A engenharia social usa técnicas psicológicas para a

manipulação de comportamento. Ela explora a

vulnerabilidade humana e incentiva seus alvos a agirem
de acordo com seus interesses.
A engenharia social consiste na utilização de técnicas de
manipulação para pessoas executarem ações ou
divulgarem informações confidenciais. O engenheiro
social faz com que pessoas quebrem procedimentos e
normas de segurança, seja através de telefonemas, e-
mails, sites ou através de pessoas.
Ao contrário dos ataques cibernéticos tradicionais, que
exploram vulnerabilidades técnicas, a engenharia social
explora erros humanos ou fraquezas psicológicas.
O engenheiro social é uma pessoa que possui como perfil
uma boa comunicação, com poucas resistências. Além de
ser simpático e ter um bom domínio sobre técnicas de
persuasão e inteligência analítica para estudar a vítima
alvo com precisão.

Exemplos de engenharia social:

 Simpatia.
 Urgência.
 Compromisso e Coerência.
 Prova social.
  Autoridade.
 Reciprocidade.
 Phishing.
 Spear Phishing.

O que torna a engenharia social especialmente perigosa é

que ela depende de erro humano, em vez de
vulnerabilidades em software e sistemas operacionais.
Erros cometidos por utilizadores legítimos são muito
menos previsíveis, tornando-os mais difíceis de identificar
e frustrar do que uma invasão baseada em malware.
Os ataques de engenharia social acontecem numa ou
mais etapas. Um perpetrador primeiro investiga a vítima
pretendida para recolher informações básicas necessárias,
como pontos de entrada potenciais e protocolos de
segurança fracos, necessários para prosseguir com o
ataque. Em seguida, o invasor prepara-se para ganhar a
confiança da vítima e fornecer estímulos para ações
subsequentes que quebram as práticas de segurança,
como revelar informações confidenciais ou conceder
acesso a recursos críticos.
A engenharia social consiste em vários métodos. É mais
um truque psicológico do que um ataque técnico de
hackers. Tal deve-se ao facto da tendência natural das
pessoas de confiarem, da noção de credibilidade e a falta
de consciência. O objetivo geralmente é extrair dados
confidenciais de empresas ou indivíduos. Para evitar a
perda de dados de uma empresa, é crucial estar
familiarizado com as técnicas de ataque de engenharia
social e métodos de prevenção.
Existem muitas técnicas em engenharia social. Aqui
destaco algumas:
Phishing: O objetivo é fazer com que o destinatário do e-
mail acredite que é algo que precisa ou está a aguardar. O
e-mail pode incluir links ou anexos perigosos contendo
malware. Os tipos de phishing também incluem: spear
phishing e whaling. Não confie em e-mails de remetentes
desconhecidos e evite ao máximo clicar em links ou
descarregar anexos.
Pretexto: Esta técnica utiliza um pretexto - uma
justificação falsa para uma ação específica - para ganhar
confiança e enganar a vítima. Por exemplo, o invasor
afirma trabalhar no suporte de IT e solicita a password do
alvo para fazer manutenção.
Processos, políticas e formação adequada de identificação
e autenticação devem estar em vigor para contornar esses
ataques.
Isco: O isco pretende atrair a vítima para realizar uma
tarefa específica, fornecendo acesso fácil a algo que a
vítima pode se sentir tentada a aceder. Por exemplo, uma
unidade USB infetada com um keylogger e identificada
como "Fotos privadas" ou “Salários” deixada na secretária
da vítima.
Políticas de segurança, como bloqueio de software e
hardware não autorizados, impedirão a maioria das
tentativas, e convém relembrar as equipas para nunca
confiar em fontes desconhecidas.
Quid pro Quo: "algo por algo" em latim, envolve um
pedido de informação em troca de uma compensação. É o
caso de um invasor ligar para números de telefone
aleatórios alegando ser do suporte técnico.
Ocasionalmente, encontra uma vítima que por acaso
precisava. Oferecem “ajuda”, obtendo acesso ao
computador e podendo instalar software malicioso.
Shoulder surfing: Este método envolve o roubo de dados
(ou seja, passwords ou códigos) olhando “por cima do
ombro” quando a vítima está a utilizar o computador
portátil ou outro dispositivo (um smartphone ou até
mesmo num ATM). A consciencialização sobre a ameaça é
particularmente importante para empresas com
colaboradores em trabalho remoto, onde estes podem
utilizar os seus dispositivos de trabalho em locais
públicos.
Tailgating: Este método envolve a entrada física em áreas
protegidas, como a sede de uma empresa. O atacante,
pode se fazer passar por colaborador e convencer a
vítima, que é um funcionário autorizado a entrar ao
mesmo tempo, a abrir a porta do datacenter usando o
cartão RFID da vítima.
O acesso a áreas não públicas deve ser controlado por
políticas de acesso e/ou uso de tecnologias de controlo de
acesso, quanto mais sensível a área, mais rigorosa a
combinação.
Para evitar tais ataques, há vários aspetos importantes a
serem considerados:

