Engenharia social, no contexto da segurança da informação, refere-se à um processo de manipulação de pessoas para a prática de ações espúrias, acesso e uso fraudulento de informações confidenciais seja pessoal ou empresarial.
É um conceito que nos últimos tempos tem sido apropriado pela área de segurança cibernética, tendo em vista que a sua concepção se encaixa perfeitamente para que o criminoso possa ter êxito em sua operação. A abordagem para a consecução dos objetivos pode ser física e/ou virtual.
Esse método tem se tornado muito eficaz para ataques diante das vulnerabilidades da empresa, sobretudo em relação ao seus recursos humanos. Os cibercriminosos sabem que a forma mais efetiva para o ataque aos sistemas de informação de uma empresa é por meio das pessoas, pois essas possuem vulnerabilidades de ordem comportamental e psicológica que podem ser manipuladas, abrindo assim canais de acesso para que consigam informações restritas de acesso aos sistemas, como identificadores de acesso e respectivas senhas.
Pessoas também são alvo desse tipo de criminosos, em especial para acesso a contas bancárias, números e demais dados de cartão de crédito ou mesmo anotações digitais que contenham informações relacionadas. Para tanto, o comportamento identificado das vítimas em redes sociais são analisados e rastreados para que o autor do crime possa identificar e utilizar a melhor estratégia para a realização do ato criminoso.
O ambiente governamental também pode ser alvo do uso do método de Engenharia Social para a execução de operações de espionagem, vantagens de ordem política, onde informações privadas e confidenciais são acessadas para a prática de invasão em sistemas ou prática de chantagem e extorsão.
Geralmente, métodos bem sucedidos de Engenharia Social no âmbito da Internet usam micro-códigos, phishing e malware para enganar ou manipular a vítima e assim ter acesso a informações como Id, senha de acesso ou outras informações de relevância para que o invasor possa atingir o seu objetivo.
A prática da Engenharia Social é executada por pessoas habilidosas, metódicas e que dominam muitas ferramentas que se aproveitam de determinadas características de um perfil pessoal em especial. Vale ressaltar a diversidade de abordagem são inúmeras, pois podem ocorrer por meio do uso de computadores, smartphones ou até mesmo pelo telefone convencional, como a clássica ligação de um estranho se passando por uma determinada pessoa dizendo que está sendo sequestrada e solicita o depósito de uma quantia de dinheiro na conta corrente bancária de alguém. Muitas pessoas, mesmo com nível de escolaridade elevado, se deixam enganar por este tipo de prática criminosa.
A prática da Engenharia Social pode ser direcionada ou em escala, ou seja, lança-se uma "isca-armadilha" e aquele mais distraído, curioso ou mais vulnerável acaba se tornando a vítima, como ocorre com o envio de milhares de e-mais maliciosos que orienta a vítima a clicar em algum tipo de link para acessar algo de interesse e ao fazer esse procedimento, acaba instalando um micro-programa em seu computador ou smarphone ou mesmo preenchendo dados em web sites maliciosos e daí esse tipo de mecanismo conclui o restante da tarefa.
Pode-se concluir que a Engenharia Social é um conjunto de métodos e técnicas que tem como objetivo obter informações sigilosas e importantes por meio do uso da confiança das pessoas, utilizando técnicas de persuasão e investigativas.
Para saber mais sobre o assunto, sugiro a leitura dos artigo abaixo, pois contem conteúdos complementares.
1. Conheça seis das técnicas de engenharia social muito eficazes.
3. Técnicas de engenharia social
