Engenharia social (ciência politica)

Nota: Se procura Engenharia social do contexto de segurança da informação, consulte Engenharia social (segurança da informação).

ATENÇÃO: Este artigo ou secção não cita as suas fontes ou referências, em desacordo com a política de verificabilidade. Ajude a melhorar este artigo providenciando fontes fiáveis e independentes, inserindo-as no corpo do texto ou em notas de rodapé.

Esta página precisa ser reciclada de acordo com o livro de estilo. Sinta-se livre para editá-la para que esta possa atingir um nível de qualidade superior.

Engenharia social aqui está parcialmente descrita como sendo um malefício, mas a engenharia social é a compreensão clara dos meandros humanos, e a manipulação disso. É estudado em ciência política. Pode ser utilizado com diversos fins, e não somente com fins mau intencionados.

Engenharia Social é conjunto das práticas e técnicas utilizadas para obter acesso à informações importantes/sigilosas ou não de organizações, sistemas ou pessoas físicas mediante o emprego da simulação, uso de carisma, exploração da confiança do interlocutor, entre outros subterfúgios para beneficamente ou não obter de um sistema de segurança da informação seja ele físico ou virtual, os dados necessários ao ataque do sistema da segurança da informação.

Não é exclusivamente utilizada em informática, a engenharia social é uma ferramenta onde exploram-se falhas humanas em organizações físicas ou jurídicas onde operadores do sistema de segurança da informação possuem poder de decisão parcial ou total.

Observe-se que alguns sistemas de informação possuem características comportamentais e psicológicos onde a engenharia social usa de outras técnicas, tais como: leitura fria, linguagem corporal, leitura quente, para obter informações onde a informação não é física ou virtual e sim comportamental e psicológica, como por exemplo informações pessoais, conhecimentos e saberes não documentados que não são informações físicas ou virtual.

São aplicada tanto por profissionais de Segurança da Informação quanto por Serviço de inteligência ou ainda por criminosos que exploram traços comportamentais e psicológicos existentes em todo ser humano que o tornam suscetível aos ataques de Engenharia Social.

É muito confundida com a arte da enganação em termos técnicos por estar relacionada em casos de violação da segurança da informação virtualmente e físicamente

No direito penal brasileiro essa atitude é prevista como crime no tipo estelionato quando empregada para fíns ilícitos.

[editar] Exemplo

O Engenheiro social para explorar as falhas de segurança se faz passar por outra pessoa, um parente por exemplo, finge que é um profissional de determinada área, por exemplo, um médico, um policial ou então representa uma papel, por exemplo, o call center da operadora de cartão de crédito visando com isso através da boa fé do interlocutor obter os dados necessários a invasão do sistema.

[editar] Operacionalização

É uma forma de invasão que não necessita da força bruta ou de brechas de segurança, apenas manipula as próprias pessoas que quando não treinadas para esses ataques, podem facilmente ser enganadas, fornencendo então inconscientemente informação que é utilizada para a invasão.

Baseia-se na falta de compreensão das pessoas sobre o valor da informação que estas possuem e, portanto, não terem preocupação em proteger essa informação conscientemente.

É aplicada em diversos setores da segurança da informação independente de sistemas computacionais, software e plataforma utilizada, explorando as seguintes características do ser humano:

• Vaidade pessoal e/ou profissional: receptividade a avaliação positiva e favorável aos seus objetivos, aceitando basicamente argumentos favoráveis a sua condição pessoal ou profissional ou que a beneficie diretamente ou coletivamente;

• Autoconfiança: em diálogos individuais ou coletivos o ato de fazer algo bem, coletivamente ou individualmente, buscando transmitir segurança, conhecimento, saber e eficiência, buscando criar uma estrutura base para o início de uma comunicação ou ação favorável a uma organização ou indivíduo.

• Formação profissional: O ser humano busca valorizar sua formação e suas habilidades adquiridas nesta faculdade, buscando o controle em uma comunicação, execução ou apresentação seja ela profissional ou pessoal buscando o reconhecimento pessoal inconscientemente em primeiro plano.