Reforce a autenticação multifator: Mesmo uma password

forte nem sempre é suficiente. É melhor não confiar na
autenticação de fator único para dados importantes. Além
de passwords, a verificação multifator pode incluir
digitalização de impressões digitais, tokens de
autenticação ou códigos SMS.
Formação dos colaboradores em engenharia social: um
dos aspetos mais importantes da prevenção de
engenharia social é a consciencialização dos riscos.
Portanto, é essencial organizar workshops de
cibersegurança para os colaboradores e passar a
importância dos dados.
Testar a consciencialização dos colaboradores: É
importante também colocar os colaboradores numa
situação de simulação de ataque real. Bloqueiam os
computadores quando saem? Há algum documento
importante nas suas mesas? Credenciais escritas em post-
its? O que farão se um número desconhecido ligar e se
fizer passar por alguém a oferecer serviços que a empresa
está à procura? Responder a estas perguntas ajudará a
garantir que cada pessoa da equipa tem consciência do
que pode e não deve fazer. Faça exercícios com a equipa
de gestão e com os colaboradores-chave regularmente.
Teste os controlos e faça engenharia reversa em áreas
potenciais de vulnerabilidade.
A engenharia social é uma prática que envolve a
manipulação psicológica das pessoas para obter
informações confidenciais, acesso a sistemas ou realizar
ações não autorizadas. Embora eu não possa promover
atividades ilegais ou antiéticas, posso fornecer uma lista
de algumas técnicas de engenharia social que são
frequentemente discutidas em contextos de
conscientização e segurança cibernética. Lembre-se de
que o conhecimento dessas técnicas é importante para se
proteger contra possíveis ataques, e não para usá-las de
maneira inadequada.

1. Pretexto: Criar uma história ou motivo

convincente para obter acesso a informações ou
áreas restritas.
2. Engano: Fornecer informações falsas para
manipular a vítima.
3. Autoridade falsa: Fingir ser uma figura de
autoridade para obter informações ou cooperação.
4. Intimidação: Usar ameaças ou pressão
psicológica para forçar a cooperação da vítima.
5. Empatia: Explorar a empatia da vítima para obter
informações ou acesso.
6. Elogio: Usar elogios para criar uma atmosfera de
confiança e obter cooperação.
7. Scarcity - escassez: Criar uma sensação de
escassez ou urgência para motivar a ação da vítima.
8. Reciprocidade: Oferecer algo à vítima para criar
um sentimento de obrigação.
9. Confiança: Ganhar a confiança da vítima ao
construir um relacionamento falso.
10. Exploração de falhas: Identificar e explorar
fraquezas emocionais ou psicológicas da vítima.
11. Engenharia social reversa: Convencer a vítima a
ajudar o atacante, acreditando que a vítima está no
controle.
12. Criar senso de pertencimento: Fazer a vítima se
sentir parte de um grupo ou comunidade para obter
cooperação.
13. Enganar identidade: Fingir ser alguém
conhecido pela vítima para obter informações.
14. Monitoramento de mídia social: Coletar
informações pessoais da vítima a partir de suas
redes sociais.
15. Ataques de phishing: Enviar mensagens falsas
ou e-mails para obter informações de login.
16. Dumpster diving: Vasculhar lixeiras em busca de
informações sensíveis.
17. Eavesdropping - escuta: Monitorar conversas
pessoais para obter informações.
18. Engenharia de voz: Manipular a voz para se
passar por outra pessoa ao telefone.
19. Tailgating - seguir: Entrar em áreas restritas
aproveitando a entrada de outras pessoas.
20. Quizzes e questionários: Criar falsos
questionários para coletar informações pessoais.
21. Engenharia de chave: Obter acesso físico a
locais usando cópias de chaves ou cartões de acesso.
22. Espelhamento: Copiar comportamentos da
vítima para criar uma sensação de familiaridade.
23. Força bruta social: Tentar várias abordagens até
encontrar uma que funcione.
24. Roubo de identidade: Usar informações
pessoais da vítima para se passar por ela.
25. Ameaça de divulgação: Ameaçar divulgar
informações embaraçosas ou sensíveis.
26. Criação de conto de fadas: Criar uma história
cativante para obter a cooperação da vítima.
27. Inserção de malware: Convencer a vítima a
baixar ou executar malware.
28. Manipulação emocional: Explorar as emoções
da vítima para obter cooperação.
29. Gancho de simpatia: Ganhar a simpatia da
vítima para obter informações.
30. Criação de urgência: Criar uma situação de crise
para obter ação imediata da vítima.
31. Camuflagem de identidade: Esconder a
verdadeira intenção por trás de uma solicitação.
32. Engenharia de relacionamento: Construir
relacionamentos falsos para obter informações.
33. Falsificação de documentos: Criar documentos
falsos para validar a identidade.
34. Manipulação de confiança mútua: Explorar
relações de confiança entre pessoas para obter
informações.
35. Engenharia de linguagem: Usar técnicas de
linguagem para persuadir a vítima.
36. Manipulação de percepção: Alterar a percepção
da vítima sobre uma situação para obter
cooperação.
37. Testes de segurança: Fingir ser um testador de
segurança para obter informações sobre sistemas.
38. Engenharia de percepção de risco: Fazer a
vítima subestimar os riscos envolvidos.
39. Criação de autoridade: Fingir ser uma fonte
confiável para obter cooperação.
40. Engenharia de rejeição: Explorar o medo de
rejeição para obter ação da vítima.
 41. Manipulação de grupo: Usar a dinâmica de
grupo para obter informações.
42. Exploração de curiosidade: Explorar a
curiosidade da vítima para obter cooperação.
43. Apelo emocional: Usar emoções intensas para
influenciar a vítima.
44. Engenharia de eventos: Criar eventos fictícios
para obter informações.
45. Falsas alegações de ajuda: Oferecer ajuda falsa
para obter cooperação.
46. Exploração de falta de conhecimento: Explorar
a falta de conhecimento da vítima para obter
informações.
47. Engenharia de contexto: Criar um contexto falso
para justificar a solicitação.
48. Engenharia de entrada: Manipular o processo
de entrada em um local restrito.
49. Exploração de boa vontade: Usar a natureza
benevolente da vítima para obter cooperação.
50. Uso de mascaramento: Usar disfarces para se
passar por outra pessoa.

É importante notar que a maioria dessas técnicas pode

ser usada para fins maliciosos, portanto, é fundamental
estar ciente delas para se proteger contra possíveis
ataques de engenharia social. A educação, a
conscientização e a adoção de medidas de segurança
adequadas são essenciais para minimizar os riscos
associados a essas práticas.

BÔNUS: 50 Contra medidas a ataques de Engenharia

Social

Certamente, proteger-se contra a engenharia social é

crucial para manter a segurança e a privacidade. Aqui
estão 50 técnicas e práticas que você pode adotar para se
defender contra ataques de engenharia social:

Conscientização e Educação:

1. Treinamento de conscientização: Realize

treinamentos regulares para informar as pessoas sobre os
riscos da engenharia social.
2. Educação sobre phishing: Ensine as pessoas a
identificar sinais de phishing em emails, mensagens e
links suspeitos.
 3. Compartilhamento de informações: Crie uma
cultura de compartilhamento limitado de
informações pessoais e profissionais.
4. Sensibilização para engenharia social:
Mantenha-se atualizado sobre as últimas táticas de
engenharia social e alerte os outros sobre elas.

Mídias Sociais e Privacidade:

5. Configurações de privacidade: Ajuste as

configurações de privacidade em suas contas de
mídia social para limitar o acesso a informações
pessoais.
6. Minimizar informações sensíveis: Evite
compartilhar detalhes pessoais, como datas de
nascimento, endereços e números de telefone nas
redes sociais.
7. Autenticação de dois fatores (2FA): Ative a
autenticação de dois fatores para proteger suas
contas online.

Comunicação Segura:
 8. Verificação de identidade: Sempre verifique a
identidade de pessoas antes de compartilhar
informações confidenciais ou realizar ações
solicitadas.

9. Confirmação independente: Entre em contato

com fontes oficiais para verificar a autenticidade de
solicitações inesperadas, como transferências de
dinheiro.

10. Senhas seguras: Use senhas fortes e únicas para

todas as contas e atualize-as regularmente.

