Índice:
- Deceit através de palavras e ações
- A tecnologia pode facilitar as coisas - e mais divertido - para o engenheiro social. Muitas vezes, um pedido malicioso de informações vem de um computador ou outra entidade eletrônica que as vítimas pensam que podem identificar. Mas a falsificação de um nome de computador, um endereço de e-mail, um número de fax ou um endereço de rede é fácil.
Vídeo: True Cybercrime: From Basement Hacks to Big Business | The Element Podcast - E08 2024
Depois que os engenheiros sociais obtêm a confiança de suas vítimas inocentes, eles exploram o relacionamento e convencer as vítimas a divulgar mais informações do que deveriam. Whammo - o engenheiro social pode entrar para matar. Os engenheiros sociais fazem isso através de uma comunicação eletrônica ou cara a cara com a qual as vítimas se sentem à vontade, ou usam tecnologia para que as vítimas divulguem informações.
Deceit através de palavras e ações
Os engenheiros sociais da Wily podem receber informações de suas vítimas de várias maneiras. Eles são muitas vezes articulados e se concentram em manter suas conversas em movimento sem dar às vítimas muito tempo para pensar sobre o que eles estão dizendo. No entanto, se eles são descuidados ou excessivamente ansiosos durante seus ataques de engenharia social, as seguintes sugestões podem dar-lhes:
-
Atuando excessivamente amigável ou ansioso
-
Mencionar nomes de pessoas proeminentes na organização
-
Bragging sobre autoridade dentro da organização
-
Ameaçar reprimendas se os pedidos não forem honrados
-
Atuar nervoso quando questionado (pressionando os lábios e agitando-se - especialmente as mãos e os pés porque o controle das partes do corpo que estão mais distantes do rosto requer esforço mais consciente)
-
Detalhes excessivos
-
Experimentando mudanças fisiológicas, como pupilas dilatadas ou alterações na voz
-
Aparecendo apressado
-
Recusando-se a fornecer informações
-
Informações de voluntariado e respondendo perguntas não solicitadas > Conhecendo a informação de que um estranho não deveria ter
-
Usando linguagem privilegiada ou gíria como um estranho conhecido
-
Fazendo perguntas estranhas
-
Falando palavras em comunicações escritas
-
Um bom engenheiro social não é óbvio com as ações precedentes, mas estes são alguns dos sinais de que o comportamento malicioso está em andamento. Claro, se a pessoa é um sociopata ou psicopata, sua experiência pode variar.
Os engenheiros sociais muitas vezes fazem um favor para alguém e depois se voltam e perguntam a essa pessoa se ele ou ela se importaria em ajudá-los. Esse truque comum de engenharia social funciona muito bem. Os engenheiros sociais também costumam usar o chamado
engenharia social reversa. Aqui é onde eles oferecem ajuda se surgir um problema específico; algum tempo passa, o problema ocorre (muitas vezes por eles), e depois eles ajudam a resolver o problema. Eles podem encontrar como heróis, o que pode promover sua causa. Os engenheiros sociais podem pedir a um empregado inocente por um favor.Sim - eles simplesmente pedem um favor. Muitas pessoas se apaixonam por esta armadilha.
Representar um funcionário é fácil. Os engenheiros sociais podem usar um uniforme de aparência semelhante, fazer um distintivo de ID falso ou simplesmente se vestir como os funcionários reais. As pessoas pensam: "Ei - ele parece e age como eu, então ele deve ser um de nós. "
Os engenheiros sociais também pretendem ser funcionários chamando de uma linha telefônica externa. Este truque é uma maneira especialmente popular de explorar o suporte técnico e o pessoal do call center. Os engenheiros sociais sabem que esses funcionários caem em uma rotina facilmente porque suas tarefas são repetitivas, como dizer: "Olá, posso obter seu número de cliente, por favor? "
Deceit através da tecnologia
A tecnologia pode facilitar as coisas - e mais divertido - para o engenheiro social. Muitas vezes, um pedido malicioso de informações vem de um computador ou outra entidade eletrônica que as vítimas pensam que podem identificar. Mas a falsificação de um nome de computador, um endereço de e-mail, um número de fax ou um endereço de rede é fácil.
Os hackers podem enganar através da tecnologia, enviando e-mail que pede às vítimas informações críticas. Esse e-mail normalmente fornece um link que direciona as vítimas para um site profissional e legítimo que "atualiza" as informações da conta como IDs de usuário, senhas e números da Segurança Social. Eles também podem fazer isso em sites de redes sociais, como Facebook e Myspace.
Muitas mensagens de spam e phishing também usam esse truque. A maioria dos usuários é inundada com tanto spam e outros e-mails indesejados que muitas vezes deixam a guarda e abrem e-mails e anexos que não devem. Esses e-mails geralmente parecem profissionais e credíveis. Eles muitas vezes dupe as pessoas para divulgar informações que nunca devem dar em troca de um presente.
Esses truques de engenharia social também ocorrem quando um hacker que já entrou na rede envia mensagens ou cria janelas pop-up de Internet falsas. Os mesmos truques ocorreram através de mensagens instantâneas e mensagens de celular.
Em alguns incidentes bem divulgados, os hackers enviaram por e-mail suas vítimas um patch que pretenda vir da Microsoft ou outro fornecedor bem conhecido. Os usuários acham que se parece com um pato e que é curioso como um pato - mas não é o pato certo! A mensagem é realmente de um hacker que deseja que o usuário instale o "patch", que instala um keylogger de cavalo de Tróia ou cria um backdoor em computadores e redes.
Os hackers usam estas portas traseiras para invadir os sistemas da organização ou usar os computadores das vítimas (conhecidos como
zumbis ) como lançadores para atacar outro sistema. Mesmo vírus e worms podem usar a engenharia social. Por exemplo, o verme LoveBug disse aos usuários que eles tinham um admirador secreto. Quando as vítimas abriram o e-mail, era muito tarde. Seus computadores estavam infectados (e talvez pior, eles não tinham um admirador secreto). O
Nigeriano 419 esquema de fraude por e-mail tenta acessar contas bancárias e dinheiro do povo desavisado. Esses engenheiros sociais oferecem transferir milhões de dólares para a vítima para repatriar os fundos de um falecido para os Estados Unidos.Toda a vítima deve fornecer informações pessoais de conta bancária e um pouco de dinheiro na frente para cobrir as despesas de transferência. As vítimas então têm suas contas bancárias esvaziadas. Muitas táticas informatizadas de engenharia social podem ser realizadas anonimamente através de servidores proxy, anonimigos, remailers e servidores SMTP básicos que possuem um relé aberto. Quando as pessoas recorrem aos pedidos de informações confidenciais pessoais ou corporativas, as fontes desses ataques de engenharia social são muitas vezes impossíveis de rastrear.
