A Segurança Digital está em constante evolução e as bases sempre são as mesmas, apenas se aprimoram cada vez mais. Não estamos seguros por que sempre existirão as vulnerabilidades como configurações malfeitas, aplicativos com falhas, redes desprotegidas, falta de atualizações e o fator humano que é o pior deles.
Segundo Lyra (2017, p. 9):
“Os ativos de informação possuem vulnerabilidades ou fraquezas que podem gerar, intencionalmente ou não, a indisponibilidade, a quebra de confidencialidade ou integridade. A vulnerabilidade de um ativo é o seu ponto fraco.”
A engenharia social faz parte dos aspectos humanos da segurança digital, as vulnerabilidades sempre envolvem pessoas seja do lado passivo ou do lado ativo da ameaça.
Segundo o SANS Institute, “Engenharia Social é a arte de utilizar o comportamento humano para quebrar a segurança sem que a vítima sequer perceba que foi manipulada”.
Segundo Assunção (2010, p. 145):
“Os engenheiros sociais são pessoas cultas, de um papo agradável e que conseguem fazer com que você caia em suas armadilhas. Utilizando meios digitais, telefônicos e até pessoalmente, observam e estudam você sem que sejam percebidos. E isso não é algo novo que surgiu com a informática, há décadas esses engenheiros vêm agindo, por aqui, normalmente conhecemos essas pessoas por estelionatários.”
Se utilizam de ações físicas, como procura de informações no lixo, presença física, escuta de conversa telefônica, etc. E ações psicológicas relacionadas a comportamento humano, explorando a confiança da outra pessoa, pois, normalmente sempre acreditamos que as outras pessoas são boas e honestas. Além do que podem se utilizar de mecanismos de arrombamento de ambientes físicos, extorsão e suborno de colaboradores da organização.
Um dos grandes problemas é que geralmente as pessoas lidam com a tecnologia, sem a preocupação mínima com a segurança, Não se preocupam em conhecer minimamente o assunto e de como se proteger. Numa organização é mais crítico ainda, pois, muitas vezes, os usuários não dominam a computação e não são minimamente treinados e as configurações de segurança ficam na dependência de pessoal mais técnico que administram a rede.