Manipulação Psicológica:

11. Desconfiança saudável: Mantenha um nível

saudável de desconfiança em situações em que estão
solicitando informações sensíveis.
12. Controle emocional: Mantenha a calma em
situações de pressão e urgência, verificando os fatos
antes de agir.
13. Confirmação cruzada: Verifique informações de
diferentes fontes antes de agir ou compartilhar
informações.
 14. Não ceder a pressão: Não ceda a ameaças ou
pressões emocionais; siga os procedimentos
estabelecidos.

Segurança Física:

15. Restrições de acesso: Implemente medidas

para limitar o acesso físico a áreas sensíveis ou restritas.
16. Identificação rigorosa: Exija identificação
apropriada antes de permitir que alguém acesse
instalações ou informações restritas.
17. Políticas de segurança: Tenha políticas e
procedimentos claros para lidar com visitantes e situações
suspeitas.

Tecnologia e Segurança Cibernética:

18. Atualizações regulares: Mantenha seu software,

sistemas operacionais e aplicativos atualizados com
as últimas correções de segurança.
19. Antivírus e antimalware: Use software de
proteção contra malware para detectar e bloquear
ameaças.
 20. Firewall: Configure firewalls em seus
dispositivos e redes para bloquear acessos não
autorizados.
21. Não clique em links suspeitos: Evite clicar em
links ou fazer download de anexos de fontes não
confiáveis.
22. Verificação de e-mail: Verifique
cuidadosamente os remetentes de e-mails e evite
responder a solicitações suspeitas.

23. Sandbox: Abra anexos e links suspeitos em

ambientes virtuais isolados, como sandboxes.

Controle de Acesso:

24. Princípio do menor privilégio: Forneça apenas o

acesso mínimo necessário para realizar tarefas.
25. Revogação de acesso: Revogue imediatamente
o acesso de pessoas que não precisam mais dele.
26. Monitoramento de acesso: Monitore o acesso a
informações sensíveis e identifique atividades
suspeitas.

Treinamento e Testes de Simulação:

27. Testes de phishing simulados: Realize testes
regulares de phishing simulado para treinar as pessoas a
identificar e relatar ameaças.
28. Treinamento de engenharia social: Ensine os
funcionários a reconhecer e se defender contra táticas de
engenharia social.

Confirmação por Voz:

29. Confirmação verbal: Em situações críticas,

verifique solicitações por telefone, pessoalmente ou por
meio de canais oficiais.

Procedimentos de Resposta a Incidentes:

30. Protocolos de incidentes: Estabeleça

procedimentos claros para lidar com tentativas de
engenharia social e incidentes de segurança.
31. Comunicação interna: Mantenha a equipe
informada sobre incidentes de segurança e táticas de
engenharia social.
Prevenção de Engenharia Social Reversa:

32. Informações mínimas: Evite compartilhar

informações detalhadas sobre sistemas, processos
internos ou tecnologia com terceiros não autorizados.

Proteção de Dados Pessoais:

33. Conformidade com regulamentos: Cumpra as leis e

regulamentos de proteção de dados, como o GDPR, para
proteger informações pessoais.

Vigilância de Terceiros:

34. Vendors e fornecedores: Verifique a segurança dos

fornecedores e parceiros que têm acesso às suas
informações ou sistemas.
Segurança de Dispositivos Móveis:

35. Bloqueio de dispositivos: Use senhas, biometria ou

PINs para bloquear dispositivos móveis.
36. Criptografia de dados: Criptografe os dados
armazenados em dispositivos móveis para protegê-los em
caso de perda ou roubo.

Política de Redes Sociais:

37. Conscientização sobre redes sociais: Eduque as

pessoas sobre os riscos de compartilhar informações
sensíveis nas redes sociais.

Gestão de Identidade:

38. Soluções de gestão de identidade: Implemente

soluções de gerenciamento de identidade e acesso para
controlar o acesso a sistemas e dados.

Uso de senhas temporárias:

39. Códigos únicos: Use senhas temporárias ou códigos
únicos para autenticação, especialmente em transações
sensíveis.

Verificação de Links:

40. Hover antes de clicar: Passe o mouse sobre um link

para verificar o URL antes de clicar nele.

Lidar com Incidentes:

41. Relatórios de incidentes: Estabeleça um processo

para relatar suspeitas de engenharia social e outras
ameaças.

