Como Não Ser Roubado por um Engenheiro Social

Para que vou perder tempo hackeando um sistema se o usuário pode me dar tudo que eu quero? Esse é a grande pergunta do engenheiro social. Logo, você começa a pensar em explorar as vulnerabilidades humanas. Se já prendi a sua atenção, você vai refletir sobre as suas próprias vulnerabilidades e se alguém está se aproveitando disso.

O engenheiro social é um cara que entende das emoções. Logo, ele explora sentimentos, tais como: Ego, Medo, Frustração, Curiosidade, Confiança, Empatia, Autoridade, Reciprocidade, Urgência, Ignorância, Culpa e Insegurança.

Se você sente algum desses sentimentos, logo, você pode ter brechas de segurança. Mas, como assim?

Quando o engenheiro social entra em um ambiente que ele deseja invadir, roubar dados, ele analisa o ambiente e as pessoas. No ambiente é verificado se tem câmeras, equipamentos, cabos, e assim, analisa a infraestrutura do local, e o que ele pode explorar.

Já as pessoas, ele analisa crachá, roupas, semblantes, responsabilidades, postura corporal, modo de falar, dicção. Assim, ao chegar perto de uma atendente, o engenheiro social pode testar como ela reage a elogios. Algo como... Nossa, como você é linda. Gosto de ser atendido por lindas mulheres.

Se a pessoa sente-se envergonhada, ou fica com a face série, ele já tem como identificar traços do perfil comportamental da pessoa, e assim, decidir qual será a próxima abordagem. O engenheiro social é um tipo de phishing humano. Ele joga a isca e espera alguém morder.

Um homem com a camisa do time de futebol favorita, ele pode chegar e comentar sobre o último jogo, e fazer com que você se conecte com ele, gerando empatia, e assim, abrindo espaço para uma confiança temporária, por o engenheiro ter te feito se sentir bem.

Mas, é algo muito sutil. Afinal, ele está te testando, analisando, avaliando, para fazer um ataque em outro momento, ou ainda, coletar informações e dados sobre você, e a empresa que você trabalha, a sua família, para te atacar onde te gera medo, dúvida, e mais alguns sentimentos negativos.

Assim, você pode depois receber um e-mail, informando que você foi selecionado para ganhar uma bolsa de estudos, através do seu perfil do linkedin. Assim, ao clicar no link, curioso para saber sobre a bolsa, você se cadastra, dando seu endereço de e-mail e whats app, para depois, alguém entrar em contato contigo.

Antes, tudo era feito via telefone. Mas, hoje em dia, tudo é feito pelo whats app. Uma simples mensagem, como:

Bom dia, Guilherme. Analisei seu perfil e você parece ser um candidato em potencial para a vaga de programador júnior, na empresa Teclas. Caso tenha interesse em saber mais sobre a vaga, clique no link e deixe aqui, um mensagem, demonstrando interesse.

Clicou no link, você já estará disponibilizando algum acesso ao invasor. Mas, para que ele conseguisse te abordar assim, ele pesquisou seu perfil, viu os dados que você adicionou nas redes sociais, comentários, e mais, para depois, te ofertar algo e assim, começar o ataque digital, ou começar a brincar com a sua mente, caso você não clique, mas responda a mensagem.

Ele vai abordar a urgência, para que você responda rápido e assim consiga a falsa vaga. Ou ainda, pode te fazer sentir-se confiante, por achar que o contato vem de um recursos humanos, e assim, você começar a passar as informações que ele deseja sabe, tal como, currículo, e pede sempre para você praticar algum ação, seja clicar num link, ou baixar algo, afinal, ele está usando a vulnerabilidade humana, para conseguir acesso aos meios digitais, e assim, ter controle de tudo que precisar para realizar as finalidades dele.

Como não ser roubado diante de tudo isso, ou dar acesso de forma voluntária ao invasor? É preciso aprender a gerir suas emoções, que são a parte mais explorada, além de aprender a lidar com ataques, afinal, nos dias de hoje, muitas pessoas nos atacam, mas sem ter consciência de que são práticas de engenharia social.

Algo como, um chefe abusivo, que chega na sala com postura forte, falando com tom de voz elevado, apontando a mão para você, e te dizendo para fazer algo. Por medo, urgência, necessidade de realizar o trabalho, você perde o senso crítico, não questiona, e faz a atividade, que pode ser ilegal, até por falta de conhecimento.

Imagine que você trabalha com implantação de um sistema de prontuário eletrônico, que armazena dados sensíveis, de pacientes, e seu chefe, que não é médico, quer acessar o prontuário de um paciência específico. Logo, te solicita que você baixe o prontuário e o envie para o e-mail.

Se você fizer, por ser uma ordem do seu chefe, você estará explorando a sua autoridade no sistema, para dar acesso a dados sensíveis, que não devem vazar, seja para chefe, seja para o meio externo. Logo, seu chefe explorou a sua falta de conhecimento, alegando que era urgente, que era de sua responsabilidade, e você por medo de questionar, libera.

Isso é usar engenharia social, mesmo que ele não saiba disso. Então, se você não conhece, fica vulnerável, pois não sabe como identificar os ataques, e assim, abre espaço para o invasor.

Como aprendi isso? Séries, tal como, Mr. Robot, e livros tal como, Engenharia Social e Hacker Ético, e trabalhos de conclusão de curso, tal como, Fator Humano - O Elo mais Fraco da Segurança da Informação, além de participar de cursos online de cibersegurança, e estudar sobre isso, na especialização de segurança da informação, analisando vazamentos de dados.

O livro 48 leis do poder pode abrir sua mente, sobre os ataques que você pode receber diariamente, e você nem percebe. Logo, é uma ferramenta de defesa cibernética.

Logo, para não ser roubado, conheça o tema, aprenda a lidar melhor com as suas emoções, controle as informações que sai de você, e desconfie, principalmente, quando achar que tem algo estranho na pessoa. O ataque vem de onde menos esperamos. Fique alerta.

Gostou? Leia também: Como Pescar um Recrutador e Conseguir a Vaga? Ataque de Phishing: https://web.dio.me/articles/como-pescar-um-recrutador-e-conseguir-a-vaga-ataque-de-phishing?back=%2Farticles&page=1&order=oldest