![\"social\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2013\/12\/06144559\/social.jpg\")
<\/a><\/p>\nMesmo hoje em dia com tantos produtos de seguran\u00e7a dispon\u00edveis, o usu\u00e1rio \u00e9 o \u00fanico que pode se proteger. Seja com um conjunto de credenciais de login (nome de usu\u00e1rio e senha) ou um n\u00famero de cart\u00e3o de cr\u00e9dito ou conta banc\u00e1ria, na maioria das vezes o elo mais fraco na cadeia n\u00e3o \u00e9 o tecnol\u00f3gico, mas sim o humano. Por isso, hoje em dia \u00e9 necess\u00e1rio conhecer os truques que utilizam os cibercriminosos, tanto os t\u00e9cnicos quantos os psicol\u00f3gicos, para evitar qualquer ataque com estas caracter\u00edsticas. A\u00a0engenharia social n\u00e3o \u00e9 uma amea\u00e7a nova e tem existido desde o in\u00edcio dos tempos. Gra\u00e7as aos engenheiros populares, como Kevin Mitnick ou Frank Abagnale, reconhecidos pelo trabalho no campo da seguran\u00e7a, sabemos que um cibercriminoso pode deixar de cometer ataques e passar a combater em nome do bem.<\/p>\n
Frank Abagnale, por exemplo, foi um dos mais famosos vigaristas com a cria\u00e7\u00e3o de v\u00e1rias identidades e a falsifica\u00e7\u00e3o de cheques, pelos quais enganava as pessoas para que elas revelassem informa\u00e7\u00f5es essenciais para continuar seus golpes.\u00a0Se voc\u00ea j\u00e1 viu o filme \u201cPrenda-me se puder\u201d voc\u00ea tem uma imagem do que um engenheiro social \u00e9 capaz de fazer quando tem um objetivo claro. Basta lembra que um engenheiro social n\u00e3o utiliza apenas de golpes t\u00e9cnicos ou de computador para obter as informa\u00e7\u00f5es que precisa, assim que voc\u00ea precisa ser cauteloso. Por exemplo, nunca diga sua senha por telefone. Ainda que possa parecer um absurdo este conselho, imagine que voc\u00ea recebe um telefonema do suporte t\u00e9cnico da sua empresa na manh\u00e3 de domingo de manh\u00e3 dizendo que precisa realizar algumas pequenas atualiza\u00e7\u00f5es t\u00e9cnicas no seu computador.\u00a0Voc\u00ea vai dizer a senha para o \u201cadministrador da rede \u201c, al\u00e9m disso, voc\u00ea vai dizer \u201cobrigado\u201d . Ou talvez voc\u00ea seja muito cauteloso para isso, mas muitos de seus colegas n\u00e3o s\u00e3o.<\/p>\n
A maioria dos cibercriminosos n\u00e3o gastam muito tempo em provar tecnologias complexas para seus ataques. Quando eles sabem que \u00e9 muito mais f\u00e1cil usar a engenharia social para os seus fins. Al\u00e9m disso, existem at\u00e9 mesmo sites com informa\u00e7\u00f5es valiosas para aprender sobre esses tipos de t\u00e9cnicas e por que elas s\u00e3o t\u00e3o bem sucedidas quando usadas para enganar as pessoas. Um deles \u00e9 o SocialEngineer.org que fornece dados realmente \u00fateis para aprender a teoria por tr\u00e1s de cada tipo de ataque, o funcionamento de cada ataque e exemplos de cada conceito.<\/p>\n
Usamos a linguagem falada diariamente para influenciar uns aos outros, mesmo sem estar ciente de tal a\u00e7\u00e3o. Desde o ponto de vista da engenharia social, a linguagem tem algumas desvantagens j\u00e1 que est\u00e1 ligada \u00e0 nossa experi\u00eancia subjetiva de um fato que pode distorcer as coisas ou realizar generaliza\u00e7\u00f5es. A programa\u00e7\u00e3o neuro-lingu\u00edstica ou PNL, embora inventado para fins terap\u00eauticos, \u00e9 considerada hoje em dia como uma forma evolu\u00edda de hipnose usada por muitos engenheiros sociais como uma ferramenta para influenciar e manipular suas v\u00edtimas, a fim de lev\u00e1-las a fazer as a\u00e7\u00f5es necess\u00e1rias para um ataque bem-sucedido. Com esta t\u00b4\u00b4ecnica, os cibercriminosos podem compreender qualquer dados pessoal ou informa\u00e7\u00f5es confidenciais para atingir seu objetivo.<\/p>\n
