ENGENHARIA SOCIAL: COMPREENDENDO

ATAQUES E A IMPORTÂNCIA DA
CONSCIENTIZAÇÃO
Apresentar o que é a engenharia social, os danos que o uso desta por pessoas mal-
intencionadas pode causar, seus principais métodos e técnicas.

Resumo
Este artigo tem como objetivo apresentar o que é a engenharia social, os danos que o uso desta por pessoas mal-
intencionadas pode causar as empresas e pessoas, seus principais métodos, técnicas, meios utilizados para
comprometimento da segurança da informação, bem como métodos de prevenção e a importância da conscientização. A
engenharia social explora o elo mais fraco da segurança de dados e informações confidenciais nas empresas: o usuário,
este deve reconhecer os tipos de ataque, para assim não ser mais uma vítima dessa prática tão comum.

Palavras-chave: Engenharia social, segurança da informação, conscientização.

Abstract

This article aims to present what is social engineering, damages that the use of social engineering by malicious people can
cause companies and people, their main methods, techniques, means used to compromise information security and
prevention methods. Social engineering exploits the weakest link of data security and confidential information in companies:
the user, which must recognize the types of attacks so that they are no longer a victim of this common practice.

Keywords: Social engineering, information security, awareness.

Introdução
No decorrer do ano de 2017, o Brasil foi alvo de 205 milhões de ciberataques, praticamente um para cada brasileiro. Esses
ciberataques afetaram computadores pessoais, de empresas de todos os portes e até de hospitais, deixando um rastro de
algumas dezenas de bilhões de reais em prejuízos.

Os brasileiros acessaram, em média, oito links maliciosos por segundo nos últimos três meses do ano, de acordo com o
Relatório DFNDR Lab, da empresa de segurança PSafe. Só nos aplicativos de mensagens, como WhatsApp, o número de
ataques duplicou no quarto trimestre, passando de 21,3 milhões para 44,1 milhões, o que representa um crescimento de
107%. O WhatsApp é o meio preferido para espalhar ataques, correspondendo a 66% do total registrado – o que representa
algo em torno de 29 milhões de casos. O segundo tipo de ataque mais comum usando links maliciosos foi via publicidade
suspeita, que totalizou 6,3 milhões de detecções no período, seguido por phishing bancário, com 4,5 milhões de casos. Na
parte de malwares foram listadas fraudes por SMS (3,1 milhões), cópias maliciosas (755 mil) e ataques bancários (6 mil).

Quando esse comportamento inseguro acontece no ambiente corporativo, esses números reforçam a percepção dos
executivos brasileiros em relação aos perigos atuais. A 2ª Pesquisa Nacional Sobre Conscientização Corporativa em
Segurança da Informação mostra que 27% dos gestores de segurança da informação das 200 maiores empresas do país
registraram um aumento no número de incidentes de segurança nos últimos 12 meses. Para mais de 61% deles, o clique
indevido em links inseguros recebidos via e-mail, SMS etc. é a maior preocupação. Por mais que os profissionais de
segurança da informação sigam se atualizando e que as empresas continuem investindo em novos mecanismos para
proteger o negócio de ações maliciosas, os criminosos também se aprimoram e buscam novas brechas, não só no âmbito
tecnológico. A pesquisa aponta que no Brasil cerca de 58% das violações de segurança são resultado de falha humana.

O resultado disso é a ascensão de ameaças cada vez mais sofisticadas, que se tornam mais destrutivas para o negócio e
mais lucrativas para o cibercrime. De acordo com a pesquisa Cost of Data Breach 2017, do Instituto Ponemon, os danos
médios causados pelas violações de dados chegaram a R$ 4,31 milhões por ano no Brasil. A média de negócios perdidos
por organizações devido aos incidentes de segurança chegou a R$ 1,57 milhão em 2017.

No Brasil, um levantamento da PwC aponta que o investimento em segurança da informação no país cresce a um ritmo
anual de 30% a 40%, atingindo cifras de até US$ 8 bilhões, enquanto que no restante do mundo, esse crescimento gira
entre 10% e 15% ao ano. Para as pequenas e médias empresas (PMEs), o cenário é ainda mais alarmante. Por
acreditarem que o gasto com tecnologias de segurança é alto, optam por não investir em soluções de combate à ataques
virtuais e, como consequência, acabam se tornando alvos fáceis dos cibercriminosos. Como muitas dessas PMEs não
contam com uma área de TI dedicada para realizar o backup com frequência, acabam perdendo todas as informações,
incluindo as mais sensíveis.

Atualmente, a informação é o bem mais valioso das organizações, e por este motivo é também o mais visado por pessoas
mal-intencionadas. A proteção as informações sensíveis são de vital importância para as organizações e embora os
sistemas de segurança da informação vêm aumentando sua eficácia, as pessoas permanecem suscetíveis a manipulação e
continuam sendo o elo mais fraco da segurança organizacional.

A engenharia social consiste na utilização de técnicas de manipulação para pessoas executarem ações ou divulgarem
informações confidenciais. O engenheiro social faz com que pessoas quebrem procedimentos e normas de segurança, seja
através de telefonemas, e-mails, sites ou através de pessoas.

O grande desenvolvimento de ferramentas usadas para comunicação (e-mail, mensagens instantâneas, redes sociais, etc.)
cria vetores de ataques de engenharia social e facilita a obtenção de informações pessoais.

Motivação
Este artigo foi desenvolvido com o objetivo de apresentar o que é a engenharia social, pois os meios tecnológicos estão
presentes em todos os âmbitos e tendem a estar cada vez mais integrados, sendo de grande importância saber usufruir do
melhor desses sem se comprometer ou ser mais uma vítima dos criminosos que se utilizam da desinformação e
ingenuidade para causar danos.