• Vontade de ser útil : O ser humano, comumente, procura agir com cortesia, bem como ajudar outros quando necessário.

• Busca por novas amizades : O ser humano costuma se agradar e sentir-se bem quando elogiado, ficando mais vulnerável e aberto a dar informações.

• Propagação de responsabilidade : Trata-se da situação na qual o ser humano considera que ele não é o único responsável por um conjunto de atividades.

• Persuasão : Compreende quase uma arte a capacidade de persuadir pessoas, onde se busca obter respostas específicas. Isto é possível porque as pessoas possuem características comportamentais que as tornam vulneráveis a manipulação.

[editar] Usos Empresariais e Pessoais

• Agencias caça talentos: buscam pessoas com habilidades na engenharia social para usar de forma benéfica dentro da empresa, visando aperfeiçoar a abordagem de pessoas com talentos por parte de seus funcionários que sofrem ataques constantes de engenharia social para revelarem talentos descobertos pela empresa.

• Seguradoras, Planos de Saúde: buscam constantemente na internet e outros meios de busca de pessoas com talentos em engenharia social, visando reduzir ataques individuais ou coletivos visando proteger o quadro de clientes, visando evitar a migração de clientes para outras empresas da mesma atividade.

Porém deve-se lembrar que a engenharia social é utilizada para a proteção da informação também, estes casos são freqüentes e não são divulgados por motivos de segurança da informação de uma pessoa jurídica ou pessoa física, uma falha descoberta por uma pessoa com habilidades na engenharia social ela pode ser explorada de duas formas, beneficamente ou maleficamente, sua atuação como pessoa com habilidades na engenharia social contratado para solucionar falhas e não amplia-las, está é a forma benéfica de usar a engenharia social, a forma maléfica de utilizar a engenharia social está ligada a 99% dos casos por pessoas que buscam violar, obter a informação de forma desonesta, buscando lucros pessoas ou empresariais, lembramos que a engenharia social não é uma faculdade e sim uma habilidade pessoal de um profissional ou não em uma determinada ária, profissão, dedicação, hobby, entre outros.

A engenharia social é utilizada no dia-a-dia de pessoas comuns ou não de forma involuntária, o que difere o uso involuntário da engenharia social do prejulgamento ou dedução é a vaidade pessoal ligada ao objetivo pessoal que induz a engelharia social involuntária, freqüentes em lugares comuns como:

• Feiras livres: A engenharia social involuntária é freqüente nas feiras livres em desconfiamos da qualidade, da validade, do preço, usamos a engelharia social involuntária para obtermos informações que nos favoreça diretamente, está forma de praticar a engenharia social involuntária e avaliada como traço comportamental.

• Bares: A engenharia social involuntária é freqüente em bares, buscando informações que possam nos favorecer, em sua grande maioria esta pratica está ligada à conquista, romantismo, de uma forma geral visando a conquista afetiva ou amorosa de uma segunda pessoa seja organizadamente ou não.

A engenharia social lida com varias formas e técnicas em situações diversas, pessoas com habilidades na engenharia social que atuam nesta ária por muitos anos definem a engenharia social como umas das ferramentas mais utilizadas no mundo em comunicação humana, visando proteger a informação ou não, divulgar a informação ou não, uma arma ou uma flor em suas mãos com uma imagem desfocada ou focada, porém perigosa ou coração.