Embora pare\u00e7a que tem uma grande dist\u00e2ncia entre a psicologia e o cibercrime, a realidade \u00e9 que ambos se baseiam nos mesmo pr\u00edncipios. O desejo de cada pessoa por reciprocidade (se eu fa\u00e7o um favor espero que voc\u00ea fa\u00e7a outro para mim), por aprova\u00e7\u00e3o social (voc\u00ea acredita no julgamento da maioria), por autoridade (ou seja, confiar em um policial, um m\u00e9dico, um t\u00e9cnico, etc) e muitos outros s\u00e3o formas universais de come\u00e7ar a construir um relacionamento com algu\u00e9m e assistir \u00e0s nossas necessidades humanas b\u00e1sicas. Um engenheiro social sabe que bot\u00f5es apertar para obter a resposta desejada a partir de n\u00f3s, criando um contexto (framing) que permite que uma hist\u00f3ria inventada para ser cr\u00edvel permita a ele controlar o sentido de urg\u00eancia e de tempo de toda a intera\u00e7\u00e3o com a v\u00edtima. N\u00e3o podemos esquecer que somente pessoas realmente inteligentes em uma fra\u00e7\u00e3o de segundo s\u00e3o capazes de conseguir o que buscam.<\/p>\n
No entanto, neste artigo vamos nos concentrar principalmente sobre as varia\u00e7\u00f5es de t\u00e9cnicas usadas por cibercriminosos para realizar suas atividades de modo a obter informa\u00e7\u00f5es ilegais e lucrar com suas v\u00edtimas. Como mencionado, os princ\u00edpios usados \u200b\u200bpara fraudes on-line s\u00e3o os mesmos que os apresentados na vida real, mas sendo a Internet um meio t\u00e3o grande para a distribui\u00e7\u00e3o de informa\u00e7\u00f5es, um e-mail de phishing , por exemplo, pode ser enviado para milh\u00f5es de benefici\u00e1rios em uma s\u00f3 vez, tornando este tipo de ataque um jogo de n\u00fameros. Mesmo que apenas uma pequena quantidade de pessoas ca\u00eda na a ainda vai colher um benef\u00edcio enorme para o grupo criminoso.<\/p>\n
Hoje, um dos m\u00e9todos mais comuns utilizados para obter informa\u00e7\u00f5es confidenciais \u00e9 o phishing. Esta t\u00e9cnica pode ser caracterizada como um tipo de abuso ou fraude de computador que utiliza princ\u00edpios da engenharia social com o objetivo de obter informa\u00e7\u00f5es pessoais da v\u00edtima. O cibercriminoso geralmente se baseia em um e-mail, mensagens instant\u00e2neas ou SMS para entregar a mensagem de phishing que ir\u00e1 convencer a v\u00edtima a revelar certa informa\u00e7\u00e3o diretamente ou executar uma atividade (entrar em um site falso, clicar em um link para download de malware, etc), que permitir\u00e1 ao cibercriminoso continuar seu plano de mal-intencionado.<\/p>\n
\u00a0<\/p>\n
Temos visto uma evolu\u00e7\u00e3o em malware que anda de m\u00e3os dadas com a engenharia social. No passado, qualquer infec\u00e7\u00e3o seria muito \u00f3bvio para o usu\u00e1rio e exibiria caixas de fantasia de mensagens, \u00edcones, imagens e praticamente qualquer coisa que desse cr\u00e9dito ao autor por sua cria\u00e7\u00e3o. Atualmente, n\u00e3o \u00e9 raro encontrar malware que ganha acesso ao sistema da v\u00edtima atrav\u00e9s de truques de engenharia social e permanece oculto at\u00e9 que ele precise entrar em a\u00e7\u00e3o. \u00a0Assim, os cibercriminosos e as empresas de seguran\u00e7a que fazem da educa\u00e7\u00e3o um dos mecanismos de defesa fundamentais para que todos os usu\u00e1rios mantenham-se atualizados com as \u00faltimas tend\u00eancias e amea\u00e7as que est\u00e3o sendo usadas \u200b\u200batualmente na rede.<\/p>\n
Muitas amostras de malware utilizam a engenharia social para colocar a carga maliciosa no sistema da v\u00edtima. Entre os truques mais populares podemos citar as falsas atualiza\u00e7\u00f5es do Flash Player, os arquivos execut\u00e1veis \u200b\u200bembutidos em documentos do Word, c\u00f3pias de navegadores leg\u00edtimos, como o Internet Explorer, entre outros.<\/p>\n