Engenharia Social — Entenda o que é!
Engenharia Social é um método utilizado para obter informações que podem ser usadas para ter acesso não autorizado a computadores ou dados sensíveis, de forma persuasiva o atacante abusa da ingenuidade ou falta de treinamento do usuário.
Talvez você já tenha ouvido esse termo, tentarei explicar de forma simples e chamar a atenção para que você abra os olhos e não seja uma vítima.
Este termo refere-se a um ataque para roubo de dados, geralmente tem como alvo grandes empresas. Mas é aí que mora o problema, a maioria das pessoas não dão a devida atenção, pois pensam que o alvo é somente a empresa ou pessoas com um cargo altamente relevante, e se esquecem que todos podem ser considerados alvos e serem manipulados para que no fim o atacante obtenha êxito. Geralmente quem faz uso dessa técnica, conta com a falha humana para fazer seu ataque.
Há uma cena em MR. ROBOT por exemplo, onde a Darlene joga vários pendrives no estacionamento da prisão onde está o Vera, esperando que algum guarda pegue o dispositivo e o leve para dentro, onde ao plugá-lo no computador permitiria que Elliot tivesse acesso a informações.
Para quem curti livros, indico fortemente que leiam dois dos que Kevin Mitnick escreveu (A arte de enganar e A arte de invadir), onde ele relata vários casos de invasões e roubo de informações em que foi utilizado esta técnica. Acredito que é muito útil para aprendermos a nos proteger.
Mas afinal, como funciona?
Como destacado no início do post, esta técnica consiste em uma abordagem persuasiva, onde o atacante se aproveita da ingenuidade ou falta de treinamento da pessoa atacada para conseguir extrair informações confidenciais ou para ter acesso a um sistema de forma não autorizada.
Normalmente se ganha a confiança da pessoa com uma abordagem simples, ou mais elaborada, a fim de que consiga instigar / manipular a pessoa para efetuar determinada ação, permitindo assim, que o atacante tenha acesso facilitado a informação que busca. Mais abaixo citarei alguns exemplos.
O próprio Kevin Mitnick relata que direcionava o ataque a funcionários de baixo escalão e agia da seguinte forma, sempre por telefone:
- Ele estabelecia uma confiança com o empregado, através de uma ou mais ligações.
- Passava-se por colega de trabalho de outra unidade ou setor, as vezes até por agentes autorizados, como auditores e oficiais de justiça.
Depois disso era fácil conseguir extrair informações e até mesmo solicitar que os funcionários executassem certa tarefa.
As vítimas de engenharia social não são somente funcionários com mais acessos ao sistema, normalmente esse ataque é desferido contra recepcionistas, atendentes, guardas, office boys e tantos outros, pois normalmente são alvos com quase nenhum treinamento a respeito deste tema, e geralmente nem se dão conta de que estão sendo manipulados.
Por exemplo, quando alguém usa a técnica de shoulder surfing, que nada mais é que “olhar pelos ombros” enquanto você digita sua senha, ele está aplicando uma vertente da engenharia social.
Outra vertente utilizada se chama dumpster diving (ou trashing), onde o invasor fuça o lixo de uma empresa ou residência alvo, atrás de alguma informação interessante para o processo de invasão. É interessante o que se pode aprender sobre seu alvo, apenas fuçando seu lixo.. Sabe aquele papelzinho que tem escrito o usuário e senha de login do seu sistema? Ou alguma anotação sigilosa que você descartou no cesto de lixo comum? Sim, esse é o objetivo desta técnica. Muitos a utilizam para conhecer seus alvos, saber em qual banco a vítima tem conta, quais as principais cobranças que recebe, esses são alguns dos dados que se usam quando se pretende fazer uso de phishing ou pharming.
E por que caímos nessa?
A “arte de enganar” consiste em atacar o ponto mais fraco do sistema, e utiliza da manipulação dos sentimentos da possível vítima. Os principais sentimentos que normalmente são manipulados, são a:
- Curiosidade: geralmente utilizando a técnica de phishing (citada mais abaixo), enviando emails com assuntos como “oferta imperdível”, ou ainda “você ganhou o produto x”, ou algo que aguce a curiosidade do alvo.
- Confiança: quando há confiança, o atacante age com mais facilidade, fingindo ser um diretor ou até o dono de uma empresa, é possível solicitar através de um email falso, que enviem informações consideradas sensíveis, pois o alvo irá confiar na idoneidade do solicitante.
- Intimidação: agindo quase como no modo anterior, porém, o atacante irá exigir que seja executada a ação que ele precisa como se fosse um superior imediato, por exemplo, com voz firme e gerando certo pavor no alvo com palavras tipo: “faça isso agora!”.
- Simpatia: todos gostamos de pessoas simpáticas, e é dificil dizer não a elas. Engenheiros sociais são bajuladores profissionais.
Citarei dois dos vetores que eu considero mais comuns na engenharia social:
- Phishing - Consiste em enviar emails atrativos e curiosos com links que te direcionam para programas maliciosos. Normalmente a chamada está no assunto: “Parabéns você foi sorteado e ganhou um automóvel zero!”, sempre desperta a curiosidade das pessoas, ou fingindo conhecer a vítima “Essa foto sua é montagem?” ou até mesmo se passando por um comunicado de uma grande empresa “Comunicamos que seu nome foi incluso no SPC/SERASA devido as seguintes pendências em aberto”. É possível ter idéia das infinitas possibilidades, sempre instigando o sentimento das vítimas para que realizem determinada ação, tipo baixar um arquivo infectado, enviar alguma informação sigilosa ou até mesmo efetuar um pagamento.
- Pharming - Essa técnica é um ótimo exemplo de combinação de engenharia social com técnicas avançadas de invasão, envenenando o servidor DNS da vítima (basicamente, DNS é o responsável por redirecionar os sites acessados para o endereço correto), fazendo com que todo o tráfego seja direcionado para sites falsos. Com esta técnica, é possível fazer com que, quando a vítima tentar acessar o site do seu banco por exemplo, ela será direcionada para um servidor falso que tem a interface idêntica ao site original, sendo possível roubar dados bancários, com isso também é possível capturar dados de usuário e senha de sistemas corporativos, entre outras coisas.
E como se proteger?
Os ataques de engenharia social são focados no usuário, a única maneira de proteger seu negócio / sistema, é fazendo treinamentos, workshops e estudo de casos. Outro fato importante é manter uma política de segurança rígida, e realizar pentests regularmente para saber como seu sistema se comporta a ataques simulados.
Um bom antivírus e uma boa estrutura de firewalls, nem sempre são o suficientes para conter as ameaças que podem sugir de brechas no sistema. Pensando nisso, algumas empresas investem numa postura preventiva, onde são separados dois times: Red Team e Blue Team. Um é responsável por atacar o sistema (red), e o outro por defendê-lo (blue), simulando assim um cenário no qual é possível saber como está a segurança da empresa, e dependendo da natureza deste teste, é utilizado várias técnicas de engenharia social também.
Bom, é isso.
Acredito que o conteúdo pode ser absorvido e aproveitado por todos, sejam pessoas com entendimento em TI ou não. Espero ter elucidado a todos e que possam ter um conhecimento inicial sobre o assunto. Caso queira acrescentar algo, deixe seu comentário. Críticas e sugestões também são sempre bem vindas.
Em breve postarei mais falando sobre Segurança da Informação.
See you soon!