[editar] Técnicas

Utiliza-se de qualquer meio de comunicação, com destaque para conversas diretas, telefonemas, e-mail, phising, etc. Algumas dessas técnicas são:

[editar] Vírus de e-mail

O criador do vírus eletrônico seja ele um trojan ou um cavalo de tróia ou spyware usa o e-mailcom um assunto que desperte a curiosidade do usuário. O texto pode tratar de sexo, de amor, de notícias atuais ou até mesmo de um assunto particular do internauta para a propagar o vírus exemplo clásisico o vírus ""I Love You"" . Neste caso o usuário ao receber o e-mail ao executar o arquivo no computador faz com que este seja contaminado. O criador do vírus pensa então em uma maneira de fazer com que o usuário clique no anexo. Um dos métodos mais usados é . Um dos exemplos mais clássicos é o , que chegava ao e-mail das pessoas usando este mesmo nome. Ao receber a mensagem, muitos pensavam que tinham um(a) admirador(a) secreto(a) e na expectativa de descobrir quem era, clicavam no anexo e contaminam o computador. Repare que neste caso, o autor explorou um assunto que mexe com qualquer pessoa. Alguns vírus possuem a característica de se espalhar muito facilmente e por isso recebem o nome de worms (vermes). Aqui, a engenharia social também pode ser aplicada. Imagine, por exemplo, que um worm se espalha por e-mail usando como tema cartões virtuais de amizade. O internauta que acreditar na mensagem vai contaminar seu computador e o worm, para se propagar, envia cópias da mesma mensagem para a lista de contatos da vítima e coloca o endereço de e-mail dela como remetente. Quando alguém da lista receber a mensagem, vai pensar que foi um conhecido que enviou aquele e-mail e como o assunto é amizade, pode acreditar que está mesmo recebendo um cartão virtual de seu amigo. A tática de engenharia social para este caso, explora um assunto cabível a qualquer pessoa: a amizade.

[editar] E-mails falsos spam

Este é um dos tipos de ataque de engenharia social mais comuns e é usado principalmente para obter informações financeiras da pessoa, como número de conta-corrente e senha. Neste caso, o aspecto explorado é a confiança. Boa parte dos criadores desses e-mails são criminosos que desejam roubar o dinheiro presente em contas bancárias. Porém, os sistemas dos bancos são muito bem protegidos e quase que invioláveis! Como é inviável tentar burlar a seguranças dos sistemas bancários, é mais fácil ao criminoso tentar enganar as pessoas para que elas forneçam suas informações bancárias. A tática usada é a seguinte: o criminoso adquire uma lista de e-mails usados para SPAM que contém milhões de endereços, depois vai a um site de um banco muito conhecido, copia o layout da página e o salva em um site provisório, que tem a url semelhante ao site do banco. Por exemplo, imagine que o nome do banco seja 'Banco Dinheiro' e o site seja www.bancodinheiro.com. O criminoso cria um site semelhante: 'www.bancodinhero.com' ou 'www.bancodinheiro.com.br' ou 'www.bancodinheiro.org', enfim. Neste site, ele faz uma cópia idêntica a do banco e disponibiliza campos específicos para o usuário digitar seus dados confidenciais. O passo seguinte é enviar um e-mail à lista adquirida usando um layout semelhante ao do site. Esse e-mail é acompanhado por um link que leva ao site falso. Para fazer com que o internauta clique no link, o texto da mensagem pode, por exemplo, sugerir uma premiação: "Você acaba de ser premiado com 10 mil reais. Clique no link para atualizar seu cadastro e receber o prêmio". Como a instituição bancária escolhida geralmente é muito conhecida, as chances de que o internauta que recebeu o e-mail seja cliente do banco são grandes. Assim, ele pode pensar que de fato foi o banco que enviou aquela mensagem, afinal, o e-mail e o site do link tem o layout da instituição. Como conseqüência, a vítima ingenuamente digita seus dados e dias depois percebe que todo o dinheiro da sua conta sumiu! Repare que em casos assim, o golpista usa a imagem de confiabilidade que o banco tem para enganar as pessoas. Mensagens falsas que dizem que o internauta recebeu um cartão virtual ou ganhou um prêmio de uma empresa grande são comuns. Independente do assunto tratado em e-mails desse tipo, todos tentam convencer o internauta a clicar em um link ou no anexo. A forma utilizada para convencer o usuário a fazer isso é uma tática de engenharia social.