Chapter 1 Social Engineering Techniques

ENGENHARIA SOCIAL: É uma técnica utilizada por indivíduos mal-intencionados que

tem como objetivo enganar as pessoas para obter alguma informação confidencial, acesso
a sistema que não deveria, realizar atividades que prejudicam os outros.
A engenharia social explora a vulnerabilidade Humana, aproveitando da confiança, falta de
conhecimento ou ingenuidade humana.

A única defesa contra a engenharia social e a educação e conscientização do usuário.

Phishing (Pescaria):

A técnica se baseia na pesca de informação, o atacante envia uma “isca” (um link
normalmente). Pode ser utilizado QUALQUER meio de comunicação telefone, interação
pessoalmente, porém o mais comum é por e-mail, visando sempre a obtenção de uma
informação sensível, confidencial ou privada.
O mais comum é o envio de um e-mail com o link, o atacante envia uma mensagem que
parece ser autêntica e sempre tenta atiçar a curiosidade da vítima, é muito comum que na
mensagem, seja informando que a vítima ganhou algum valor financeiro como prêmio de
algum sorteio, que o governo está devolvendo algum dinheiro por algum motivo ou até
mesmo que ela é herdeira de uma fortuna, normalmente a pessoa tem de fazer um depósito
primeiramente para poder receber o valor que foi “Sorteado/Premiado”.

Como evitar o ataque?

Para se proteger do ataque de Phishing, o usuário deve tomar cuidado ao clicar em links
recebidos por e-mail, mensagens instantâneas (whatsAPP, Telegram ou SMS) ou por
qualquer rede social. Se for de um remetente desconhecido nunca clicar, se for de
remetente conhecido, deve se validar se a pessoa é ela mesmo e não um atacante tentando
se passar por alguém conhecido.
Tipos de Phishing:
● Smishing
● Vishing

Smishing:

É o ataque executado por serviço ou aplicativos de mensagens de texto (whatsAPP,

Telegram ou SMS), normalmente o texto vem com um link solicitando uma resposta, caso
seja acessado é desencadeado um Cramming* ()

*Cramming* É quando uma cobrança falsa ou não autorizada é realizada na conta/linha

do usuário.

A mensagens podem incluir:

● Links maliciosos
● Um pretexto como introdução
● contemplação em sorteios ou rifas

Vishing:
 - É o ataque de phishing só que realizado por telefone ou sistema de Voip, os atacantes
preferem usar o voip pela facilidade de falsificar o identificador de chamada e com isso
parecer uma chamada autêntica.
- Esse ataque é muito utilizado para obter credenciais pessoais, como cartão de crédito,
dados sigilosos e relacionados.
- O ataque pode ser parcial ou totalmente automatizado

Spam:

É qualquer e-mail não desejado ou não solicitado.

é considerado um problema por vários motivos:
● Pode conter códigos maliciosos, como vírus, bombas lógicas, ransomware ou cavalo
de troia.
● Pode conter Fake News (Hoax)
● Desperdiçar nosso tempo classificando e com spam e excluindo
● Desperdiça recursos da internet, como armazenamento, processamento e banda.

Como evitar?
usar filtro Antispam, regras de e-mail e um bom antivírus, que tenha filtro de spam.
Spam over Internet messaging (SPIM):

É similar ao SPAM, porém é utilizado por mensagem de texto instantâneas whatsAPP,

Telegram ou SMS.
OBS: Um SPIM pode conter um Smishing, uma coisa não anula outra.
Spear Phishing:

● É um ataque de Phishing direcionado a um Grupo específico de usuário de um

departamento ou de toda a empresa.
● Pode ser utilizado contra cliente de uma empresa que teve seus dados
comprometidos/vazados, o atacante usa os dados roubados e envia mensagem
falsas sobre outros serviços afim de “pescar” as vítimas
● Pode ser utilizado para simular um comunicado de um diretor ou funcionário de alto
escalão da empresa, os atacantes passam pelos executivos, tentando convencer a
contabilidade ou financeiro a fazer pagamentos, transferências ou até mesmo
realizar compras específicas.