Tipos de ataques de engenharia social

Os ataques de engenharia social são divididos em dois tipos, que são eles: baseados em humanos (no-tech hacking) e
baseados em tecnologia. E estes serão apresentados de forma a entender as suas formas de uso e intenções.

Ataques de engenharia social baseados em tecnologia

Primeiro, serão apresentados os ataques baseados em tecnologia, que requerem o uso de equipamentos eletrônicos para
se chegar ao objetivo, sendo utilizado e-mail, telefone, redes sociais, sites, mensagens instantâneas, entre outros para
composição de técnicas como: phishing, vishing, spyware, malware, entre outras, as quais serão explicadas.

Phishing

Um estudo do Gartner diz que “95% dos ataques digitais se iniciam por phishing”. Diante desse cenário, é essencial
entender sobre esse ataque e como se proteger. O termo “phishing” vem da combinação do termo em inglês “fishing”, que
significa pescar, com o termo “phreak”, frequentemente usado para nomear os primeiros hackers de telefonia.

Este é a técnica mais comum de ataque de engenharia social, um ataque de falsificação, o qual podem utilizar-se de
spams, websites, mensagens instantâneas e de e-mails para, como o nome sugere, “pescar” pessoas e estas revelarem
informações pessoais e sigilosas, como senhas, CPF, números de contas bancárias e de cartões de crédito. Eles fazem
isso enviando e-mails falsos, direcionando os usuários a websites falsos ou fazendo com que seja instalado software
malicioso no sistema, podendo servir de plataforma para outros tipos de ataque.

O uso de e-mails falsos consiste em parecer que a mensagem foi enviada por organizações legítimas, como bancos, redes
sociais ou e-commerce por exemplo. Geralmente esses e-mails são enviados para milhões de endereços, nestes são
solicitados de forma educada por atualizações, validação ou confirmação de informações da sua conta, sempre informando
que ocorreu algum problema. E então o usuário é redirecionado a um site falso e enganado a apresentar informações
sigilosas sobre sua conta, o que resultam em roubos de identidade.

Para atrair a atenção do usuário as mensagens apresentam diferentes tópicos e temas, normalmente explorando
campanhas de publicidades, serviços, a imagem de pessoas e principalmente assuntos em destaque no momento. Estes
são alguns exemplos, com mais detalhes, de situações envolvendo phishing:

Páginas falsas de comércio eletrônico ou Internet Banking: você recebe um e-mail, em nome de um site de comércio
eletrônico ou de uma instituição financeira, que tenta induzi-lo a clicar em um link. Ao fazer isto, você é direcionado
para uma página web falsa, semelhante ao site que você realmente deseja acessar, onde são solicitados os seus
dados pessoais e financeiros.
 Páginas falsas de redes sociais ou de companhias aéreas: você recebe uma mensagem contendo um link para o site
da rede social ou da companhia aérea que você utiliza. Ao clicar, você é direcionado para um website falso onde são
solicitados o seu nome de usuário e a sua senha que, ao serem fornecidos, serão enviados aos golpistas que
passarão a ter acesso ao site e poderão efetuar ações em seu nome, como enviar mensagens ou emitir passagens
aéreas.
Mensagens contendo formulários: você recebe uma mensagem eletrônica contendo um formulário com campos para
a digitação de dados pessoais e financeiros. A mensagem solicita que você preencha o formulário e apresenta um
botão para confirmar o envio das informações. Ao preencher os campos e confirmar o envio, seus dados são
transmitidos para os golpistas.
Mensagens contendo links para códigos maliciosos: você recebe um e-mail que tenta induzi-lo a clicar em um link,
para baixar e abrir/executar um arquivo. Ao clicar, é apresentada uma mensagem de erro ou uma janela pedindo que
você salve o arquivo. Após salvo, quando você abri-lo/executá-lo, será instalado um código malicioso em seu
computador.
Solicitação de recadastramento: você recebe uma mensagem, supostamente enviada pelo grupo de suporte da
instituição de ensino que frequenta ou da empresa em que trabalha, informando que o serviço de e-mail está
passando por manutenção e que é necessário o recadastramento. Para isto, é preciso que você forneça seus dados
pessoais, como nome de usuário e senha.

Os engenheiros sociais enviam milhões de mensagens por dia, na esperança de encontrar usuários inexperientes que
possam ser vítimas do ataque, eles adotam o envio massivo de spams para conseguir chegar a um maior número de
vítimas.

Os ataques de phishing funcionam basicamente em seis etapas: planejamento, preparação, ataque, coleta, fraude e pós
ataque.

Na primeira fase, os golpistas escolhem os seus alvos e definem qual o objetivo do ataque. É nesse ponto que é definido se
a intenção é conseguir dados pessoas, bancários, criar contas em nome da vítima, transferir dinheiro para outra conta
bancária ou outro tipo de fraude.

Na fase de preparação, os fraudados criam o material que servirá como “isca” para vitimar as pessoas. É nesse momento
que são elaboradas as mensagens, os e-mails, os sites e os links que serão utilizados durante o crime.

A etapa do ataque consiste no envio das mensagens elaboradas, elas podem ser feitas via e-mail, por meio de sites,
malwares, VoIP ou aplicativos de mensagens instantâneas.

Na fase seguinte, o cibercriminoso coleta os dados obtidos após o ataque e os prepara para serem usados para finalizar o
crime. Assim, a etapa da fraude começa a acontecer quando o golpista usa os dados que possuem para acessar uma
conta, criar identidades, roubar dinheiro ou realizar algum outro tipo de crime utilizando-se de dados das vítimas. Ainda, os
golpistas podem utilizar os dados que coletaram para vender a outras pessoas ou usá-los em um próximo ataque.

