A engenharia social é a arte de manipular as pessoas para conseguir informações confidenciais. No ataque de engenharia social, um atacante utiliza a interação humana (habilidades sociais e psicológicas) para obter informações ou conseguir comprometer o computador e sistemas de uma empresa ou pessoa.

Os tipos de informações que esses atacantes estão procurando podem variar. No cenário brasileiro, o que temos observado e acompanhado é a tentativa de induzir a vítima a executar um software malicioso no computador que irá fornecer acesso às suas senhas e informações bancárias.

Durante o ataque, o criminoso pode parecer íntegro e respeitável, podendo até afirmar ser um novo funcionário ou fornecedor e forjar as credenciais (inclusive e-mail) para dar uma veracidade maior a essa identidade. Através de perguntas, ele pode ser capaz de reunir informações suficientes para completar uma invasão ou, se ele não conseguir reunir informações suficientes de uma fonte, ele pode entrar em contato com outra fonte dentro da mesma empresa e usar as informações obtidas da primeira para conseguir uma credibilidade maior nesta investida.

As vítimas de engenharia social

É importante ressaltar que, independente do hardware, software e plataforma utilizada, o elemento de maior vulnerabilidade em qualquer sistema é o ser humano, por possuir traços comportamentais e psicológicos que o torna susceptível a ataques de engenharia social. Dentre essas características, podem-se destacar:

  • Vontade de ser útil: O ser humano, comumente, procura agir com cortesia, bem como ajudar outros quando necessário.
  • Busca por novas amizades: O ser humano costuma se agradar e sentir-se bem quando elogiado, ficando mais vulnerável e aberto a fornecer informações.
  • Propagação de responsabilidade: Trata-se da situação na qual o ser humano considera que ele não é o único responsável por um conjunto de atividades.
  • Persuasão: Compreende quase uma arte a capacidade de convencer pessoas, onde se busca obter respostas específicas. Isto é possível porque as pessoas têm características comportamentais que as tornam vulneráveis à manipulação.

Técnicas

Praticamente todas as técnicas de engenharia social consistem em obter informações privilegiadas iludindo os usuários de um determinado sistema através de identificações falsas, aquisição de carisma e confiança da vítima. Ao realizar o ataque, o atacante pode fazer uso de qualquer meio de comunicação. Tendo-se destaque para telefonemas, conversas diretas com a vítima, e-mail e WWW. Algumas dessas técnicas são:

Phishing

Uma das maneiras mais fáceis de ser infectado por um malware – inclusive um ransomware – é por phishing. Por meio de um e-mail de phishing, um hacker, após coletar previamente informações para construir uma mensagem convincente, envia um e-mail aparentemente legítimo pedindo para que o usuário baixe um arquivo ou clique em um link.

Geralmente, o foco são os usuários com grandes privilégios de acesso. O objetivo do whale phishing geralmente é extrair propriedade intelectual ou outra informação altamente sigilosa.

Para esse tipo de problema, o melhor a fazer é educar a equipe para que não clique em links ou abra anexos ou e-mails de pessoas desconhecidas ou empresas com as quais a organização não faça negócios.

Ligações Falsas

As ligações falsas são bem semelhantes ao phishing, exceto pelo fato de se darem pelo telefone. Trata-se do ato de criar um cenário inventado (pretexto) para engajar um usuário numa conversa para tentar arrancar dele informações sobre uma vítima. Isso geralmente envolve algumas pesquisas para criar uma mentira convincente.

Os criminosos podem se passar por funcionários, profissionais de TI, fornecedores ou qualquer outro indivíduo que possa ser interessante, dependendo do contexto. O objetivo é obter informações sensíveis, como contas de banco, nomes de parentes, datas de compromisso e outras informações que podem ser usadas em uma possível violação.

Pegando carona

Isso acontece fora do mundo virtual e envolve uma pessoa que se aproveita de um funcionário legítimo para ter acesso a uma área restrita. A solução para isso é seguir as boas práticas de segurança, entre elas, a de manter dispositivos bloqueados em períodos de inatividade.

Figuras da Engenharia Social

São várias as figuras encontradas em um ataque de engenharia social, algumas utilizadas apenas na fase de coleta de informações, outras utilizadas apenas na fase de ataque direto e por fim algumas que são utilizadas durante todo o processo de realização do ataque, dentre elas podemos destacar:

Disfarces

Geralmente os disfarces são utilizados durante todo o processo de ataque, seja como faxineiro durante o processo de coleta das informações ou como consultor em visita durante um ataque direto.

Lixo

São poucas as empresas que se preocupam com o destino do lixo que é gerado em seu ambiente, tornando-o assim uma fonte potencial de informações para os engenheiros sociais, pois nele podem ser encontrados relatórios, anotações de senhas, informações sobre o patrimônio da empresa dentre outras.

Funcionários descontentes e redes de contato

Por via das vezes essa é uma das formas mais fáceis de obter informações dentro de uma empresa. Funcionários insatisfeitos na maioria das vezes acabam por fornecer informações importantes, as quais podem prejudicar seus superiores ou toda a organização, além de possuírem uma rede de contatos dentro e fora (fornecedores) da organização, o que torna-se válido pois estes podem fornecer informações valiosas sobre outras pessoas e sobre caminhos para chegar a mais dados.