Dumpster Diving(Vasculhar no lixo):

É a técnica de vasculhar o lixo a procura de alguma informação confidencial que possa ser
usada para obtenção de alguma vantagem, isso inclui desde lixo comum de papel até
mídias físicas com CD e DVD ou dispositivos de armazenamento como HD, SSD ou pen
drive.
Os atacantes usam as informações pessoais para fraudes financeiras, ataques de whaling
contra executivos de alto escalão.
empresas devem cuidar do descarte de informação.
Baiting ou Bait(isca):

Quando o invasor deixa algo para ser pego pela vítima alvo, pode ser um USB, CD, até
mesmo um QR code.
Resumindo, enquanto o phishing envolve a criação de mensagens fraudulentas para obter
informações confidenciais, o baiting se baseia em oferecer uma isca atraente para enganar
as pessoas a realizarem ações prejudiciais ou revelarem informações confidenciais. Ambas
as técnicas exploram a engenharia social para tirar proveito das vítimas, mas possuem
abordagens diferentes.

Shoulder Surfing(olhar sobre os ombros):

É a prática de espiar por cima dos ombros de alguém, para obter informações confidenciais
como senha, credenciais entre outras informações.
Pode acontecer em caixas eletrônicos, escritórios, transporte público entre outros..
Como se defender?
Utilizar uma pessoa por caixa eletrônico,
Usar filtro de telas dos monitores para dificultar a visão,
sempre ao sair da mesa de trabalho deve se bloquear o computador
Pharming(Redirecionamento de site):

É o redirecionamento malicioso de um URL ou endereço IP de um site válido para um site

falso, semelhante ao original.
O site falso costuma ser idêntico ao legítimo, mas às vezes pode não ter todas as
funcionalidades do original implementadas.
O ataque é realizado por meio de instalação de códigos maliciosos ou por redirecionamento
de DNS
Tailgating (Pegar carona no acesso):

É quando uma pessoa que tem permissão de acesso a um determinado lugar, acessa o
local, porém uma segunda pessoa que não tem acesso ao local pega carona com a primeira
e desse modo consegue o acesso ao local, desse modo a pessoa que não tinha autorização
de acesso consegue entrar.
Exemplo é quando duas pessoas passam na porta giratória do banco ou quando um
morador acessa seu prédio e outra pessoa entra junto, se passando por morador.

Piggybacking(Pegar carona no acesso, se passando por entregador):

É semelhante ao tailgating, mas tem uma diferença,o ataque ocorre quando alguém não
autorizado obtém o acesso ao local pela autorização de um funcionário o enganando para
que dê a autorização.
Pode acontecer com uma pessoa fingindo ser um entregador ou medidor de água ou
energia.
Eliciting information (Extraindo informações):

É a atividade de reunir ou coletar informações de um sistema ou pessoa com o intuito de

realizar um ataque.
Pode ser utilizado para incrementar o pretexto para ser utilizado em um ataque de
engenharia social.
Para se defender, as precauções são as mesmas que são usadas contra engenharia social.
● Classificar informações,
● controlar a publicação e movimentação de dados confidenciais,
● treinar as pessoas para estarem cientes dos perigos desses tipos de obtenção de
informação
● Reportar qualquer atividade suspeita à equipe de segurança.
Whaling(Spear Phising de “baleias da empresa”):

É uma forma de spear phishing que tem como alvo, indivíduos de alto valor como CEO,
executivos de alto escalão das empresas até mesmo administradores ou clientes de grande
patrimônio
Como evitar?
educando a gerência sênior e os executivos de alto escalão

Prepending (Adição de cabeçalho):

É a adição de um termo, expressão ou frase no cabeçalho de uma comunicação
utilizado de um prefixo, tem como objetivo aumentar o convencimento da mensagem ser
legítima.
Alguns exemplos, RE ou FW para dar a impressão de continuação de mensagem
urgência no comunicado, autorizado, verificado, liberado, aprovado, entre outros.
A ideia é dar urgência ao e-mail e fazer com que o usuário realize alguma ação sem poder
pensar muito com isso criando uma brecha na segurança.
Identity fraud(Fraude de identidade):

Existem dois conceitos,

● O primeiro é o roubo de identidade
● O segundo é a fraude de identidade,
para ocorrer a fraude o roubo de identidade deve ocorrer antes.
Depois que a identidade é roubada, o atacante pode realizar saques indevidos,
transferências, compras, solicitações de crédito, entre outros.
Roubo de identidade e a fraude de identidade pode ser consideras como Spofing
(Falsificação)

invoice scams (boletos falsos):