Na última etapa, o atacante destrói os mecanismos para a criação e execução do ataque com o objetivo de eliminar
evidências. Em casos onde o roubo inclui dinheiro, essa etapa envolve formas de lavagem para dificultar qualquer tipo de
investigação policial.

Para prevenir-se de tentativas de phishing são necessários alguns cuidados:

Não clicar em links suspeitos adicionados a e-mails não solicitados ou em redes sociais;
Ao ler e-mails, não abra aquelas mensagens que sejam de um destinatário desconhecido;
Arquivos baixados automaticamente ou pedidos de downloads desnecessários devem ser evitados;
Não executar arquivos não solicitados, malwares podem acessar suas informações e enviá-las diretamente para
criminosos do outro lado da rede;
Sempre verificar a URL do website, pois em muitos casos o endereço pode parecer legítimo, mas a URL pode estar
com erro de grafia ou o domínio pode ser diferente.

Spear Phishing

Spear phishing é uma variação do phishing, porém diferente dos golpes de phishing onde é realizado um ataque amplo e
disperso, o spear phishing foca em um grupo ou organização específico. A intenção é roubar propriedade intelectual, dados
financeiros, segredos comerciais ou militares e outros dados confidenciais.
Os métodos de ataque são basicamente os mesmos do phishing, porém com foco nas vítimas, utilizando-se abordagens
criadas individualmente e técnicas de engenharia social para personalizar mensagens e sites com eficiência.

Vishing

O vishing é a prática criminosa de utilizar engenharia social através de telefonia, ou seja, nada mais do que um phishing por
voz, por isso a origem do nome da técnica, voice mais phishing, gerando vishing.

O ataque pode vir de uma simples ligação telefônica para sua casa, para seu emprego, de um processo automático de
discagem ou mesmo por serviço de voz sobre IP (VoIP), este último está se mostrando um verdadeiro aliado para os
“vishers” por ser capaz de manter o anonimato durante as chamadas, que podem ser geradas por baixo ou nenhum custo.
Quando a ligação é realizada, é possível forjar a identidade que aparece no vistor do telefone, fazendo o nome e o número
parecerem ser de uma fonte legítima, por exemplo, a operadora do cartão de crédito ou o banco.

A intenção é a mesma que no phishing por e-mail, durante a chamada de voz é criada uma sensação de urgência para que
o usuário tome medidas e facilite informações sigilosas, principalmente fingindo ser outra pessoa.

Este ainda é um dos ataques mais populares no Brasil, apesar das inúmeras reportagens orientando sobre o golpe do Falso
Sequestro. O golpe funciona da seguinte forma: o atacante, em geral presidiários, liga aleatoriamente para um número de
telefone e diz que sequestrou alguém da família, geralmente falam “filha ou filho” e a vítima ouve alguém do outro lado da
linha chorando e gritando por socorro. É nesse momento que aproveitando do estado emocional da vítima o marginal
consegue obter informações, pois quem está recebendo a ligação acaba associando o choro com algum familiar e sem
perceber acaba até falando o nome deste. A partir dessa informação cedida pela vítima, o marginal começa a pedir dinheiro
alegando que se não receber vai matar o suporto sequestrado.

No falso sequestro geralmente a ligação é de um código de área de outro Estado ou de número bloqueado. Ele não fala
dados sobre a vítima e espera obter alguma informação através do estado emocional da pessoa que está recebendo a
ligação para então comentar sobre a identidade do suposto sequestrado. Ele pressiona a vítima para não desligar o telefone
até que receba o dinheiro, pois assim tenta evitar que se entre em contato com o suporto sequestrado e consigam
desmascarar o golpe.

Este é o mais popular, porém, não é o único tipo de vishing utilizado no Brasil, há outros que estão crescendo, como o golpe
em que o golpista liga para vítimas que possuem parentes internados em UTIs de hospitais, informação que é colhida por
pessoas infiltradas em hospitais, informando que é necessário realizar alguns exames ou procedimentos médicos urgentes
e que é primordial o pagamento destes para início do tratamento o mais rápido possível. Outro golpe popular é o do falso
prêmio, onde geralmente é informado que a vítima ganhou um carro barato, um empréstimo sem juros ou outro por ser
cliente de algum banco ou estabelecimento.

Para evitar cair em ataques de vishing, seguem algumas dicas:

Se você não for capaz de identificar a pessoa que está ligando a partir da identificação de chamadas, peça para se
identificarem antes de falar seu nome;
Também evite falar o nome de parentes ou pessoas próximas;
Nunca revele suas informações pessoais – se você não deve responder um e-mail passando suas informações
pessoais, então por que faria isso no caso de uma ligação telefônica?
Caso seja uma ligação de suposto sequestro, primeiro mantenha a calma, depois procure entrar em contato com a
pessoa que alegam ter sido sequestrada;
Se não conseguir contato com a pessoa, pergunte ao suposto sequestrador algo que somente aquela pessoa
saberia responder, como o nome de um avô, melhor amigo ou cachorro;
Ao receber qualquer telefonema se dizendo ser da operadora de cartão de crédito ou banco e você não tiver certeza
de que é verdade, simplesmente peça para aguardar e ligue de outro telefone para o número de telefone que consta
na parte posterior do seu cartão de crédito ou débito. Se você verificar que se trata de uma tentativa de fraude,
reporte ao seu banco.