Apelo Sentimental

Muitas vezes é realizado no mundo virtual (chats), pois o atacante pode, por exemplo, transformar-se em homem ou mulher para atrair e conquistar a confiança da pessoa atacada, subtraindo assim informações importantes.

Programação Neurolinguística 

Uma das técnicas mais utilizadas nesta fase chama-se acompanha-acompanha-acompanha-comanda, seu objetivo é confundir a vítima. Neste método, o atacante imita os trejeitos de seu interlocutor por um determinado tempo até que forme-se um elo de intimidade e a vítima imagine estar no comando, baixando a guarda. Deste momento em diante o atacante comanda a conversa sem que a vítima perceba, sugando assim todas as informações que ela detém.

A utilização da Internet

Vários atacantes formulam sites afim de obter dados pessoais e noções sobre o comportamento de suas futuras vítimas. Para isso, oferecem para a realização do cadastro brindes, participação em promoções e etc. Desta forma conseguem obter, por exemplo, números de CPF, RG e cartões de crédito.

Como se proteger 

São muitos as formas e mecanismos de ataque mediante a fragilidade e ingenuidade das pessoas, mas deixarei algumas dicas que podem ajuda-los a minimizar este problema e garantir a sua privacidade e ou a da sua empresa:

  • Estabeleça uma política de controle de acesso físico na empresa;
  • Classifique as informações de sua empresa, onde cada colaborador saiba o que pode ser divulgado e o que não pode;
  • Desconfie das ofertas mirabolantes que circulam pela Internet;
  • Ao receber um telefonema de uma pessoa estranha, que conhece todos os seus dados e lhe transmite confiança, retenha desta pessoa o máximo de informações possíveis. Não divulgue nada e peça o número de retorno dela para garantir que a ligação é procedente;
  • Estabeleça uma política de segurança na sua empresa onde a informação, que é o seu principal patrimônio, receba o tratamento correto com relação à segurança;
  • Evite compartilhar sua senha de acesso, pois ela pode ser divulgada sem que você tenha sido a vítima do ataque de engenharia social;
    Conscientize seus funcionários a respeito do tema, realizando palestras e treinamentos onde o assunto seja abordado;
  • Desconfie das mensagens de correio eletrônico onde você não conhece o remetente. Convites para entrevistas, seminários, informações para pesquisa e etc. são formas de atrair a atenção para obter informações da empresa;
  • “Falsos” fabricantes e fornecedores de tecnologia costumam tentar descobrir a topologia e configuração da rede da empresa através de contatos com o pessoal que administra estes equipamentos. Oriente esses funcionários a buscar a autenticidade dos técnicos e soluções por eles apresentadas;
  • E para finalizarmos, deixamos uma comparação interessante: “Em uma partida de futebol, o assistente do juiz é orientado a deixar o lance seguir e não marcar impedimento do atacante caso ele fique em dúvida, mas quando falamos em segurança da informação a regra é: na dúvida, desconfie!”.

Tenha bom senso

A vítima deve ficar sempre bem atenta ao receber qualquer tipo de abordagem, seja por telefone, e-mail, carta ou até mesmo pessoalmente, onde um pessoa (atacante) tenta o induzir a fornecer informações confidenciais pessoais e até mesmo sobre a empresa em que trabalha.

Cuidado com as informações sensíveis

Deve-se sempre estar antenado quando lhe for solicitado informações sensíveis como, por exemplo, números de cartões de crédito, senhas e etc. por pessoas estranhas. A vítima antes de tudo deve verificar a autenticidade da ligação que esta recebendo, do crachá que o atacante apresentou e etc.

Solicitações pela internet

Nunca fornecer informações pessoais, de empresas e etc antes de identificar e constatar a autenticidade do pedido. Por várias vezes, vítimas recebem e-mails contendo links falsos, informações não verdadeiras ou até mesmo solicitações de cadastro em empresas fantasmas. Para não cair nestas armadilhas a vítima deve, por exemplo, entrar em contato com a instituição que lhe fez a solicitação de cadastro, como por exemplo bancos, receita federal e etc, para garantir assim uma autenticidade do pedido, nunca clicar sobre links recebidos através de spams e etc.

Treinamentos

Atualmente as empresas que querem evitar esse tipo de ataque, estão investindo alto em treinamento de funcionários, afim de evitar a vazão de informações sobre a estrutura da empresa.

O treinamento, estabelecimento da política de segurança da informação na empresa, baseia-se em educar os funcionários a sempre certificar-se de que a pessoa a quem vai fornecer as informações é realmente quem diz ser, a tomarem cuidado com o lixo pois este é uma grande fonte de informações, desconfiarem de pessoas em chats e etc.

Esta política de segurança da informação da empresa deve conter dentre outros tópicos, planos e ações de segurança como, por exemplo, plano de proteção física, continuidade dos negócios, análise de riscos, ações de engenharia, plano de contingência, plano de conscientização de todos os colaboradores, mesmo os terceirizados e etc.

Basicamente tudo se resume em reeducar toda a corporação a fim de implantar uma nova cultura cem por cento abrangente, cem por cento, pois qualquer falha põe novamente a corporação em risco iminente.

Fontes : www.vivaolinux.com.br | projetoseti.com.br