Se a Engenharia Social pode atingir qualquer nível de usuário, como traçar o perfil de quem a pratica com más intenções e quem sofre com suas consequências?
Um ataque de Engenharia Social envolve abordagens que podem despertar o interesse do alvo pela ativação de algum senso emotivo.
Diferente de ataques focados em tecnologia, a aproximação do engenheiro social pode ter diferentes caras e afinidades, tudo vai depender do que o criminoso sabe previamente o alvo.
Se um ataque de Engenharia Social pode fazer de qualquer um uma vítima, definir os alvos prioritários de um possível ataque deve ser baseado em algumas outras características.
Para chegarmos nas vítimas mais vulneráveis, iremos abordar neste artigo:
- Como funciona um ataque de Engenharia Social
- Quais os principais tipos de ataque
- Os dados mais importantes que sua empresa precisa proteger?
- O Perfil do Engenheiro Social
- Quem é a Vítima de Engenharia Social
- Como Proteger Funcionários da Engenharia Social
Vamos lá?
Como funciona um Ataque de Engenharia Social na Segurança da Informação
Para entendermos como os ataques de Engenharia Social, ainda que semelhantes, possam ter impactos diferentes, é importante compreender que seu sistema funciona na base de tentativa e erro:
Coleta de informações, planejamento de ataques, aquisição das ferramentas necessárias, ataque, uso das informações coletadas.
Sendo assim, novas tentativas de ataques podem ser mais convincentes por trazerem elementos que as tornem mais verídicas, com os dados coletados na tentativa anterior.
Principais ataques realizados com Engenharia Social
Phishing
O Phishing é o ataque da engenharia social mais comum da atualidade, em suas dezenas de versões.
O crime consiste na obtenção de dados de uma pessoa ou organização através de técnicas de comunicação que resultam na persuasão da vítima.
No ambiente corporativo, qualquer usuário pode ser uma porta de entrada para uma brecha de segurança por saber, ter acesso ou simplesmente saber quem sabe de algo importante.
O contato do criminoso pode ocorrer a partir de qualquer meio de comunicação, como telefone, e-mail, ou SMS – na tentativa de fazer com que pessoas caiam em um golpe.
Fácil de ser executado, o phishing também não é um ataque difícil de ser reconhecido quando observado com atenção. Por isso, a chance de sucesso da prática depende de dois fatores: O momento certo e a desatenção do usuário.
Quem é exposto a essa tática pode ser surpreendido com algum contato em um momento em que aquele contato faça sentido, por exemplo.
Pretexting
O Pretexting é uma ação maliciosa que consiste na tentativa de se obter dados pessoais ou sobre uma empresa de maneira voluntária por uma falsa causa.
Este golpe pode vir disfarçado de uma causa ou confirmação de informações e com isso, despertar a generosidade do alvo.
Suas vítimas podem receber um e-mail suspeito, um telefone ou até mesmo mensagem de texto no WhatsApp.
Quid pro quo
O Quid pro quo é uma abordagem de troca inconsciente. Alguém oferece algo em troca de outra coisa.
Uma vítima desta abordagem pode receber ajuda técnica por algo, que embora seja resolvido pelo criminoso, dá a ele o poder de instalar ou induzir a instalação de arquivos maliciosos no dispositivo.
É uma falsa sensação de benefício em troca de dados pessoais ou problemas técnicos maiores no futuo.
Sextorsão
A sextorsão (sexo + extorsão) é um crime virtual em que a vítima é chantageada a realizar uma ação caso não queira que algum conteúdo íntimo seja divulgados.
Quando uma vítima possue algum e-mail ou número de celular exposto e que possam ser encontrado por botnets, é muito provável que receba tentativas de diversos tipos de ataques, incluindo a sextorsão.
É uma prática que se apoia muito na informação que coleta sobre um alvo, por muitas vezes ele não possui, realmente, um arquivo confidencial, mas sua abordagem (mais informada do que a maioria) vai fazer a vítima acreditar que sim.
Dumpster Diving
O dumpster diving é uma das práticas mais comuns e cotidianas que não utilizam dispositivos eletrônicos.
Trata-se do ato de vasculhar o lixo alheio para obter algum bem.
No mundo da tecnologia, vasculhar o lixo não é apenas uma ação de desespero, pois resíduos, peças ou até mesmo dispositivos com falhas podem ser descartados pelas companhias e tornarem-se alvo de algum tipo de vazamento ou boato.
