exemplo, você pode manipular um guarda de trânsito para evitar levar uma multa e você pagar um valor alto por ela, ou convencer o seu patrão a lhe dá um aumento de salário. No contexto de crimes cibernéticos, é largamente descrito como um preceito não técnico usado pelos cibercriminosos para obter informações, realizar fraudes ou conseguir acesso de forma ilegal aos computadores das vítimas. A Engenharia Social é baseada na comunicação, interação humana e é conduzida por pessoas que usam o engano para violar os procedimentos de segurança que normalmente deveriam ter seguido.

Os ataques comuns de Engenharia Social incluem e-mails de phishing, vishing (telefonemas de pessoas que se apresentam como uma organização respeitada) e baiting (do inglês, “isca”, através das quais o invasor carrega drives USB com malware e simplesmente espera que o usuário os conecta à sua máquina).

  1. Phishing – é uma técnica de fraude online, utilizada por criminosos no mundo da informática para roubar senhas de banco e demais informações pessoais, usando-as de maneira fraudulenta. A expressão phishing (pronuncia-se “fichin”) surgiu a partir da palavra em inglês “fishing”, que significa “pescando”
  2. Vishing – é a prática criminosa de utilizar engenharia social através da rede pública de telefonia comutada com o objetivo de obter vantagens ilícitas como, por exemplo, realizar compras ou saques em nome da vítima. Wikipédia
  3. Baiting – Isca, através das quais o invasor carrega drives USB com malware e simplesmente espera que o usuário os conecta à sua máquina
  4. Malware – Um código malicioso, programa malicioso, software nocivo, software mal-intencionado ou software malicioso, é um programa de computador destinado a infiltrar-se em um sistema de computador alheio de forma ilícita, com o intuito de causar alguns danos, alterações ou roubo de informações. Wikipédia
  5. Phishing – é o crime de enganar as pessoas para que compartilhem informações confidenciais como senhas e número de cartões de crédito. Como em uma verdadeira pescaria, há mais de uma maneira fisgar uma vítima, mas uma tática de phishing é a mais comum.

A Engenharia Social também se estende a pesquisas de empresas e de pessoas amigas no LinkedIn e no Facebook, respectivamente, onde criminosos usam as redes sociais para criar confiança e obter dados. Muitas vezes, o resultado final é extorsão ou roubo.

Podemos incluir nessa prática de roubo, roubar algo pequeno para enganar e, em seguida, ser capaz de roubar algo maior, e a prática de entrar ilegalmente em áreas seguras aproveitando a entrada de outra pessoa com permissão de acesso.

Recentemente, no Reino Unido, um golpista usou a Engenharia Social durante sua sentença para escapar da prisão. Ele usou um telefone celular ilícito para criar uma conta de e-mail falsa, se fez passar por um funcionário da Suprema Corte e depois enviou suas “instruções de liberdade” para os funcionários da prisão. Eles o libertaram por engano, mas depois ele teve que se entregar novamente.

Os cibercriminosos costumam sempre usar esse tipo de ataque por vários motivos, como já falamos. Sabemos é uma arma eficaz, que permite aos cibercriminosos roubar dados de acesso privilegiados, infectar pessoas com malware e até assustar as vítimas com scareware para que façam um pagamento. Na sua grande maioria, seu objetivo final é roubar dinheiro e dados ou mesmo assumir a identidade da vítima.

Os golpes que usam a Engenharia Social são fáceis de fazer e não exigem muito dinheiro: o renomado consultor de segurança Kevin Mitnick disse uma vez que era mais fácil enganar alguém a dar sua senha a um sistema do que se esforçar para filtrar os dados.

Citamos aqui, cinco coisas que você deve saber sobre Engenharia Social.

  1. É físico e digital

A Engenharia Social é um golpe antigo que se manifesta em todas as áreas da vida, por isso seria um erro pensar que é algo novo ou que você só o vê no mundo on-line.

Contudo, a Engenharia Social tem sido usada no mundo físico há muito tempo. Alguns exemplos de criminosos que se apresentam como bombeiros, técnicos, exterminadores e zeladores, com o único objetivo de entrar no prédio de uma empresa e roubar segredos corporativos ou dinheiro.

Foi somente muito mais tarde, já da década de 1990, que o vishing se tornou popular, seguido pelo e-mail de phishing.

  1. Os países usam Engenharia Social também

Em um nível muito mais elevado, os estados-nações estão participando dinamicamente de campanhas de Engenharia Social, ou as usam como parte de ataques mais sofisticados: ameaças persistentes avançadas (APT). Esse tipo de espionagem on-line desempenha um papel importante nos esforços cibernéticos de países como Estados Unidos e China, conforme revelado por um post da Wired.

“Embora que o termo APT sugere o uso de sofisticada tecnologia maliciosa, os ataques APT geralmente dependem da antiga tática de Engenharia Social para alcançar a introdução inicial em um sistema”, comentou Harley recentemente.

“Quando o objetivo do invasor é a fraude ou a espionagem, ele prefere atacar o sistema de pessoas com uma alta posição dentro da organização, para ter acesso a dados confidenciais”.

  1. Sua qualidade é altamente variável

A qualidade dos golpes diversifica muito. Para todo engenheiro social sofisticado que envia e-mails de phishing iguais aos autênticos ou que faz chamadas de vishing, existem muitos outros com erros gramaticais, que têm argumentos sem lógica e informações confusas.

  1. Você provavelmente não perceberá o ataque

O mais preocupante aspecto sobre ataques desse tipo é que não há aviso imediato, não há sinal claro de que você está sendo atacado ou que seu computador foi infectado. Não há uma janela pop-up solicitando bitcoins (como no CryptoLocker e outros tipos de ransomware), nem um anúncio de scareware tentando convencê-lo a baixar um aplicativo ou ligar para uma central de serviço técnico.

Na maioria das vezes, os criminosos realizam seus ataques, roubam os dados que procuram e depois desaparecem. E se for roubo de dados, você provavelmente nunca descobrirá a infecção, muito menos se seus dados estiverem sendo vendidos ilegalmente na Dark Web.

  1. Foca principalmente nas empresas

A engenharia social afeta a todos, mas os golpistas a utilizam cada vez mais para atacar grandes empresas e PMEs: 2014 foi descrito como o ano em que os cibercriminosos entraram no setor de negócios.

O LinkedIn é uma mina para os que preparam e-mails phishing, onde é possível obter dados da alta gerência e altos executivos”. “As ferramentas automatizadas podem listar rapidamente centenas de endereços de e-mail, com dados do usuário e suas credenciais de acesso VPN/OWA/Active Directory”.