Smishing

Assim como o Vishing, o Smishing é outra associação do Phishing, trata-se do phishing por SMS. As técnicas utilizadas no
smishing são semelhantes as utilizadas no phishing e vishing.
Neste ataque é enviada uma mensagem de texto ao usuário do telefone ao invés de um e-mail ou telefonema, na
mensagem de texto é solicitado que o proprietário ligue para um determinado número de telefone ou que se dirija
urgentemente a algum website para tomar medidas imediatas. Também pode ser solicitado através de um sistema de
mensagem automática, informações pessoais, como senhas ou informações do cartão de crédito, também são utilizados
outros tipos de golpes, como o de falsos prêmios.

Para prevenir-se as dicas são, basicamente, não clicar em links enviados por SMS e nem ligar para números
desconhecidos.

Spyware

O spyware é um software de espionagem, que funciona em segundo plano, sem ser notado, enquanto coleta informações
ou fornece acesso remoto a seu autor. Este é uma das formas de malware mais perigosas, pois ele especificamente vai
além dos dados e dispositivos, este também procura suas informações e ativos reais.

Para criminosos, o spyware é uma ferramenta útil para coletar informações financeiras, como contas bancárias online e
senhas ou informações de cartões de crédito. É comumente utilizado por publicitários para descobrir os hábitos online dos
usuários e servir anúncios mais pertinentes. Os governos usam-no para coletar o máximo de informações possíveis sobre
pessoas, quando é utilizado dessa forma é chamado de ‘govware” ou “policeware”.

O spyware assume muitas formas e serve para várias finalidades diferentes, como:

Registrar os toques de tecla: chamados de “keyloggers”, esse tipo de spyware é usado para coletar senhas e
rastrear comunicações em que o teclado é utilizado.
Acompanhar atividades online: alguns cookies de rastreamento podem ser considerados spyware, no sentido que
eles acompanham seus movimentos online e relatam ao publicitário o que é visitado, para que eles possam servir
informações mais pertinentes em forma de anúncio. Porém, também há formas maliciosas de acompanhamento
online.
Assumir o controle do seu computador: algumas formas do spyware cavalo de Troia farão alterações em suas
configurações de segurança para permitir controle remoto do seu dispositivo.
Reduzir a velocidade do seu dispositivo: frequentemente, o único sinal que denuncia que o dispositivo está infectado
com spyware será a maneira parasita com que ele rouba potência de processamento e largura de banda de Internet
para comunicar o que foi roubado.

Manter uma ferramenta anti-spyware instalada em seu dispositivo é uma boa maneira de tentar se manter seguro, porém,
também é necessário evitar o download de arquivos suspeitos e de sites que não são confiáveis.

Cavalo de Troia

O malware cavalo de Troia, que também é essencialmente um spyware, recebe esse nome devido a clássica história do
cavalo de Troia, pois ele imita a técnica, porém, para infectar computadores. Este malware se ocultará em programas que
parecem inofensivos, ou tentará enganá-lo para que você o instale.

Os cavalos de Troia não se replicam ao infectar outros arquivos ou computadores, em vez disso, eles sobrevivem ficando
ocultos. Eles podem ficar silenciosos em seu computador, coletando informações ou configurando brechas em sua
segurança, ou podem simplesmente controlar seu computador e bloquear seu acesso a ele.

Este malware é muito versátil e podem passar despercebidos, sua popularidade explodiu até eles se tornarem o malware
favorito de muitos criminosos online.

E por que o cavalo de Troia também é uma técnica de engenharia social? Porque ele cria diversas ações que possibilitam
roubos de informações dos usuários, como:

Criar backdoor: normalmente os cavalos de Troia alteram seu sistema de segurança de forma que outros malwares,
ou mesmo um hacker, consiga invadir.
Espionar: alguns cavalos de Troia são essencialmente spyware projetado para aguardar até que o usuário acesse
suas contas online ou insira dados do seu cartão de crédito e depois enviar suas senhas e outros dados de volta ao
atacante.
Transformar seu computador em um zumbi: as vezes os hackers não estão interessados somente nas informações
confidenciais de um usuário, mas também querem usar o dispositivo como um escravo em uma rede sob seu
 controle.
Enviar mensagens aleatórias: quando um dispositivo está infectado com um cavalo de Troia, este pode tornar-se um
encaminhador de mensagens, seja através de e-mail, redes sociais ou SMS (no caso de um smartphone),
espalhando conteúdo malicioso através das mensagens e infectando mais dispositivos.

Os cavalos de Troia podem assumir qualquer aparência, como um jogo ou uma música baixados em um site não confiável.
Até mesmo um anúncio de um website pode conter um link para instalação de um malware em seu dispositivo. Eles são
especialmente projetados para enganar os usuários, utilizando textos enganosos ou convencendo de que são aplicativos
legítimos, utilizando-se engenharia social.

As dicas de prevenção são as mesmas contra os demais spywares, evitar acesso a sites questionáveis, materiais
pirateados e links suspeitos.

Exploração de Redes Sociais

As redes sociais são uma das maiores revoluções da comunicação moderna. Pessoas se conectam com uma facilidade
sem precedentes, e, obviamente, empresas e estratégias de marketing surfam esta mesma onda de facilidade de
comunicação e conexão. Redes sociais podem ser plataformas riquíssimas para construir relações sólidas com sua base de
clientes não só pela facilidade imediata de comunicação, mas pela possibilidade de atingir uma base enorme de pessoas.

Entretanto, nem tudo são flores no reino das redes sociais, e com muitos usuários, vêm grandes vulnerabilidades.
Segurança em redes sociais é fundamental para proteção da informação da empresa, se estendendo, inclusive, à sua
imagem, reputação no mercado, e à privacidade de seus clientes.

