Os engenheiros sociais usam manipulação psicológica para induzir os seres humanos a descobrir informações confidenciais que podem ser usadas para entrar nos sistemas. Os golpes de engenharia social também levam as pessoas a agir (clicar em um link incorreto) que podem infectar uma máquina e permitir que um hacker invada e comece a roubar dados.
Esses ataques podem ocorrer de humano para humano. (“Olá, sou eu. Seu computador está infectado e preciso da sua senha.”) Ou por e-mail e mídia social, por exemplo, um e-mail de phishing informando que sua conta do PayPal foi suspensa.
As pessoas estão acreditando que
“os engenheiros sociais usam estratégias específicas para construir confiança e familiaridade, muitas vezes chamadas de ‘pretextos'”, diz Margaret Cunningham, pesquisadora-chefe sobre comportamento humano na Forcepoint X-Labs. “Depois de estabelecer o relatório e uma primeira impressão positiva, é muito mais fácil buscar informações ou acessar ativos pessoais ou organizacionais confidenciais.”
Uma vez que a confiança é estabelecida, o Engenheiro Social consegue obter informações.
Por que o uso da confiança funciona para nós?
Chris Hadnagy, fundador e CEO da Social Engineerst, refere-se a um livro chamado Moral Molecules, do Dr. Paul Zak, que examina como a fé afeta uma enzima “sentir-se bem” chamada oxitocina no cérebro.
Exemplo:
Victor Lustwig é uma das pessoas mais famosas do mundo. Ele “vendeu” a Torre Eiffel várias vezes, disse Hadnagy.
“Ele compartilhou uma mensagem muito secreta” com algumas pessoas muito ricas”.
As pessoas querem ser úteis
“Todos nós queremos ser úteis e amigáveis”, diz Hadnagy. “Foi construído em nós. No mundo em que vivemos agora; as pessoas estão isoladas, sozinhas, desesperadas. Agora, mesmo um pouco de gentileza pode ir muito longe. ”
Cunningham diz que os Engenheiros Sociais fazem com que o alvo sinta que está fazendo algo altruísta.
“Simpatia pode ser um motivador comportamental poderoso para pessoas muito simpáticas, e os Engenheiros Sociais sabem que suas histórias podem ser ferramentas poderosas para ganhar simpatia.”
Os Engenheiros Sociais costumam estabelecer táticas emocionais para criar reações sensíveis e simpáticas a seus alvos, incluindo táticas como tocar gravações de bebês chorando.
Exemplo:
“Estamos vendo muito disso nos ataques de falsificação do LinkedIn”, disse Hadnagy. “O tipo de ataque em que alguém pede ajuda para uma reportagem, como repórter ou como estudante. Também vemos pessoas procurando ajuda para encontrar um emprego. “Freqüentemente, são invasores que usam isso para reunir informações sobre as empresas-alvo para que saibam como atacar ainda mais.”
As pessoas têm medo da autoridade
“O medo é um dos maiores motivadores para os Engenheiros Sociais”, diz Hadnagy. “O medo é tratado e processado pela amígdala, assim como todas as emoções antes que o resto do cérebro o processe. Quando a amígdala é sequestrada, não há outro processamento no cérebro – o que significa que as decisões serão tomadas com emoção e não com lógica.
Exemplo:
“As táticas fraudulentas recentes capitalizaram o COVID-19”, diz Cunningham. “Esses ataques usam linhas de entidades com vozes oficiais, referindo-se ao governo e a nomes de fabricantes de vacinas. “Sabendo que as pessoas estão ansiosas e emocionadas com o COVID-19 e, em muitos casos, muito dispostas ou qualificadas para se inscrever para uma consulta de vacinação, esses golpes autorizados por e-mail podem ser muito eficazes.”
As pessoas estão otimistas
Cunningham diz que a pesquisa mostra que o preconceito otimista pode fazer as pessoas acreditarem que são menos vulneráveis do que outras aos riscos de privacidade on-line. Os Engenheiros Sociais entendem e aproveitam o fato de que as pessoas geralmente não têm uma mentalidade defensiva; eles não estão esperando para serem aproveitados ou manipulados.
As pessoas são honestas.
Hadnagy diz que as pessoas naturalmente corrigem declarações falsas e é frequentemente assim que a engenharia social explora a honestidade. “Este princípio que mencionei foi usado por hackers humanos especializados para explorar informações de alvos.”
Exemplo:
Hadnagy diz que usa essa estratégia sozinha em ensaios de caneta e compromissos. “Eu obtenho datas de nascimento e números de seguro social de estrangeiros usando isso. Simplesmente dizendo algo como:
– Vejo que você é tão organizado. Você deve ter nascido em setembro, certo? ‘
– ‘Hum, não, eu nasci em outubro.’
‘Oh, não me diga que foi no dia 31 bem no Halloween?’
“Não, foi no dia 13.”
‘Boa.’
“Agora, em alguns segundos, recebi sua ficha cadastral.
Enfim, as “As pessoas querem ser honestas.”
