“Engenharia Social é a ciência que estuda como o conhecimento do comportamento humano pode ser utilizado para induzir uma pessoa a atuar segundo seu desejo.” – PEIXOTO, Mário César Pintaudi. 2006.
Anterior a P. T. Barnum e sua Sereia de Fiji, mais antigo até que o golpe do Príncipe Nigeriano, também conhecido como golpe 419, o engodo e a manipulação são táticas antiquíssimas presentes inclusive na moral dos contos de fada. Mas podemos reconhecer o lobo em pele de cordeiro pelos olhos grandes que ele tem?
Profissionais constantemente se deparam com invasões bem sucedidas graças às vulnerabilidades dos seres humanos. Kevin Mitnick, consultor de segurança já foi um dos cibercriminosos mais procurados pelo FBI, uma de suas declarações é repetida constantemente entre profissionais de Segurança da Informação: “As pessoas são o elo mais fraco da cadeia de segurança”.
É possível estabelecer metodologias e recursos de segurança diversos em todos os negócios, mas não existem patches ou firewalls para as pessoas. Uma boa gestão de segurança estabelecerá conformidade com políticas adequadas, porém a própria necessidade de liberdade para tomadas de decisão em um negócio pode gerar vulnerabilidades.
Em testes de invasão a Engenharia Social é um recurso constante, inclusive na nossa vida pessoal podemos ser vítimas deste tipo de ameaça. Sendo assim todo funcionário deveria receber treinamento adequado para reconhecer este tipo de ataque.
Apresentamos aqui alguns dos ataques mais utilizados pelo Engenheiro Social e algumas formas de reconhecer estes ataques.
Tecnicas de Engenharia Social
- O Pretexting é a base da maioria das técnicas de Engenharia Social. Esta técnica consiste no uso de falso pretexto, em que o atacante assume uma falsa identidade ou argumentos ilegítimos. Um exemplo bastante comum é o golpe do Falso Sequestro, em que os atacantes declaram ter alguém relacionado a vítima como refém. Ou uma chamada na qual o atacante declara ser de uma determinada operadora ou banco e questiona sobre outros dados da vítima.
- O Phishing é uma forma de ataque muito comum. Seu nome vem justamente da analogia com a pesca: o atacante lança uma isca para atrair a vítima, por exemplo utilizando um link atrativo, como uma promoção imperdível ou fotos uma celebridade, mas na verdade este link descarregar um arquivo malicioso.
- O Baiting é semelhante ao Phishing por também oferecer uma isca. Só que neste caso, ela é física, como um pendrive sem identificação, um CD com músicas ou qualquer outras mídia que possa entregar um Cavalo de Tróia ou outro software malicioso.
- O Tailgaiting é uma técnica bastante simples, muitas vezes utilizada em filmes, mas isso só aumenta o sucesso dela na prática já que as vítimas não esperam tamanha ousadia. Consiste em aproveitar a entrada de um funcionário ou cliente da empresa e passar junto deste pelo acesso. Um exemplo seria se passar por entregador ou então pedir para a vítima segurar a porta por estarmos carregando uma caixa. O mesmo ataque é utilizado em invasões de condomínios.
- O Should Surfing é o mais simples dos ataques, trata-se da situação em uma espiada por cima dos ombros da vítima enquanto digita a senha de acesso ao computador, caixa do banco ou outro terminal.
- A Reverse Social Engineering por sua vez é uma recontextualização do Pretexting, pois simula uma situação na qual a vítima supõe estar sendo auxiliada pelo atacante em uma atividade legítima, como acessar um caixa bancário ou serviço online.
Etapas de um ataque
A Engenharia Social acontece em um ciclo de atividades bem estruturado:
- Coleta de informações – Um fator importante: os ataques citados ocorrem apenas com as informações disponíveis sobre a vítima. Por exemplo, uma postagem nas Redes Sociais informando que alguém está assistindo a um determinado filme diz ao atacante que durante o período do filme aquela pessoa não poderá atender o celular caso seus parentes liguem para tentar confirmar a veracidade de um possível sequestro. Ou então a informação sobre o time de futebol pode servir de base para uma falsa mensagem de email anunciando uma promoção.
- Desenvolvimento de relacionamento – Pessoas têm uma tendência a tentar agradar, e os atacantes exploram essa tendência. Estes podem simular afinidades com seus alvos ou fazer-los acreditar em uma relação já pré existente, visando estabelecer uma relação. Por exemplo, se passando por um funcionário terceirizado pela empresa.
- Exploração da relação – Valendo-se da relação estabelecida, o atacando solicita informações ou ações que deveriam ser controladas. Por exemplo, o nome ou horário de expediente de outro funcionário, acesso a um arquivo ou local. No caso do tailgating fica evidente que a relação é pressuposta pela vítima ao considerar que aquele indivíduo está acessando o local por direito.
- Execução do ataque – Usando todas as informações e recursos obtidos o atacante completa o ataque contra empresa ou vítima. Nesta fase o objetivo pode ter sido conquistado ainda na exploração da relação ou então ser atingido em uma outra forma de ataque.