De acordo com uma pesquisa da Norton, mais de um terço dos funcionários de uma empresa aceita pedidos de amizade de
pessoas que não conhecem em redes sociais. Em um relatório da Cisco, golpes em redes sociais são a maneira mais
comum de se penetrar uma rede. Com as informações corretas sobre o usuário, normalmente disponíveis publicamente em
redes sociais (como hobbies, interesses, área de atuação, família e amigos), atacantes podem criar ataques de engenharia
social ou de spear phishing

Outro fator complicador do processo de segurança é o uso de múltiplos aparelhos na rede da empresa, pois os funcionários
acessam redes sociais não apenas nos computadores da empresa, mas também em seus dispositivos pessoais, como
smartphones e tablets, estes dispositivos estando conectados à rede da empresa podem ser vetores de entrada de
ataques.

Em termos gerais, para segurança dos usuários, pensando no âmbito pessoal e corporativo, são necessárias algumas
medidas de segurança para o uso das redes sociais:

No Facebook, não utilize aplicativos desconhecidos e remova aplicativos fora de uso ou que não se lembre de ter
permitido acesso;
Só aceite pedidos de amizade em suas redes sociais de pessoas que você tem certeza que conhece;
Limite a visibilidade de suas postagens, fotos e informações;
No Twitter, não poste textos e imagens que forneçam localizações frequentes;
No Linkedin, cuidado com mensagens de recrutamento que contenham links, peçam informações pessoais ou exijam
pagamento;
Em todas as redes, é necessário ficar atento com contas falsas e postagens fraudulentas, não abra links enviados
por contas desconhecidas ou arquivos não solicitados.

Hoaxing

Hoax, que em português significa boato, é uma técnica que visa a propagação em massa de e-mails falsos, divulgando
histórias não verdadeiras, ou seja, boatos, em forma de correntes, mensagens apelativas de cunho sentimental ou religioso,
textos que difamam empresas, mensagens de campanhas, pedido de ajuda, e até mesmo, mensagens que abordem a
existência de falsos vírus de computador e que podem comprometer o funcionamento do micro.

Atualmente, esta técnica está sendo mais comumente difundida como fake news. O objetivo deste método de engenharia
social é fazer com que os usuários encaminhem este tipo de mensagem para todos os seus contatos, tendo a sua
propagação elevada em grau exponencial.
Os danos causados vão desde o congestionamento de serviços de e-mails, até prejuízos financeiros para empresas,
quando estas mensagens convencem as pessoas de que o consumo de determinado produto pode ser prejudicial à saúde,
prejudica o meio ambiente ou é contra alguma lei ou ainda fere conceitos religiosos.

Tecnicamente, este método não apresenta qualquer inovação tecnológica, é necessário apenas que o conteúdo comova de
alguma forma o usuário para que o mesmo seja sensibilizado e o propague, iniciando assim o seu ciclo de vida.

Uma das recomendações para que este tipo de técnica não seja aplicada, é não propagar e-mails e mensagens antes de
verificar a fonte e realizar pesquisas se de fato é uma informação correta.

Baiting

Por meio desta técnica, hackers deixam à disposição do usuário um dispositivo infectado com malware, como um pen-drive
ou um CD, com intenção de despertar a curiosidade do indivíduo para que insira este dispositivo em uma máquina a fim de
checar seu conteúdo.

O sucesso deste ataque dependerá de três ações do indivíduo que sofrerá o ataque: encontrar o dispositivo, abrir seu
conteúdo e instalar o malware sem perceber. Uma vez instalado, o malware permite que o hacker tenha acesso aos
sistemas da vítima.

A tática envolve pouco trabalho por parte do hacker, tudo que ele precisará fazer é infectar um dispositivo e ocasionalmente
deixá-lo à vista do alvo, seja na entrada ou no interior de uma empresa. O dispositivo, pode ser, por exemplo um dispositivo
contendo um arquivo com um nome que desperte a curiosidade, como “folha salarial”.

Esta técnica lida diretamente com a curiosidade do ser humano, então para não ser vítima deste ataque, não adicione
dispositivos desconhecidos em seus computadores, e caso encontre algum dispositivo perdido, entregue a um especialista
em segurança da informação para que este analise o seu conteúdo.

Pretexting

Utilizando o pretexting, os hackers fabricam falsas circunstâncias para coagir a vítima a oferecer acesso a informações e
sistemas críticos. Nesse caso, os hackers assumem uma nova identidade ou papel, também conhecido como
impersonation, para fingir que são alguém de confiança da vítima.

Para realizar esta técnica, o cibercriminoso precisa vasculhar os perfis da vítima nas redes sociais para descobrir
informações como data e local de nascimento, empresa, cargo, parentes, colegas de trabalho, amigos e outras
informações.

Depois, basta enviar um e-mail ou algum outro tipo de comunicação direta à vítima, fingindo a necessidade de confirmar
dados para garantir seu acesso a algum sistema específico, utilizando uma técnica bem parecida com o phishing. Pode ser,
por exemplo, um e-mail supostamente da equipe de TI coagindo a vítima a divulgar suas credenciais de acesso a contas
corporativas de sistema e/ou e-mail.

Neste caso é necessário sempre que receber solicitações suspeitas através de e-mail, mensagens, entre outros, verificar o
remetente, desconfiar de pedidos inusitados, entrar em contato por telefone diretamente com o suposto remetente e, se
possível, falar pessoalmente com este para entender e confirmar a solicitação.

Quid pro quo

Um ataque de quid pro quo ocorre quando um hacker requer informações privadas de alguém em troca de algo. “Quid pro
quo” significa “isso por aquilo”, em que o atacante oferece algo à vítima em troca de informações sensíveis.

A tática mais comum envolve se passar por alguém da equipe de suporte de TI e abordar diversas vítimas até encontrar
alguém com um problema real de TI. Sob instruções do hacker, a vítima então dá acesso a códigos, desabilita programas
vitais como antivírus e instala malwares achando que conseguirá resolver seu problema.

Outra tática bastante usada é a de simular uma pesquisa em que funcionários preenchem um formulário com uma série de
informações sensíveis em troca de brindes vantajosos.
Basicamente, para evitar esta técnica, é adequado não responder formulários que não conheça a origem, não adicionar
informações confidenciais em nenhum formulário independente da origem. Caso tenha aberto um chamado no suporte de
TI verifique com o suposto atendente a qual caso se refere o atendimento, para que tenha certeza das ações que este
tomará em seu computador.

Ataques de engenharia social baseados em humanos

Os ataques de engenharia social baseado em humanos, também chamado de no-tech hacking, consiste no uso de táticas
que não utilizam tecnologia, este requer uma interação pessoal para alcançar o objetivo, isso pode ocorrer utilizando-se de
técnicas, como por exemplo: dumpster diving, shoulder surfing e tailgating.

Dumpster Diving

A expressão “Dumpster Diving” (mergulhando na lixeira, em português), refere-se ao ato de vasculhar o lixo alheio com o
objetivo de recuperar algo de valor para consumo próprio. No cotidiano é muito comum se deparar com os dumpster divers
(as pessoas que vasculham o lixo), e infelizmente a maioria deles recorre aos contêineres para alimentar-se com sobras de
alimentos ou encontrar algum objeto considerado útil.

Entretanto, quando focado nos resíduos descartados pelas grandes empresas, essa prática pode render informações de
caráter sensível ou sigiloso a pessoas mal-intencionadas, ou seja, não saber descartar os materiais é um fato preocupante.

Empresas investem milhões em tecnologias para se manter seguras e em treinamentos para aprender a usar essas novas
tecnologias, inclusive conscientizando os colaboradores sobre a importância de blindar as informações corporativas. Porém,
nem todas se preocupam em fornecer o devido treinamento aos funcionários quando o assunto é o descarte adequado de
documentos ou qualquer outro tipo de material que contenha informações sensíveis ao funcionamento da organização.

Utilizando-se desta técnica, o atacante pode encontrar dados sigilosos, como documentos, telefones, e-mails, endereços,
dados de reuniões, investimentos etc. E não apenas nos papéis que informações podem ser recuperadas, mas também em
discos rígidos (HDs), pendrives e cartões de memória, onde na maioria das vezes as informações podem ser integralmente
recuperadas mesmo após serem formatados. Em poder destas informações, o atacante pode evoluir para outras formas de
ataque, como phishing, spear phishing, vishing ou fraudes.

Esta é uma das técnicas mais utilizadas de no-tech hacking, pois quem a utiliza para cometer delitos geralmente busca
conseguir acesso a organização sem utilizar-se de falhas de computadores.

Em 2003, dois estudantes de graduação do Laboratório de Ciência da Computação do Massachusetts Institute of

Technology (MIT), Simson Garfinkel e Abhi Shelat, encontraram aproximadamente 5 mil números de cartões de crédito,
além de registros pessoais e de empresas, informações médicas e milhares de endereços eletrônicos. Isso tudo quando
vasculharam 158 discos descartados.

A principal medida recomendada para evitar casos como os que foram mencionados é a criação de uma política de
descarte, de modo que assegure que todos os papéis passem por um triturador de corte transversal antes que sejam
descartados. No caso dos componentes de hardware que armazenam dados cruciais, é fundamental que estes passem por
um processo de limpeza para garantir que os arquivos sejam apagados em definitivo.

Shoulder surfing

Em português, espiar sobre os ombros, este tipo de ataque ocorre quando o atacante se aproveita para olhar sobre o ombro
de uma vítima, espionando sua tela, em busca de senhas ou informações sigilosas.

Quem utiliza dispositivos como notebooks, tablets ou celulares para acessar contas de e-mail, internet banking ou redes
sociais em locais públicos, como shoppings ou aeroportos, sofre ou já sofreu deste tipo de ataque. Também é comum em
caixas eletrônicos e computadores.

Uma das soluções para esse tipo de ataque é utilizar em seus dispositivos filtro de privacidade, uma película fumê que
somente quem o vê de frente e próximo consegue enxergar perfeitamente a tela. E precaver-se de sempre olhar em volta
se há alguém próximo quando for digitar alguma senha ou ler informações sigilosas.

Tailgating
O tailgating é uma técnica física de engenharia social, que ocorre quando um indivíduo não autorizado segue algum
indivíduo autorizado até localizações de acesso restrito, explorando a boa vontade ou distração e tendo como objetivo obter
ativos valiosos e/ou informações confidenciais.

É o caso, por exemplo, de quando alguém pede para outro “segurar a porta” porque esqueceu seu crachá de acesso, ou
pede seu smartphone ou computador emprestado para fazer “algo rapidinho”, mas na verdade instala malwares e rouba
dados da máquina.

Para evitar ser vítima desta técnica, basta duvidar dos pedidos repentinos de acesso a locais onde há uma segurança
digital, como acesso por crachás, solicitando que o indivíduo procure o setor responsável pelas liberações de acesso e não
emprestando seus gadgets a estranhos.

Ferramentas de engenharia social

Há diversas ferramentas para utilização em engenharia social, no sistema operacional baseado em segurança: Kali Linux,
há uma seção apenas para este tipo de ferramentas, dentre elas estão: BeEF (Browser Exploitation Framework), Ghost
Phisher, MSFpayload, SET (Social Engineering Toolkit), U3-Pwn e o principal aplicativo para este fim, o Maltego, uma
ferramenta baseada em engenharia social que recolhe informações de diversas fontes públicas e relaciona os dados
recolhidos.