Muitas organizações já possuem políticas de descarte para formalizar a ação e blindar qualquer tipo de vazamento ao tornar os itens inutilizáveis.
Shoulder Surfing
O Shoulder Surfing consiste na prática de observar as ações que uma pessoa está realizando em dispositivos como um celular ou computadores.
Para os engenheiros sociais, a ação pode representar mais do que uma simples curiosidade e tornar-se uma oportunidade para descobrir e memorizar senhas ou informações da vítima ou empresa que trabalha.
Tailgating
O tailgating é uma tática mais complexa que consiste no acesso presencial a lugares restritos por pessoas não autorizadas.
Considerada a mais antiga das abordagens de engenharia social, utiliza-se na maioria das vezes da bondade da vítima, como quando alguém está com as mãos tão ocupadas que uma pessoa gentil decide ajudar ao abrir e segurar a porta.
Quais informações mais importantes que sua empresa precisa proteger
Talvez sua empresa colete muitos dados bancários de usuários, por envolver o credenciamento para alguma plataforma financeira (como uma fintech).
Ou talvez ela simplesmente envolva dados particulares e identificáveis, como documentos e as preferências de cada um, como em uma rede social.
O mais importante a se compreender é que toda empresa possui um dado que acaba sendo mais importante que o outro pelo valor que representa para o negócio.
Para traçar o perfil de quem é vítima e engenheiro social nesse tipo de ataque, é importante primeiro entender qual a informação mais importante para cada marca.
Talvez a informação mais relevante para o setor de limpeza, por exemplo, seja o calendário de locais que precisam ser limpos, listagem de produtos, dentre outras coisas neste sentido, mas o mesmo funcionário pode ter acesso a lugares críticos.
E é por isso que não importa necessariamente quem você é, e sim o que você sabe ou os locais para os quais você tem acesso.
Quem é o Engenheiro Social
Apesar do nome, um engenheiro social não é um especialista na área de roubar informações.
Até porque a formação ainda não existe. Ao menos não formalmente.
Mas para que alguém execute ataques de engenharia social, algumas habilidades podem ser necessárias:
- Capacidade de contar uma boa história de maneira convincente.
- Habilidade para utilizar as informações coletadas a seu favor.
- Poder de persuadir para conseguir que as ações sejam voluntárias.
- Inteligência analítica necessária para estudar o alvo ou público-alvo com precisão.
Quem é a Vítima de Engenharia Social
A engenharia social está presente em todo lugar, qualquer sinal ou ação pode ser o suficiente para que alguém obtenha alguma informação da vítima.
A maior brecha dos sistemas de segurança não é sua tecnologia, mas as pessoas.
Todos os seres humanos possuem características (como o gosto por algum estilo musical), padrões de comportamento e psicológicos. É na observação dessas características que um engenheiro social obtêm o que precisa.
Seja o colaborador um profissional da área técnica ou mais humanizada, todos estão sujeitos a falhar na proteção contra um ataque deste tipo, pois possuem vulnerabilidades humanas.
Em situações cotidianas, vítimas podem ser feitas:
- Quando desatentos – em modo “automático” na realização de suas tarefas.
- Ocasião em que não verificam a autenticidade das mensagens recebidas.
- Ao passo que vivenciam algum problema pessoal e a mensagem soa como a oportunidade de melhorar as coisas.
- No momento em que se sensibilizam com a mensagem recebida e tem intenções de ajudar.
- Na hora em que precisa de ajuda e não possui muitas habilidades técnicas.
Como proteger funcionários da Engenharia Social
Muitas empresas erram na prevenção contra golpes virtuais ao só importarem-se com eles após uma primeira ocorrência.
A verdade é que quando falamos que a maior vulnerabilidade de segurança no ambiente corporativo é o fator humano e não suas tecnologias, não estamos falando que os funcionários são menos competentes, mas sim, que todos podem ser persuadidos.
É por isso que uma boa estratégica para combater a engenharia social possui duas características:
- Prevenção.
- Constância.
O fato de ser preventiva mostra que a organização já está preparada para caso algo aconteça, ela reconhece o problema e suas probabilidades, e só isso já é o suficiente para afastar muitos criminosos entusiastas.
Quanto a ser constante, é para que os funcionários também estejam sempre alertas sobre o perigo e não apenas em campanhas específicas ou ações reativas a ataques sofridos.