Quais são as suas vulnerabilidades?
Das características humanas comumente exploradas pela Engenharia Social temos alguns pontos recorrentes e mecanismos clássicos. Medo e simpatia podem ser utilizados para intimidar, estabelecer confiança, gratidão ou culpa. Alguns exemplos práticos deste Modus Operandi.
- Autoridade – O atacante liga para um funcionário de uma empresa e afirma já ter sido autorizado por outro funcionário de cargo mais elevado a acessar arquivos, documentos ou um determinado sistema. Ao ser pressionada desta forma é comum que a vítima ceda. Sua submissão normalmente apoia-se no instinto de autopreservação.
- Afabilidade – O atacante é educado e procura solicitar as informações de forma coerente. Ao realizar o contato, provavelmente já terá se munido de informações sobre o alvo e buscará provocar o sentimento de identificação ao simular afinidades. Por exemplo, utilizando o mesmo sotaque, nível de formalidade ou informalidade, gírias ou jargões da vítima..
- Reciprocidade ou Quid pro Quo – Aqui o atacante vale-se da mesma lógica aplicada no Phishing, no Baiting e outros ataques, apresentando um presente ou favor não solicitado. Outra máxima repetida em segurança da informação é a de que “Não existe almoço grátis”. Então, se alguém está se oferecendo para corrigir um problema que pode te afetar, o correto é verificar se ela pode fazê-lo segundo o regulamento adequado.
- Validação Social – Um bom exemplo é a situação em que o atacante afirma que outras pessoas já lhe concederam aquela informação ou acesso:
– “Hey Paulo, já consegui os dados de todo o seu setor, só falta você”.
– “O Thiago, seu supervisor já me deu acesso, por que você está me bloqueando?”.
– “Todos já assinaram a lista, só falta você”. - Escassez – Uma oportunidade única ou incomum é apresentada, como “A promoção só dura até sexta”, ou “O curso é gratuito até o final do dia. Clique aqui”.
Podemos reconhecer o comportamento de um possível engenheiro social por meio da repetição de alguns padrões. Por exemplo, o uso de um falso nome, afinal de contas se um “Sidney do RH” te contatou porque não pedir para que ele espere um instante enquanto você confirma que realmente existe alguém no RH com este nome? A recusa em dar um numero de retorno pode indicar que o número do qual o indivíduo está ligando pode não ser legítimo. Uma solicitação fora do comum, qualquer pedido novo deve chamar a atenção para outras informações. Alegação de autoridade ou a famosa “carteirada” podem demonstrar nervosismo, ou ênfase na urgência do pedido ou ameaças de consequências negativas caso não seja atendido, desconforto com questionamentos, ou mesmo a presença de cumprimentos, lisonja e flerte podem ser indícios de um ataque de Engenharia Social.
Formas de defesa
Algumas medidas podem objetivamente reduzir os riscos de que um ataque de Engenharia Social seja bem sucedido:
- Definir políticas políticas adequadas sobre como requisitar autorizações ou liberar acessos, procedimentos para executar modificações, definição de horários para as atividades necessárias, responsáveis pelas atividades. Políticas de uso de email, telefones corporativos, computadores e demais ativos da empresa, caracteres para mascarar senhas e demais medidas de segurança.
- Educação e treinamento dos funcionários em todos os setores da empresa, por exemplo, para que a equipe de limpeza alerte sobre descarte inadequado de documentos.
- Uma adequada configuração da segurança física, como a desativação de entradas de USB para evitar ataques do tipo DropUSB e USBKiller.
- Controle de acesso, tanto físico quanto lógico, para garantir a confidencialidade de dados, assegurando que apenas quem de fato deva acessar um arquivo ou sala o faça, afinal de contas porque um diretor de marketing deveria ter acesso a informações do RH, ou um estagiário de TI ter acesso aos telefones pessoais do alto escalão.
Literatura recomendada
– HAPP, Christian; MELZER, André; STEFFGEN, Georges. Trick with treat–Reciprocity increases the willingness to communicate personal data. Computers in Human Behavior, v. 61, p. 372-377, 2016.
– MITNICK, Kevin D.; SIMON, William L. The Art of Intrusion: The real stories behind the exploits of hackers, intruders and deceivers. John Wiley & Sons, 2009.
– MITNICK, Kevin D.; SIMON, William L. The art of deception: Controlling the human element of security. John Wiley & Sons, 2011.
– SCHEERES, Jamison W. Establishing the human firewall: reducing an individual’s vulnerability to social engineering attacks. AIR FORCE INST OF TECH WRIGHT-PATTERSON AFB OH GRADUATE SCHOOL OF ENGINEERING AND MANAGEMENT, 2008.
– STAJANO, Frank; WILSON, Paul. Understanding scam victims: seven principles for systems security. University of Cambridge, Computer Laboratory, 2009.
– PEIXOTO, Mário César Pintaudi. Engenharia social e segurança da informação na gestão corporativa. Brasport, 2006.
Visits: 143