O Maltego utiliza uma eficiente varredura e coleta de informações através de bibliotecas gráficas, que permitem identificar
relações entre as informações disponibilizadas e identificar relações previamente desconhecidas, assim interliga todas as
contas, principalmente em redes sociais, relativas a um e-mail e mostra em um formato simples de entender.

Esta ferramenta pode economizar horas de trabalho, pois além de fazer a pesquisa, ela também determina onde toda essa
informação se correlaciona. Para realizar a pesquisa pode-se utilizar: nome, telefone, e-mail, url de site etc. e assim será
realizada uma pesquisa e este relacionará as demais informações encontradas.

Prevenção
Neste artigo, foram abordadas as técnicas de engenharia social juntamente aos melhores métodos de prevenção para
estas, mas o primeiro passo para se prevenir dos riscos relacionados ao uso da internet é estar ciente de que ela não tem
nada de "virtual".

Tudo o que ocorre ou é realizado por meio da internet é real: os dados são reais e as empresas e pessoas com quem você
interage são as mesmas que estão fora dela. Desta forma, os riscos aos quais você está exposto ao usá-la são os mesmos
presentes no seu dia a dia e os golpes que são aplicados por meio dela são similares àqueles que ocorrem na rua ou por
telefone.

É preciso, portanto, que você leve para a internet os mesmos cuidados e as mesmas preocupações que você tem no seu
dia a dia, como por exemplo: visitar apenas lojas confiáveis, não deixar públicos dados sensíveis, ficar atento quando "for
ao banco" ou "fizer compras", não passar informações a estranhos, não deixar a porta da sua casa aberta, etc.

Para tentar reduzir os riscos e se proteger é importante que você adote uma postura preventiva e que a atenção com a
segurança seja um hábito incorporado à sua rotina, independente de questões como local, tecnologia ou meio utilizado.

Conscientização do elo mais fraco da cadeia de Segurança da Informação

O universo da Segurança da Informação vem passando por um momento de mudanças graduais, constantes e significativas
devido ao avanço tecnológico e ao grande crescimento do cibercrime.

Inicialmente, os problemas de Segurança da Informação se baseavam em vírus e pichações (deface) nos websites.
Atualmente, entretanto, a introdução de tecnologias como IoT (Internet of Things, Internet das Coisas em português), por
exemplo, apesar de terem trazido mais velocidade e eficiência para os negócios, também ampliaram a superfície de ataque,
aumentando, consequentemente, o êxito dos ataques cibernéticos.

Os cibercriminosos estão cada vez mais sofisticados, ao invés de se exporem atacando diretamente as redes das
organizações, em que sabem que existem muitos mecanismos de proteção e detecção implementados, atacam o elo mais
fraco da cadeia, o usuário.

Segundo o Gartner Group, 70% dos incidentes de segurança que realmente causam prejuízos financeiros para as
empresas, envolvem insiders. No caso da Yahoo! que perdeu milhões de dólares em negociações devido à um vazamento
de dados, tudo começou com um e-mail phishing.

Muitas empresas estão sendo invadidas por ataques simples e nada sofisticados, os cibercriminosos tem utilizado técnicas
de engenharia social para persuadir as pessoas e conseguirem acesso às redes ou às informações. Ataques estes que
poderiam ser totalmente evitados caso os usuários tivessem sido conscientizados.

A conscientização em Segurança da Informação é capaz de gerar mudança no comportamento de todos e por isso é vista
como uma ferramenta com grande potencial para beneficiar as organizações.

Investimento em campanhas de conscientização de Segurança da

Informação
A grande repercussão dos casos de ciberataque, seguidos de vazamentos de informação corporativa, tem despertado a
atenção do público em geral para a questão da Segurança da Informação.

Esse ainda é um assunto novo para muitos e o investimento em conscientização e treinamento para todos os níveis da
organização, é, ainda hoje, uma das melhores e mais efetivas práticas de gestão de Segurança da Informação.

Todos os guias de boas práticas de gestão de SI apontam para a necessidade de envolver os usuários no processo de
segurança. E, por isso, assim como Firewall, Antispam e Antivírus, a conscientização em Segurança é parte essencial em
qualquer processo de Segurança da Informação.

Funcionários conscientes do quão importante são os dados e informações, com os quais trabalham, e de seu papel na
proteção desses ativos, redobram seus níveis de atenção e proteção.

Isso faz com que seja diminuído o sucesso dos ataques que poderiam vazar dados da empresa, dos colaboradores e até
mesmo dos clientes, debilitando a imagem da empresa.

Portanto, os membros da organização ficarão mais atentos a ataques e dispostos a participar de treinamentos à medida que
forem se conscientizando da importância do papel que desempenham dentro da empresa. Podendo, inclusive, propor novas
medidas de segurança, deixando de ser apenas um usuário conscientizado, e passando a ser um usuário participativo.

O que para as empresas é extremamente valioso, levando em consideração que, hoje em dia, os funcionários são vistos
pelos intrusos como potenciais alvos. E, por isso as empresas devem enxergar seus membros como soldados, e usá-los
como uma extensão dos mecanismos de detecção e resposta.

Tendo em mente o atual cenário, fica claro que investir em campanhas de conscientização não só protegem a sua empresa,
mas também qualificam o seu time, aumentando o engajamento dos colaboradores e agregam valor ao negócio.

Criando conscientização voltada à área de Segurança da Informação

Agora a questão é: por onde começar? O primeiro passo é definir um objetivo. Não só identificar e entender as
necessidades do negócio, mas também enxergar valor na ideia de conscientizar a equipe.

