Engenharia Social

Engenharia social explora psicologia humana para manipular pessoas e obter acesso não autorizado a sistemas, dados ou locais físicos.

O que é Engenharia Social?

Arte de manipular pessoas para que revelem informações confidenciais ou executem ações que comprometam segurança. Ataca o elo mais fraco: o humano.

Princípios Psicológicos

Baseado nos 6 princípios de influência de Robert Cialdini:

1. Reciprocidade

Tendência de retribuir favores. Atacante oferece algo para depois pedir.

2. Compromisso e Consistência

Pessoas tendem a ser consistentes com compromissos anteriores.

3. Prova Social

Pessoas seguem comportamento de outros. "Todos fazem isso".

4. Autoridade

Tendência de obedecer figuras de autoridade.

5. Simpatia

Mais provável de dizer sim para pessoas que gostamos.

6. Escassez

Urgência e medo de perder oportunidade.

Técnicas de Ataque

Phishing

Emails fraudulentos que parecem legítimos.

  • Spear Phishing: Direcionado a indivíduos específicos
  • Whaling: Focado em executivos (C-level)
  • Clone Phishing: Email legítimo copiado e modificado
  • BEC: Business Email Compromise

Vishing (Voice Phishing)

Ataques por telefone.

  • Fingir ser do suporte técnico
  • Spoofing de caller ID
  • Urgência e pressão emocional
  • Solicitar informações confidenciais

Smishing (SMS Phishing)

Phishing via SMS/mensagens de texto.

  • Links maliciosos em SMS
  • Falsas notificações bancárias
  • Prêmios e ofertas falsas

Pretexting

Criar cenário elaborado (pretexto) para obter informações.

  • Assumir identidade falsa
  • Construir confiança ao longo do tempo
  • Usar informações públicas para credibilidade

Baiting

Oferecer algo desejável para infectar sistemas.

  • USB drives "perdidos" em estacionamento
  • Downloads gratuitos com malware
  • Ofertas de prêmios

Quid Pro Quo

Troca de serviço por informação.

  • Fingir ser suporte técnico oferecendo ajuda
  • Solicitar credenciais para "resolver problema"

Tailgating/Piggybacking

Seguir pessoa autorizada para entrar área restrita.

  • Fingir esquecimento de badge
  • Carregar caixas para ambas mãos ocupadas
  • Aproveitar educação das pessoas

Red Flags de Phishing

  • Sender address não corresponde à organização
  • Saudações genéricas ("Prezado cliente")
  • Erros gramaticais e ortográficos
  • Senso de urgência ("Ação imediata requerida")
  • Links suspeitos (hover para ver URL real)
  • Anexos inesperados
  • Solicitações de informações confidenciais
  • Ofertas boas demais para ser verdade

Ciclo de Ataque

  1. Reconnaissance: Coleta de informações sobre alvo
  2. Hook: Estabelecer contato inicial
  3. Play: Executar o cenário planejado
  4. Exit: Sair sem levantar suspeitas

OSINT para Social Engineering

Fontes de informação pública usadas por atacantes:

  • LinkedIn: Estrutura organizacional, conexões
  • Facebook/Instagram: Vida pessoal, hobbies
  • Twitter: Opiniões, interesses
  • Company Website: Estrutura, tecnologias usadas
  • Job Postings: Tecnologias e ferramentas
  • Public Records: Endereços, telefones

Defesas Organizacionais

Security Awareness Training

  • Treinamento regular (trimestral)
  • Simulações de phishing
  • Gamificação para engajamento
  • Metrics: click rate, report rate

Controles Técnicos

  • Email Security: SPF, DKIM, DMARC
  • Anti-phishing: URL rewriting, sandbox
  • MFA: Reduz impacto de credenciais roubadas
  • Email banners: Alertas para emails externos

Políticas e Procedimentos

  • Processo de verificação para pedidos sensíveis
  • Clean desk policy
  • Badge visibility obrigatória
  • Proibição de tailgating
  • Procedimento de visitor management

Cultura de Segurança

  • Encorajar reporte de tentativas
  • Reforço positivo, não punição
  • Leadership buy-in e exemplo
  • Security champions em cada departamento

Phishing Simulations

Plataformas

  • KnowBe4: Líder em security awareness
  • Cofense PhishMe: Simulações realistas
  • Proofpoint: Security awareness training
  • Gophish: Open-source phishing framework

Melhores Práticas

  • Começar com simulações fáceis
  • Aumentar dificuldade gradualmente
  • Immediate training para quem clica
  • Track progress ao longo do tempo
  • Variar tipos de ataques

Resposta a Tentativas

O que Fazer

  • Não clicar em links ou anexos suspeitos
  • Verificar sender através de canal alternativo
  • Reportar email/tentativa ao security team
  • Não fornecer informações confidenciais
  • Desconfiar de urgência artificial

Se Comprometido

  • Notificar security team imediatamente
  • Trocar senhas
  • Monitorar contas para atividade suspeita
  • Não esconder o incidente

Physical Security

Controles

  • Badge access com logging
  • Reception desk staffed
  • Visitor badges visíveis
  • Security cameras
  • Man-trap entrances
  • Secure destruction de documentos

Estudos de Caso Famosos

Kevin Mitnick

Hacker famoso que usava principalmente social engineering para obter acesso.

Target Breach (2013)

Iniciado com spear phishing em vendor de HVAC, resultando em roubo de 40 milhões de cartões.

Ubiquiti Networks (2015)

BEC attack resultou em perda de $46.7 milhões via wire transfers fraudulentos.

Engenharia social permanece vetor de ataque mais efetivo porque explora natureza humana. Tecnologia sozinha não pode prevenir estes ataques. Combinação de awareness training, cultura de segurança e controles técnicos é essencial para defender organizações contra manipulação. Lembre-se: se parece suspeito, provavelmente é.