Todos os e-mails de phishing que você recebe de alguma empresa, e com a qual você acha que pode ter feito algum tipo de negócio, são exemplos clássicos de engenharia social. Felizmente, alguns deles são ridiculamente amadores como o whopper de Natal baseado em Facebook do varejista britânico Asda, oferecendo um voucher free shopping de £ 500. Falando sério, quem nunca ouviu falar de qualquer negócio, cuja única razão seja o lucro?
Engenharia Social, Projeção de Malware e Roubo de Informações
Entretanto, há umas investidas de engenharia social que são assustadoramente sutis. Apenas alguns dias, um rapaz recebeu um pagamento de uma empresa, com sede em Dubai. Poucas horas depois de receber a notificação do pagamento por e-mail, ele recebeu outra notificação de uma casa de câmbio também situada em Dubai. Pensando que era alguma coisa relacionada com o pagamento, o rapaz clicou no link, mas felizmente, o seu software antivírus, imediatamente, colocou em quarentena a página da Web, que estava carregada com malware projetado para "fuçar" seu computador e transmitir informações pessoais de volta para os crackers.
Mas como é que eles fazem isso? Os crackers tem algum tipo de código sniffer, que está tendo acesso aos endereços de e-mail do departamento de pagamento de contas. Em face disso, a pessoa está sendo "bem vinda" ao mundo brilhante (as vezes não tão brilhante assim) da engenharia social digital - "a arte da pirataria humana", como alguns dizem.
Você pode ter ou não ouvido falar sobre Kevin Mitnick, que ajudou a trazer a frase "engenharia social" para o vernáculo do cotidiano. Hoje ele é um consultor de segurança, mas ainda não é visto 100% com bons olhos, afinal de contas, ele já esteve no submundo do crime cibernético, ele já foi um cybercriminoso. Kevin cumpriu cinco anos de prisão, depois de ser condenado por uma série de acusações de práticas cybercriminosas. Tal era o desconforto sentido pelas autoridades em relação a Mitnick, que passou oito meses na solitária, porque de acordo com ele próprio, um juiz estava convencido de que ele tinha a capacidade de "começar uma guerra nuclear."
Dessa forma, a aplicação da lei havia dito ao juiz que ele pudesse de alguma forma, discar para um modem NORAD através de um telefone público da prisão, e se comunicar com o modem para lançar mísseis nucleares. Se fosse assim tão fácil lançar mísseis nucleares, estaríamos provavelmente todos transformados em mais do que memórias, desaparecendo nas mentes cauterizadas de alguns sobreviventes.
Atenção às Práticas de Engenharia Social
Enquanto isso simplesmente revelava a ignorância por parte das autoridades da época, Mitnick alegava que, simplesmente, havia aplicado habilidades de engenharia social, para obter senhas e códigos que permitiam o acesso aos sistemas. E assim foi possível analisar como tal é o poder persuasivo de engenharia social. Mensagens como "Fique rico, clicando neste link", passam a ser tentadoras para os desavisados e curiosos, embora muitas chamadas para este tipo de prática seja uma coisa frequente nos últimos tempos. Mesmo que as caixas de entrada das pessoas possam ser tomadas com tentativas de phishing mal trabalhadas, ou mesmo por assuntos empreendedores incrivelmente brilhantes (de forma aparente), muitos ainda pensam que não serão vítimas de tentativas de engenharia social. Afinal, estamos muito inteligentes para nos deixarmos enganar - ou não estamos?
Mas quantos de nós pensamos que nossas casas serão assaltadas? E só quando uma situação assim acontece, faz com que possamos tomar conscientes das muitas vulnerabilidades e pontos de entrada para os assaltantes. Dessa forma, começamos a nos questionar sobre o por quê perdemos o óbvio. O golpe de engenharia social, clássico, que todo mundo sabe, é o e-mail nigeriano. Ele oferece grandes chances de enriquecer, em troca de um pequeno investimento necessário para liberação de recursos. É tão difundido nos dias de hoje que algumas pessoas "se apaixonam" por ele, embora, sem dúvida, ele tenha feito um monte de vítimas.
Afinal, qual pessoa inteligente (e esperta) não gostaria de investir uma quantidade relativamente pequena para ganhar uma quantidade maior? É uma coisa inteligente a fazer, não é? Os fornecedores de software são melhores para a criação de código porque são mais difíceis de quebrar, o que é uma das razões pela qual os crackers estão cada vez mais se voltando para habilidades de engenharia social. Mas com tanta informação pessoal on-line disponível, claro, ladrões de identidade usam muitos aspectos de engenharia social para ter acesso ao nome de uma pessoa, números de conta bancária, endereço, data de nascimento sem o conhecimento do proprietário.
Cybercriminosos e Transações nas Camadas Obscuras da Web
Então você quer adquirir um dispositivo móvel de última geração por um preço bem abaixo em relação ao que ele realmente custa? Este é um dos fatores que impulsiona a onda de phishing de engenharia social. A partir dessas práticas, usando e-mails mal intencionados, basta a pessoa clicar no link e involuntariamente, vai implantar malware em seu computador. E esse malware irá colher seus dados pessoais. Essa é prática ideal para os crackers, porque é anônima, é eficaz e há poucas chances de ser descoberta.
Nas camadas mais obscuras da Web, muitos crackers estabelecem os mais diversos tipos de transação. Uma multidão particular, que parece ter sede na Índia, criou uma loja oferecendo aos compradores de mercadorias da Amazon, produtos varejistas por um terço do preço. Eles se concentram em vender produtos da Apple, por causa da alta demanda para todas as coisas da Apple, a partir de tablets ate telefones. Eles "simplesmente compram os produtos, utilizando engenharia social para colher números de cartões de crédito/débito e, em seguida, usam os detalhes para fazer a compra, que depois vendem para outros compradores em negociações que acontecem nas camadas mais profundas da Web, a também chamada Deep Web, onde há uma enorme concentração de mercados clandestinos.
Os Efeitos Destrutivos da Engenharia Social Minimizados no Mundo Real
Felizmente, no mundo digital os efeitos destrutivos da engenharia social tendem a ser um pouco mais limitados e não envolvem a perda de vidas. E o fato é que muitos de nós experimentamos a engenharia social "positiva" a cada dia, sem ter consciência disso. Pessoas usam as habilidades de engenharia social para descobrir quais são as necessidades do outro. Até mesmo os governos utilizam engenharia social para controlar as mensagens que eles liberam, bem como as pessoas que eles governam.
Saiba Mais:
[1] Blog Bull Guard http://blog.bullguard.com/2014/01/so...n-hacking.html