Em seguida, é importante que seja desenvolvida uma Política de Segurança da Informação (PSI). A PSI é a grande diretriz
da organização em matéria de segurança da informação. Contudo, somente a criação de uma Política de Segurança da
Informação não garante a segurança da empresa. Os colaboradores devem cumprir com a política estabelecida e é aqui
que as campanhas de conscientização entram como recurso, garantindo que toda a empresa seja treinada, educada e
conscientizada de acordo com as políticas e procedimentos da organização.

E para isso, é imprescindível que os usuários aprendam algumas boas práticas de comportamento e uso da Internet,
evitando que as ameaças afetem os negócios da empresa. Abaixo algumas práticas simples, mas que garantem mais
segurança não só para o usuário, mas principalmente para a organização:

Bloquear o computador ao se ausentar do posto de trabalho a fim de que ninguém tenha acesso aos seus dados;
Nunca disponibilizar logins e senhas, mesmo que para colegas de trabalho;
Ter atenção ao falar sobre a empresa, clientes ou negócios em táxis, elevadores e metros;
Utilizar as redes sociais com segurança, não disponibilizando informações sigilosas ou fazendo contato com
desconhecidos;
Verificar atentamente os e-mails recebidos e os seus dados;
Nunca fotografar o ambiente de trabalho, principalmente telas de computador e documentos;
Reportar à equipe de segurança de sua empresa qualquer problema ou desconfiança em relação às atitudes
suspeitas na internet;
 Seguir as políticas e práticas de segurança da empresa, a fim de que exista uma gestão funcional de segurança.

O objetivo dos programas de conscientização é munir as pessoas com informações e experiências, a fim de que elas
construam uma consciência própria e saibam como agir ao identificar um ataque.

Criar consciência para a questão da segurança é uma maneira de garantir que os membros da organização entendam seu
papel na proteção dos dados sensíveis, e que compreendam a importância do constante preparo necessário para enfrentar
novos desafios, dado que a criação de consciência para segurança é um ciclo.

E principalmente, as campanhas de conscientização para Segurança da Informação devem atingir todos os membros da
empresa, mirando todos os níveis da organização, incluindo gerentes e profissionais de nível sênior.

Conclusão
Portanto, com a abordagem de todas as técnicas de engenharia social, os danos que o uso desta pode causar, todos os
meios utilizados para o comprometimento da segurança da informação, bem como os métodos de prevenção e a
importância da conscientização do usuário, é visto que o passo inicial para que uma cultura de segurança seja criada é um
maior acesso a campanhas e uma maior divulgação dos riscos o qual o usuário está sujeito.

Isso porque, as campanhas visam não só educar e conscientizar o usuário, mas procura informá-lo sobre as reais ameaças
as quais ele está exposto, ensinando como identificar e reagir aos diferentes ataques, sejam eles online ou não.

Estar consciente não significa saber tudo sobre todas as possíveis formas de ataque às quais você pode ser submetido,
mas entender o grau de importância das informações com as quais você está lidando e redobrar sua atenção e cuidado a
fim de proteger os seus dados mais sensíveis.

No âmbito corporativo, onde pode envolver grandes perdas financeiras e morais, também é necessário o investimento no
conhecimento, políticas e práticas de segurança bem definidas, aparatos tecnológicos capazes de identificar e impedir
ataques e uma equipe conscientizada, educada e engajada com as causas do negócio, assim dificilmente este sofrerá com
prejuízos causados por ataques.

Referências Bibliográficas
WIKIVERSITY BETA. Security and Privacy in a Networked World/No Tech Hacking. Disponível em:
https://beta.wikiversity.org – Acesso em: 26 maio 2018.

CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE INCIDENTES DE SEGURANÇA NO BRASIL. Golpes na

Internet. Disponível em: https://cartilha.cert.br Acesso em: 26 maio 2018.

EXAME. Crise colocou o carioca em posição vulnerável frente ao cibercrime. Publicado por: Dino. Disponível em:
https://exame.abril.com.br – Acesso em: 27 maio 2018.

PROOF. Ataques de engenharia social: tudo que você precisa saber! Disponível em: https://www.proof.com.br – Acesso
em: 27 maio 2018.

BANDA B. Como não cair no golpe de falso sequestro. Publicado por: Evandro Razzoto. Disponível em:
https://www.bandab.com.br – Acesso em: 02 junho 2018.

LINKEDIN. Engenharia Social: por que se importar? Publicado por: Eduardo Vasconcelos. Disponível em:
https://pt.linkedin.com – Acesso em: 02 junho 2018.

PROOF. Segurança em redes sociais: marcas, privacidade, e reputação. Seu negócio está blindado? Disponível em:
https://www.proof.com.br – Acesso em: 03 junho 2018.

DIALNET. Um estudo sobre a confiança em segurança da informação focado na prevenção a ataques de engenharia
social nas comunicações digitais. Jorge Henrique Cabral Fernandes e Raul Carvalho de Souza. Disponível em:
https://dialnet.unirioja.es – Acesso em 03 junho 2018.

CORNELL UNIVERSITY LIBRARY. Case study on social engineering techniques for persuasion. Mosin Hasan, NIlesh
Prajapati e Safvan Vohara. Disponível em: https://arvix.org – Acesso em: 09 junho 2018.

AVG. O que é o malware de cavalo de Troia? Jonathan Lemonnier. Disponível em https://www.avg.com – Acesso em: 09
junho 2018.
PROOF. Qual a importância da conscientização de usuários para a segurança da informação? Disponível em:
https://www.proof.com.br – Acesso em: 09 junho 2018.

Por Douglas da Fonseca Rocha - Pós-Graduando em Segurança de Redes de Computadores pela Universidade Estácio de
Sá.

Fonte: Brasil Escola - https://meuartigo.brasilescola.uol.com.br/atualidades/engenharia-social-compreendendo-ataques-

importancia-conscientizacao.htm