Isolamento de Informações:

42. Compartimentalização: Isolar informações

sensíveis para limitar o impacto em caso de violação.
Políticas de Comunicação:

43. Comunicados oficiais: Use canais oficiais para

compartilhar informações importantes e evite canais não
verificados.

Atualização Constante:

44. Evolução das ameaças: Mantenha-se atualizado

sobre as táticas de engenharia social mais recentes e
ajuste suas estratégias de proteção conforme necessário.

Prevenção de Engenharia Reversa:

45. Políticas de compartilhamento: Estabeleça

diretrizes claras para compartilhar informações
confidenciais com terceiros.

Monitoramento e Análise de Comportamento:

46. Monitoramento de padrões: Implemente sistemas
de detecção de anomalias para identificar
comportamentos suspeitos.

Senso de Comunidade:

47. Colaboração interna: Crie um ambiente onde os

funcionários se sintam à vontade para relatar atividades
suspeitas.

Manutenção de Cautela:

48. Atitudes críticas: Incentive a cultura de

questionamento e verificação antes de compartilhar
informações ou executar ações.

Backup de Dados:

49. Backup regular: Faça backups regulares de dados

importantes para proteger contra perda de informações.
Revisão de Processos:

51. Avaliação contínua: Revise regularmente os

processos de segurança para identificar e corrigir
possíveis vulnerabilidades.
https://inteltechniques.com/index.htm

A engenharia social é uma técnica utilizada para

manipular pessoas a fim de que revelem informações
confidenciais ou realizem ações que não realizariam de
outra forma. No contexto da investigação OSINT (Open-
Source Intelligence), a engenharia social pode ser usada
para coletar informações que não estão disponíveis
publicamente.
É importante notar que a engenharia social deve ser
usada apenas para fins éticos e legais. Se você estiver
pensando em usar engenharia social para fins maliciosos,
pense novamente. Existem muitas maneiras de usar a
OSINT para coletar informações sem recorrer à
engenharia social.
Aqui estão algumas dicas sobre como usar a engenharia
social como investigador na área de OSINT:
1. Crie uma persona confiável.
A primeira etapa para realizar engenharia social com
sucesso é criar uma persona confiável. Isso significa criar
uma identidade falsa que seja crível e que tenha
probabilidade de ser confiada pela pessoa que você está
tentando manipular. Ao criar sua persona, você precisa
considerar coisas como idade, sexo, ocupação, interesses
e histórico pessoal.
2. Faça sua pesquisa.
Antes de tentar manipular alguém, é importante que você
faça sua pesquisa sobre essa pessoa. Isso significa
aprender o máximo possível sobre sua vida pessoal e
profissional. Quanto mais você souber sobre a pessoa,
melhor poderá adaptar sua persona e sua abordagem
para se adequar a ela.
3. Use o engodo.
O engodo é uma técnica de engenharia social que envolve
a criação de uma falsa sensação de urgência ou escassez.
Por exemplo, você pode dizer à pessoa que ela ganhou
um prêmio ou que precisa agir rapidamente para evitar
perder algo.
4. Use a prova social.
A prova social é uma técnica de engenharia social que
envolve mostrar à pessoa que outras pessoas já fizeram o
que você está pedindo que ela faça. Por exemplo, você
pode mostrar à pessoa depoimentos de outras pessoas
que usaram seu produto ou serviço ou pode mostrar à
pessoa uma lista de pessoas que já doaram para sua
causa.
5. Use a autoridade.
A autoridade é uma técnica de engenharia social que
envolve se posicionar como uma figura de autoridade ou
especialista. Por exemplo, você pode usar um título
profissional ou se vestir com roupas profissionais para
fazer com que pareça mais conhecedor ou confiável.
6. Use a reciprocidade.
A reciprocidade é uma técnica de engenharia social que
envolve dar algo à pessoa antes de pedir algo em troca.
Por exemplo, você pode oferecer à pessoa uma amostra
grátis de seu produto ou serviço ou pode fornecer à
pessoa informações valiosas.
7. Seja paciente.
A engenharia social pode levar tempo. Não espere que a
pessoa revele todas as suas informações confidenciais ou
realize a ação que você deseja na primeira vez que você
perguntar. Seja paciente e continue construindo o
relacionamento até que a pessoa confie em você o
suficiente para lhe dar as informações que você precisa.
É importante lembrar que a engenharia social não é uma
ciência exata. O que funciona para uma pessoa pode não
funcionar para outra. A chave é ser criativo e estar
disposto a experimentar diferentes técnicas até
encontrar o que funciona melhor para você.
l