Open in app

Sign in

Write

Sign in

Engenharia Social — Entenda o que é!

Patrick Isidoro
BaixadaNerd
Published in
6 min readNov 24, 2018

Engenharia Social é um método utilizado para obter informações que podem ser usadas para ter acesso não autorizado a computadores ou dados sensíveis, de forma persuasiva o atacante abusa da ingenuidade ou falta de treinamento do usuário.

Talvez você já tenha ouvido esse termo, tentarei explicar de forma simples e chamar a atenção para que você abra os olhos e não seja uma vítima.

Este termo refere-se a um ataque para roubo de dados, geralmente tem como alvo grandes empresas. Mas é aí que mora o problema, a maioria das pessoas não dão a devida atenção, pois pensam que o alvo é somente a empresa ou pessoas com um cargo altamente relevante, e se esquecem que todos podem ser considerados alvos e serem manipulados para que no fim o atacante obtenha êxito. Geralmente quem faz uso dessa técnica, conta com a falha humana para fazer seu ataque.

Há uma cena em MR. ROBOT por exemplo, onde a Darlene joga vários pendrives no estacionamento da prisão onde está o Vera, esperando que algum guarda pegue o dispositivo e o leve para dentro, onde ao plugá-lo no computador permitiria que Elliot tivesse acesso a informações.

Darlene dropping USB flash drives in the prison’s parking

Para quem curti livros, indico fortemente que leiam dois dos que Kevin Mitnick escreveu (A arte de enganar e A arte de invadir), onde ele relata vários casos de invasões e roubo de informações em que foi utilizado esta técnica. Acredito que é muito útil para aprendermos a nos proteger.

Mas afinal, como funciona?

Como destacado no início do post, esta técnica consiste em uma abordagem persuasiva, onde o atacante se aproveita da ingenuidade ou falta de treinamento da pessoa atacada para conseguir extrair informações confidenciais ou para ter acesso a um sistema de forma não autorizada.

Normalmente se ganha a confiança da pessoa com uma abordagem simples, ou mais elaborada, a fim de que consiga instigar / manipular a pessoa para efetuar determinada ação, permitindo assim, que o atacante tenha acesso facilitado a informação que busca. Mais abaixo citarei alguns exemplos.

O próprio Kevin Mitnick relata que direcionava o ataque a funcionários de baixo escalão e agia da seguinte forma, sempre por telefone:

  • Ele estabelecia uma confiança com o empregado, através de uma ou mais ligações.
  • Passava-se por colega de trabalho de outra unidade ou setor, as vezes até por agentes autorizados, como auditores e oficiais de justiça.

Depois disso era fácil conseguir extrair informações e até mesmo solicitar que os funcionários executassem certa tarefa.

As vítimas de engenharia social não são somente funcionários com mais acessos ao sistema, normalmente esse ataque é desferido contra recepcionistas, atendentes, guardas, office boys e tantos outros, pois normalmente são alvos com quase nenhum treinamento a respeito deste tema, e geralmente nem se dão conta de que estão sendo manipulados.

Por exemplo, quando alguém usa a técnica de shoulder surfing, que nada mais é que “olhar pelos ombros” enquanto você digita sua senha, ele está aplicando uma vertente da engenharia social.

Outra vertente utilizada se chama dumpster diving (ou trashing), onde o invasor fuça o lixo de uma empresa ou residência alvo, atrás de alguma informação interessante para o processo de invasão. É interessante o que se pode aprender sobre seu alvo, apenas fuçando seu lixo.. Sabe aquele papelzinho que tem escrito o usuário e senha de login do seu sistema? Ou alguma anotação sigilosa que você descartou no cesto de lixo comum? Sim, esse é o objetivo desta técnica. Muitos a utilizam para conhecer seus alvos, saber em qual banco a vítima tem conta, quais as principais cobranças que recebe, esses são alguns dos dados que se usam quando se pretende fazer uso de phishing ou pharming.

Não facilite o trashing

E por que caímos nessa?

