Postagem em destaque

Como iniciar a sua carreira de Segurança da Informação?

Planejamento para se tornar um Analista de Segurança da Informação. Monte o Seu. Após um pouco de pesquisa sobre o tema e conversad...

Engenharia social prejudica cibersegurança

Confira as seis técnicas de influência que devem ser observadas no mundo digital 

O mais recente white paper da Intel Security, ‘Hacking the Human OS’ (Invadindo o Sistema Operacional Humano), mostra a extensão e a gravidade da engenharia social. O estudo também ressalta a importância do treinamento em segurança corporativa no combate ao cibercrime, cujo custo global chega a uma estimativa de $445 bilhões.

A análise, aprovada pelo Centro Europeu Contra o Cibercrime da Europol, revela as mais recentes técnicas de persuasão utilizadas por cibercriminosos. São estratégias para manipular os funcionários das empresas a executarem ações que eles normalmente não fariam, resultando na perda de dinheiro ou de dados valiosos.

“O tema mais comum nas investigações de violações de dados é o uso de engenharia social para coagir o usuário a realizar uma ação que facilita a infecção por um malware,” comenta Raj Samani, CTO da Intel Security para a região EMEA e conselheiro do Centro Europeu Contra o Cibercrime da Europol.


 O predomínio da engenharia social em muitos ataques demonstra uma fraqueza inerente na capacidade das vítimas em distinguir as comunicações mal-intencionadas. De acordo com o estudo, os criminosos estão utilizando métodos mais complexos para evitar o “firewall humano”.


Segundo dados do McAfee Labs, dois terços de todos os e-mails do mundo atualmente são spam, mensagens com o objetivo de extorquir informações e/ou roubar dinheiro. O levantamento da McAfee mostra ainda que 80% dos colaboradores são incapazes de detectar as fraudes de phishing por e-mail, as mais frequentes.

O McAfee Labs registrou um aumento dramático no uso de URLs maliciosas, com mais de 30 milhões de URLs suspeitas identificadas até o final de 2014. O aumento é atribuído à utilização de novas URLs curtas, as quais frequentemente escondem sites maliciosos, além de um incremento nas URLs de phishing.

Essas URLs, muitas vezes, são ‘falsificadas’ para esconder o verdadeiro destino do link. Também são usadas frequentemente por cibercriminosos em e-mails de phishing para enganar os funcionários.

O white paper da Intel Security revela algumas das técnicas de persuasão utilizadas atualmente pelos cibercriminosos para contornar a conscientização dos seus alvos e manipular as vítimas através do uso de técnicas subconscientes de influência.

“Os cibercriminosos de hoje não precisam, necessariamente, de um conhecimento técnico considerável para alcançar seus objetivos. Algumas ferramentas maliciosas bem conhecidas são enviadas através de e-mails de spear-phishing e dependem de uma manipulação psicológica para infectar os computadores das vítimas. As vítimas são persuadidas a abrir anexos de e-mails supostamente legítimos e sedutores ou a clicar em um link no corpo do e-mail, o qual parecia vir de fontes confiáveis”, comenta Paul Gillen, Chefe de Operações do Centro Europeu Contra o Cibercrime da Europol. 

Confira as seis técnicas de influência que devem ser observadas no mundo digital 

1. Reciprocidade: Quando as pessoas ganham algo, eles tendem a se sentir obrigadas a retribuir o favor em seguida.

2. Escassez: As pessoas tendem a agir em conformidade quando acreditam que algo está no fim. Por exemplo, um e-mail cujo conteúdo dá a impressão de ser de um banco, pedindo ao usuário para agir em conformidade com uma solicitação, caso contrário, a conta será desativada dentro de 24 horas.

3. Consistência: Uma vez que os alvos ‘prometem’ fazer algo, eles geralmente cumprem suas promessas, pois as pessoas não querem dar a impressão de serem desonestas ou de não serem dignas de confiança. Por exemplo, um hacker se passa por alguém da equipe de TI de uma empresa pode fazer com que um colaborador concorde em cumprir todos os processos de segurança e, em seguida, pede para que ele execute uma tarefa suspeita, supostamente em conformidade com as exigências de segurança.

4. Probabilidade: Os alvos são mais propensos a agir em conformidade quando o engenheiro social é alguém de quem eles gostam. Um hacker pode usar seu charme por telefone ou on-line para ‘conquistar’ uma vítima inocente.

5. Autoridade: As pessoas tendem a agir em conformidade quando uma solicitação é feita por alguém que transmite autoridade. Por exemplo, um e-mail encaminhado para o departamento financeiro que pareça ter vindo do CEO ou do presidente.

6. Validação Social: As pessoas têm tendência a agir em conformidade quando os outros estão fazendo a mesma coisa. Por exemplo, um e-mail de phishing pode parecer ter sido enviado a um grupo de colaboradores, o que faz com que um colaborador acredite que está tudo bem, uma vez que outros colegas também receberam a solicitação.