Em outras palavras, a prevenção é a melhor arma contra ataques de engenharia social. Confira algumas dicas que podem ser lembradas dentro do ambiente corporativo:
Manter gavetas e armários fechados.
Holerites, documentos e diversos outros arquivos impressos, com informações sensíveis, podem tornar-se uma vulnerabilidade ao serem facilmente vistas por colegas no ambiente corporativo.
Por isso, é importante manter as gavetas e armários fechados, e instruir os funcionários a levarem tudo o que for crítico para casa no final do expediente, ou disponibilizar um armazenamento específico para este fim.
Minimizar ou encerrar softwares que exponham dados da empresa ou funcionário.
Especialmente em empresas em que as mesas e computadores estiverem expostas em ambiente aberto, é muito comum que, quase inconscientemente, funcionários “bisbilhotam” o que outros estão executando no dispositivo.
Embora na maioria das vezes isso não represente nenhum problema, pode representar uma vulnerabilidade ao gerar oportunidades para pessoas com más intenções.
Não compartilhar login e senha com nenhum colega de trabalho.
Talvez a prática mais comumente difundida em qualquer ambiente, o compartilhamento de senhas é uma das práticas simples que podem causar as piores consequências a um trabalhador.
Imagine que ao fornecer a senha, a pessoa não apenas ganhar acesso total aos recursos disponibilizados para o dono da conta como também abre uma nova vulnerabilidade para seus dados pessoais, que podem a qualquer momento ser obtidos por algum usuário mal intencionado dependendo da prática do novo portador das informações de acesso.
Na necessidade de ausentar-se da mesa de trabalho, realizar o logout até o retorno.
Isso pode ser feito através do menu iniciar ou CTRL + Alt + Del caso esteja utilizando o Windows como sistema operacional.
Da mesma maneira que é importante fechar gavetas e armários que contenham documentos críticos, é essencial que os integrantes de qualquer equipe em uma empresa recebam o treinamento adequado para adquirirem o hábito de, ao ausentar-se da mesa de trabalho, encerrem a sessão de login no computador.
Isso porque ao manter o sistema logado o usuário abre brechas para que outras pessoas acessem ou alterem um arquivo específico que possa comprometer a vítima.
Não jogue documentos inteiros no lixo, rasgue-o ou fragmente caso seja uma opção no local de trabalho.
Jogar documentos e itens críticos como cartões de crédito, exames ou papéis com outras informações podem abrir brechas para a prática de no-hacking conhecida como “dumpster diving”, que consiste basicamente na vulnerabilidade encontrada num lugar muito comum: as lixeiras.
Em situações externas, evitar ao máximo mencionar informações internas da empresa (quadro de funcionários, rotinas, procedimentos).
Exceto quando receber instruções específicas e treinamento de uma assessoria de imprensa, por exemplo.
Colaboradores bem informados sobre a própria organização nunca representarão algo negativo.
No entanto, é importante que os mesmos sejam instruídos nos lugares e momentos em que poderão falar sobre os temas internas.
Pessoas passam por diversos ambientes, além da empresa, ao longo do dia: transportes públicos, outras empresas e claro, a própria residência.
Todos os lugares externos podem abrir vulnerabilidades para que pessoas de fora ganhem acesso a informações privadas e que podem usar para finalidades de impacto negativo.
Coletar documentos impressos logo em seguida.
Impressão em rede é um excelente recurso para a maioria das empresas, afinal, diminui a necessidade de espaços físicos para diversas impressoras e permite que os funcionários compartilhem um mesmo equipamento.
No entanto, o compartilhamento desse dispositivo pode abrir vulnerabilidades para que pessoas tenham acesso ao que foi impresso antes mesmo de quem o solicitou.
E por isso recomendação geral é de que os documentos sejam coletados logo depois da impressão ser solicitada.
Um guia sobre Engenharia Social
Todos estão vulneráveis
Como visto, todos podem tornar-se alvos de um engenheiro social, tudo irá depender dos seguintes fatores:
- As intenções do criminoso
- As informações que a vítima sabe, as pessoas que conhece ou os lugares para os quais tem acesso
- Seu estado emocional
É por isso que embora pessoas com os maiores cargos sejam alvos maiores, a hierarquização não funciona para traçar o impacto de um ataque, pois algo que um novo funcionário saiba ou o local para o qual tem acesso pode ser suficiente.
Quer saber o que sua empresa pode fazer ainda hoje para prevenir os ataques de Engenharia Social? Consulte os Especialistas em Segurança da Informação da Compugraf.