- É quando o atacante usa uma fatura falsa se passando por uma verdadeira, com o intuito
de roubar recursos de uma empresa ou pessoas, o método utiliza forte incentivo de
pagamento, como desconto muito grande da dívida ou força urgência no pagamento.
- Esse tipo de ataque pode chegar por e-mail ou ser uma continuação de um golpe do
Vishing.
Como evitar?
Educando o usuário a só realizar pagamentos que venham de origem confiáveis e sempre
garantir a origem dos boletos.
Credential harvesting (colheita de credenciais):
Colheita de credencial, ela consiste em roubar credenciais dos usuários,elas por muitas
vezes são compartilhadas entre os hackers.
Grandes colheitas são comemoradas e são mercadorias valiosas na comunidade hackers
maliciosos.
As grandes colheitas se originam na invasão e roubo de grandes bancos de dados.
O site haveibeebpwned.com é possível ver se seu e-mail foi vazado.

Reconnaissance(reconhecimento do alvo):
É o reconhecimento e coleta de informação sobre um determinado alvo com o intuito de
planejar um ataque.
Pode incluir todos os ataques de engenharia social.
Hoax(Fake news):

É a técnica de engenharia social de convencer o alvo a realizar uma ação que causará
danos ou reduzirá a segurança de TI.
A vítima pode ser instruída a excluir um arquivo ou alterar uma configuração ou instalar um
software.

Mensagens falsas tendem a encorajar a vítima a passar a mensagem para os outros de

forma mais alarmante.
Uma mensagem falsa apresenta um tom de ameaça, e em seguida, fornece uma solução
que se nenhuma ação for tomada poderá acarretar danos à pessoa.
Se uma ameaça for real, provavelmente ela será amplamente discutida.
Impersonation(se passar por outro):

- É o ataque de quando uma pessoa se passa por outra para usar seu acesso ou
autoridade.
- A defesa de local físico pode incluir o uso de crachá de acesso, guardas de segurança e
exigências de apresentação de documentos de identidade.
- Se uma pessoa de fora da organização ou um prestador de serviço for efetuar uma visita,
o mesmo deve ser identificado previamente.

Watering Hole Attack:

- É um ataque direcionado contra um alvo, identificado anteriormente através de outras
técnicas de engenharia social,
- Estuda a rotina de navegação da vítima
- Quando o alvo visita um site, o código infecta o computador e permite que os atacantes
acessem remotamente a máquina infectada.
- essa técnica é bastante eficaz para se infiltrar em grupos bem protegidos.
Typo squatting:

- É a prática utilizada quando um usuário digita incorretamente o nome de domínio ou

endereço IP de um recurso pretendido. o invasor prever esses possíveis erros de digitação
e registra esses nomes de domínios para redirecionar o tráfego para o seu site próprio.
- URL Hijacking(Sequestro de URL) Refere-se à prática de exibir um link ou anúncio que
se parece com um produto, serviço ou produto alternativo.
- Clickjacking (Sequestro de Clique) É o meio de redirecionar o clique ou a seleção de um
usuario em uma pagina para um alvo alternativo malicioso. pode ser uma sobreposição
oculta na pagina legítima, sendo mostrado a página original, mas qualquer clique, o leva
para a página maliciosa.

Influence campaigns:

- São ataques de engenharia social que tentam mudar uma opinião pública,
- As campanhas de influência estão ligadas a distribuição de desinformação, propaganda,
notícias falsas e até mesmo prática de doxing
- Doxing é a prática de coletar e divulgar informações pessoais de uma pessoa sem o seu
consentimento, geralmente com o objetivo de expô-la, envergonhá-la ou causar danos.
Essas informações podem incluir nome completo, endereço, número de telefone, endereço
de e-mail, dados de redes sociais, informações financeiras e outros detalhes pessoais. O
doxing pode ser realizado por motivos de vingança, assédio, perseguição ou como uma
forma de ataque cibernético. É uma atividade ilegal e viola a privacidade e a segurança das
pessoas envolvidas.
● Hybrid warfare: A guerra híbrida, por sua vez, é uma estratégia que
combina táticas convencionais e não convencionais, como propaganda,
desinformação, ciberataques, operações psicológicas e uso de grupos
paramilitares, para alcançar objetivos políticos, militares ou econômicos. É
uma abordagem que busca explorar as vulnerabilidades de um adversário,
utilizando uma combinação de meios militares e não militares para obter
vantagem estratégica.
Dessa forma, as campanhas de influência são uma parte importante
da guerra híbrida, pois buscam influenciar a percepção e a opinião pública
para enfraquecer adversários ou alcançar objetivos específicos. Através da
disseminação de informações enganosas, manipulação de redes sociais,
ataques cibernéticos e outras táticas, essas campanhas buscam minar a
estabilidade e a confiança em instituições e processos políticos, criando um
ambiente favorável aos interesses dos atores envolvidos.
● Social Media: As campanhas de influência nas redes sociais referem-se a
estratégias de manipulação de informações e opiniões que são conduzidas
através de plataformas de mídia social, como Facebook, Twitter, Instagram,
YouTube, entre outras.Essas campanhas têm como objetivo moldar a
percepção e influenciar o comportamento dos usuários das redes sociais,
visando alcançar determinados objetivos políticos, sociais, econômicos ou
ideológicos. Elas podem ser conduzidas por governos, organizações, grupos
de interesse ou atores individuais.
As táticas utilizadas nessas campanhas podem incluir a disseminação de
informações falsas ou enganosas (desinformação), a criação de perfis falsos
ou bots para amplificar mensagens específicas, a manipulação de algoritmos
para aumentar a visibilidade de determinados conteúdos e a segmentação
precisa de públicos-alvo para direcionar mensagens personalizadas.
Essas campanhas podem ter impactos significativos, uma vez que as redes
sociais têm um alcance global e são amplamente utilizadas como fonte de
notícias e informações. A disseminação rápida e viral de conteúdos nas
redes sociais pode influenciar a opinião pública, polarizar debates, minar a
confiança em instituições e até mesmo afetar processos eleitorais.
No entanto, é importante ressaltar que nem toda atividade de influência nas
redes sociais é mal-intencionada. Muitas organizações legítimas, como
empresas, ONGs e movimentos sociais, também utilizam essas plataformas
para promover suas mensagens e mobilizar apoiadores. O problema reside
nas campanhas que buscam manipular e enganar os usuários, muitas vezes
com objetivos ocultos ou prejudiciais.
Principles (Reasons for effectiveness)

Princípios da Engenharia Social e suas Razões de Eficácia:

A Engenharia Social é uma técnica utilizada por atacantes para manipular e enganar
pessoas, buscando obter acesso não autorizado a sistemas, informações confidenciais ou
realizar ações maliciosas. Aqui estão alguns princípios da Engenharia Social e as razões de
sua eficácia:

● Authority (Autoridade): Os atacantes podem se passar por pessoas com

autoridade, como executivos, funcionários de suporte técnico ou agentes de
aplicação da lei, para obter confiança e convencer as vítimas a fornecer informações
sensíveis ou executar ações indesejadas. A autoridade percebida pode levar as
pessoas a agirem sem questionar

● Intimidation (Intimidação) A intimidação às vezes pode ser vista como um

derivado do princípio da autoridade.
o uso de autoridade, confiança ou mesmo ameaça de dano para motivar
alguém a seguir ordens ou instruções.
Muitas vezes a intimidação está focada em explorar a incerteza de uma
situação em que uma diretiva clara de operação ou resposta não está
definida.
Eficaz em ataques de Vishing e impersonation.
● Consensus: O princípio do consenso se baseia na ideia de que é mais provável
que as pessoas acreditem ou ajam de acordo com o que acreditam ser amplamente
aceito ou apoiado por um grupo. Aqui estão algumas razões pelas quais o consenso
é efetivo:
Pode ser usado para explorar uma inclinação humana de comprar um produto ao
receber muitas avaliações favoráveis.
Utilizado muito em ataques de Tojan e hoax
● Scarcity (escassez): É uma técnica usada para convencer alguém que um objeto
tem valor mais alto com base nas escassez dele
Pode estar relacionado a existência de apenas alguns itens ou edições limitadas.
Aumenta a eficácia dos ataques de Trojan ou phishing.
● Familiarity (familiaridade): é o princípio que tenta explorar a confiança de uma
pessoa em algo familiar, o atacante tenta parecer ter um contato ou ser íntimo do
alvo, utilizando experiências em comuns ou se passando por outra pessoa.
receber uma sugestão de uma pessoa admirada ou querida, pode aumentar o
convencimento.
● Trust (Confiança): a confiança tem como objetivo do atacante tentar desenvolver
um relacionamento com o alvo.
Ganhando a confiança do alvo pode facilitar a obtenção de informações.
● Uregency (urgência): A urgência muitas vezes se parece com a escassez, pois a
necessidade de agir rapidamente aumenta à medida que a escassez indica um risco
maior de perda.
Se algo for urgente, as pessoas vão agir de forma imediata e por vezes ignorando
alguns princípios de segurança.