ONDE A ENGENHARIA SOCIAL APARECE?
Análise do lixo: muito provavelmente, poucas empresas tem o cuidado de verificar o que está sendo descartado e de que forma isso acontece. O lixo é uma das fontes mais ricas de informações para golpistas. Existem relatos desse tipo de ataque, uma vez que através das informações coletadas podem conter nome de funcionários, telefone, e-mail, senhas, contato de clientes, fornecedores, transações efetuadas, entre outros. Ou seja, este é um dos primeiros passos para que se inicie um ataque direcionado à empresa.
Redes sociais: atualmente, muitas informações sobre um possível alvo podem ser coletadas por meio de sites de relacionamento. Quando um engenheiro social precisa conhecer melhor a vítima (um funcionário de alguma organização), esta técnica é utilizada como complemento ao estudo no site da empresa, entre outras pesquisas na Internet. Mesmo perfis de caráter pessoal em ambientes como o Facebook é possível encontrar informações como cargos, amizades, bens materiais, entre outros.
Contato telefônico: com as informações coletadas nas duas técnicas acima, já dá para realizar uma abordagem via telefone, seja se passando por um funcionário da empresa, fornecedor ou terceiros. A essa altura, com certeza o golpista sabe o nome da secretária, nome e e-mail de algum gestor e até colaboradores envolvidos na TI. Com um simples telefonema e técnicas de persuasão, se passando por outra pessoa, de preferência do elo de confiança da vítima, fica mais fácil conseguir um acesso não autorizado ou coletar informações necessárias da organização.
Abordagem pessoal: essa técnica consiste em o criminoso realizar uma visita na empresa alvo, podendo se passar por um fornecedor, terceiro, amigo do diretor, prestador de serviço, entre outros, no qual através do poder de persuasão e falta de treinamento dos funcionários, consegue sem muita dificuldade convencer um segurança, secretária, recepcionista a liberar acesso ao datacenter, onde possivelmente conseguirá as informações que procura. Apesar de essa abordagem ser arriscada, muitos crackers já utilizaram e utilizam essa abordagem até hoje.
Phishing: são e-mails manipulados e enviados a organizações e pessoas com o intuito de aguçar algum sentimento que faça com que o usuário aceite o e-mail e realize as operações solicitadas. Os casos mais comuns de phishing são e-mails recebidos de supostos bancos, nos quais afirmam que sua conta está irregular, seu cartão ultrapassou o limite, ou que existe um novo software de segurança do banco que precisa ser instalado senão irá bloquear o acesso. Outro exemplo de phishing pode ser da Receita Federal informando que seu CPF está irregular ou que o Imposto de Renda apresentou erros e para regularizar consta um link. A maioria dos phishings possuem algum anexo ou links dentro do e-mail que direcionam para a situação que o Cracker deseja.
Falhas humanas: temos vulnerabilidades que são exploradas pelos engenheiros sociais a todo momento, tais como, confiança, medo, curiosidade, instinto de querer ajudar, culpa, ingenuidade, entre outros. É o que nos faz clicar em links no WhatsApp ou reencaminhar algum e-mail.