A “arte de enganar” consiste em atacar o ponto mais fraco do sistema, e utiliza da manipulação dos sentimentos da possível vítima. Os principais sentimentos que normalmente são manipulados, são a:

  • Curiosidade: geralmente utilizando a técnica de phishing (citada mais abaixo), enviando emails com assuntos como “oferta imperdível”, ou ainda “você ganhou o produto x”, ou algo que aguce a curiosidade do alvo.
  • Confiança: quando há confiança, o atacante age com mais facilidade, fingindo ser um diretor ou até o dono de uma empresa, é possível solicitar através de um email falso, que enviem informações consideradas sensíveis, pois o alvo irá confiar na idoneidade do solicitante.
  • Intimidação: agindo quase como no modo anterior, porém, o atacante irá exigir que seja executada a ação que ele precisa como se fosse um superior imediato, por exemplo, com voz firme e gerando certo pavor no alvo com palavras tipo: “faça isso agora!”.
  • Simpatia: todos gostamos de pessoas simpáticas, e é dificil dizer não a elas. Engenheiros sociais são bajuladores profissionais.
Infelizmente sempre há quem possa ser manipulado

Citarei dois dos vetores que eu considero mais comuns na engenharia social:

  • Phishing - Consiste em enviar emails atrativos e curiosos com links que te direcionam para programas maliciosos. Normalmente a chamada está no assunto: “Parabéns você foi sorteado e ganhou um automóvel zero!”, sempre desperta a curiosidade das pessoas, ou fingindo conhecer a vítima “Essa foto sua é montagem?” ou até mesmo se passando por um comunicado de uma grande empresa “Comunicamos que seu nome foi incluso no SPC/SERASA devido as seguintes pendências em aberto”. É possível ter idéia das infinitas possibilidades, sempre instigando o sentimento das vítimas para que realizem determinada ação, tipo baixar um arquivo infectado, enviar alguma informação sigilosa ou até mesmo efetuar um pagamento.
  • Pharming - Essa técnica é um ótimo exemplo de combinação de engenharia social com técnicas avançadas de invasão, envenenando o servidor DNS da vítima (basicamente, DNS é o responsável por redirecionar os sites acessados para o endereço correto), fazendo com que todo o tráfego seja direcionado para sites falsos. Com esta técnica, é possível fazer com que, quando a vítima tentar acessar o site do seu banco por exemplo, ela será direcionada para um servidor falso que tem a interface idêntica ao site original, sendo possível roubar dados bancários, com isso também é possível capturar dados de usuário e senha de sistemas corporativos, entre outras coisas.

E como se proteger?

Stay safe!

Os ataques de engenharia social são focados no usuário, a única maneira de proteger seu negócio / sistema, é fazendo treinamentos, workshops e estudo de casos. Outro fato importante é manter uma política de segurança rígida, e realizar pentests regularmente para saber como seu sistema se comporta a ataques simulados.

Um bom antivírus e uma boa estrutura de firewalls, nem sempre são o suficientes para conter as ameaças que podem sugir de brechas no sistema. Pensando nisso, algumas empresas investem numa postura preventiva, onde são separados dois times: Red Team e Blue Team. Um é responsável por atacar o sistema (red), e o outro por defendê-lo (blue), simulando assim um cenário no qual é possível saber como está a segurança da empresa, e dependendo da natureza deste teste, é utilizado várias técnicas de engenharia social também.

Bom, é isso.

Acredito que o conteúdo pode ser absorvido e aproveitado por todos, sejam pessoas com entendimento em TI ou não. Espero ter elucidado a todos e que possam ter um conhecimento inicial sobre o assunto. Caso queira acrescentar algo, deixe seu comentário. Críticas e sugestões também são sempre bem vindas.

Em breve postarei mais falando sobre Segurança da Informação.

See you soon!

Segurança Da Informação
Security
Engenharia Social
Social Engineering

--

--

Patrick Isidoro
BaixadaNerd

Written by Patrick Isidoro

210 Followers
Editor for

Um pequeno gafanhoto, aprendiz padawan, amante da tecnologia e entusiasta de ethical hacking, buscando conhecimento e a procura de uma boa xícara de café..

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams