20 de abril de 2020

Entendendo a lógica por trás de como funciona um ataque de engenharia social.

como funciona um ataque de engenharia social

A Engenharia Social na Segurança da Informação é resultado de uma interação social entre o criminoso e vítimas.

Mais antiga do que a própria existência de computadores, como esses ataques ganham cada vez mais poder ao longo do tempo?

Será que o excesso de informação e o costume com comunicações cada vez mais mecânicas, como resultado dos chatbots e outros métodos de comunicação robotizada, nos torna menos críticos em comunicações digitais?

Talvez essas sejam algumas das perguntas que devemos responder na hora de buscar maior conscientização diante de perigos recorrentes.

Neste artigo vamos entender:

Podemos começar?

Como funciona um Ataque de Engenharia Social na Segurança da Informação

Os ataque de Engenharia Social funcionam no sistema de tentativa e erro, mas diferente de outras ofensivas, ele retorna cada vez mais forte.

Isso porque o ciclo de atuação da Engenharia Social é baseado no seguinte ciclo:

ciclo engenharia social

Coleta de informações, planejamento de ataques, aquisição das ferramentas necessárias, ataque, uso das informações coletadas (para tornar-se próximo do verídico)

Em outras palavras, novas tentativas de ataques serão sempre mais convincentes por serem mais “inteligentes” com os dados coletados na tentativa anterior.

O que é Persuasão?

A Engenharia Social na Segurança da Informação tem como finalidade o ato de persuadir. Mas afinal, o que é a persuasão?

O ato de persuadir ocorre quando alguém consegue, através da argumentação, convencer alguém a fazer alguma coisa.

A habilidade recorre a meios emocionais e lógicos para envolver o/os alvos e seu sucesso é baseado na realização, por vontade própria, da ação desejada.

Diferente do senso comum, persuadir e manipular são coisas distintas.

Pois a persuasão ocorre somente quando tentamos entender o que é necessário para convencer alguém a fazer alguma coisa.

Existe também o conceito de manipulação psicológica, que pode ser confundido com o ato de persuadir.

Mas assim como no caso da manipulação, trata-se de um processo diferente em que a influência social é maior e tem como objetivo a mudança de comportamentos.

É muito semelhante ao conceito de Engenharia Social na psicologia, utilizando-se de percepções com táticas indiretas, que na maioria dos vezes pode envolver informações convenientes, enganosas ou dissimuladas.

Outra habilidade semelhante mas que pode ser diferenciada do ato de persuadir, é o convencimento.

É possível convencer pessoas em relação a uma ideia, mas somente a persuasão resulta em uma ação voluntária, de modo que a pessoa acredite que aquilo parte de sua própria vontade.

Também conhecida como “Teoria da Persuasão” ou “ Teoria Empírico-experimental”, os primeiros registros da persuasão como estudo vêm dos anos 40.

E desde os primórdios tratou da busca em estudar a relação entre estímulo e resposta.

Hoje é um tema amplamente estudado em cursos como administração (para negociação) e comunicação.

A persuasão na engenharia social é a grande protagonista, o sucesso da maioria dos ataques é relacionado a habilidade do criminoso em persuadir.

Sentimentos explorados pela Engenharia Social na Segurança da Informação

sentimentos explorados engenharia social

A Engenharia Social explora emocionalmente suas vítimas, testado diversas iscas até ativar o gatilho que vulnerabiliza o alvo.

Ela também pode se aproveitar de temas atuais, promoções boas demais para serem verdade ou falsos anúncios de premiações.

Por alguns ataques exigirem pouco ou nenhum conhecimento técnico, a engenharia social também pode acontecer sem a necessidade de dispositivos eletrônicos, a abordagem no caso é conhecida como no-tech hacking.

Quando a vítima se dá conta da comunicação suspeita, o criminoso pode já ter colhido as informações necessárias para uma tentativa de ataque.

E o processo, na maioria dos casos, pode envolver um ou mais dos sentimentos a seguir:

Curiosidade

Quase todo ataque de engenharia social inicia a partir da curiosidade do alvo. No caso de phishing, por exemplo, é o benefício imperdível que ele poderá adquirir naquele momento, se seguir as instruções.

Após a surpresa inicial, o usuário certamente vai ter curiosidade para entender melhor do que se trata a mensagem recebida. E para validar sua opinião, ele pode acabar clicando em algum link malicioso ou preenchendo algum formulário.

Preguiça

Por que um funcionário iria digitar as senhas manualmente toda vez que forem acessar alguma coisa?

Ou até mesmo optar voluntariamente pela autenticação de dois fatores se tudo pode ser preenchido automaticamente?

Com atalhos nos tornamos, na maioria das vezes, mais vulneráveis.

É importante que todos sejam conscientizados não apenas sobre as medidas a serem tomadas na rotina dentro da empresa, mas também, a importância de cada uma delas.

Solidariedade

Ajudar um colega de trabalho é uma prática simples e naturalmente aplicada em um ambiente saudável.

Mas não só isso.

Como já dizia um velho ditado “Quando a esmola é demais, o santo desconfia”.

E o engenheiro social utiliza muito bem o recurso ao criar campanhas de doações falsas, descontos imperdíveis que serão revertidos em prol de alguma causa, etc.

É importante despertar nos funcionários o entendimento da importância de se questionar tudo com o que interagem ao longo do dia.

Até mesmo na voluntária ajuda alheia.

Vaidade

O modelo mais recente de um smartphone ou o luxo de realizar alguma atividade são características que envolvem a vaidade da vítima.

Funcionários podem ser seduzidos por uma oferta de empréstimo, compra ou até mesmo um novo emprego.

É pensando na própria fragilidade que todos devem ser conscientizados sobre separar o que precisam do que podem ter em um outro momento. pois a engenharia social utiliza muito bem a vaidade ao seduzir as vítimas a partir do consumo.

Ansiedade

Em uma realidade em que o problema de grandes cidades e muitos ambientes corporativos é a ansiedade, a engenharia social aproveita-se muito do fato.

Tudo deve ser feito rapidamente, as ofertas são irrecusáveis e a sensação de urgência torna-se protagonista a ponto de muitos não atentarem-se ao que chega a eles.

É neste momento que as maiores vítimas são pegas, na pressa do momento, pois não são capazes de criar suspeitas sobre a situação.

Principais ataques realizados com Engenharia Social

principais ataques

Phishing

O Phishing é o ataque da engenharia social mais comum da atualidade, em suas dezenas de versões.

O crime consiste na obtenção de dados de uma pessoa ou organização através de técnicas de comunicação que resultam na persuasão da vítima.

No ambiente corporativo, qualquer usuário pode ser uma porta de entrada para uma brecha de segurança por saber, ter acesso ou simplesmente saber quem sabe de algo importante.

O contato do criminoso pode ocorrer a partir de qualquer meio de comunicação, como telefone, e-mail, ou SMS – na tentativa de fazer com que pessoas caiam em um golpe.

Fácil de ser executado, o phishing também não é um ataque difícil de ser reconhecido quando observado com atenção. Por isso, a chance de sucesso da prática depende de dois fatores: O momento certo e a desatenção do usuário.

Quem é exposto a essa tática pode ser surpreendido com algum contato em um momento em que aquele contato faça sentido, por exemplo.

Pretexting

O Pretexting é uma ação maliciosa que consiste na tentativa de se obter dados pessoais ou sobre uma empresa de maneira voluntária por uma falsa causa.

Este golpe pode vir disfarçado de uma causa ou confirmação de informações e com isso, despertar a generosidade do alvo.

Suas vítimas podem receber um e-mail suspeito, um telefone ou até mesmo mensagem de texto no WhatsApp.

Quid pro quo

O Quid pro quo é uma abordagem de troca inconsciente. Alguém oferece algo em troca de outra coisa.

Uma vítima desta abordagem pode receber ajuda técnica por algo, que embora seja resolvido pelo criminoso, dá a ele o poder de instalar ou induzir a instalação de arquivos maliciosos no dispositivo.

É uma falsa sensação de benefício em troca de dados pessoais ou problemas técnicos maiores no futuo.

Sextorsão

A sextorsão (sexo + extorsão) é um crime virtual em que a vítima é chantageada a realizar uma ação caso não queira que algum conteúdo íntimo seja divulgados.

Quando uma vítima possue algum e-mail ou número de celular exposto e que possam ser encontrado por botnets, é muito provável que receba tentativas de diversos tipos de ataques, incluindo a sextorsão.

É uma prática que se apoia muito na informação que coleta sobre um alvo, por muitas vezes ele não possui, realmente, um arquivo confidencial, mas sua abordagem (mais informada do que a maioria) vai fazer a vítima acreditar que sim.

Dumpster Diving

O dumpster diving é uma das práticas mais comuns e cotidianas que não utilizam dispositivos eletrônicos.

Trata-se do ato de vasculhar o lixo alheio para obter algum bem.

No mundo da tecnologia, vasculhar o lixo não é apenas uma ação de desespero, pois resíduos, peças ou até mesmo dispositivos com falhas podem ser descartados pelas companhias e tornarem-se alvo de algum tipo de vazamento ou boato.

Muitas organizações já possuem políticas de descarte para formalizar a ação e blindar qualquer tipo de vazamento ao tornar os itens inutilizáveis.

Shoulder Surfing

O Shoulder Surfing consiste na prática de observar as ações que uma pessoa está realizando em dispositivos como um celular ou computadores.

Para os engenheiros sociais, a ação pode representar mais do que uma simples curiosidade e tornar-se uma oportunidade para descobrir e memorizar senhas ou informações da vítima ou empresa que trabalha.

Tailgating

O tailgating é uma tática mais complexa que consiste no acesso presencial a lugares restritos por pessoas não autorizadas.

Considerada a mais antiga das abordagens de engenharia social, utiliza-se na maioria das vezes da bondade da vítima, como quando alguém está com as mãos tão ocupadas que uma pessoa gentil decide ajudar ao abrir e segurar a porta.

10 empresas que sofreram ataques de Engenharia Social na última década

2010 – Netflix

A empresa sofreu com ataques quando deram a participantes de um concurso o acesso a informações de mais 480,000 assinantes.

A organização, no entanto, recuperou os dados de alguns candidatos.

2011 – Sony PSN

O marketplace Sony PSN, do console PlayStation, deu acesso a participantes de um concurso mais de 1.6 milhões dados,

incluindo cartões de crédito, endereços, datas de aniversário, senhas e respostas para as perguntas de segurança.

2012 – LinkedIn

Em 2012, o LinkedIn teve uma vazamento de dados de mais de 167 milhões de dados,

sendo a maioria e-mails, senhas e endereços.

2013 – Yahoo

Mais de 3 bilhões de dados da Yahoo foram expostos em 2013,

incluindo e-mails, endereços, datas de nascimento e respostas para as perguntas de segurança dos usuários.

Mas o vazamento só foi descoberto 3 anos depois, no final de 2016.

2014 – Sony Pictures Entertainment

Em 2014 a Sony Pictures Entertainment sofreu um pequeno vazamento de dados que envolveu cerca de 47 mil dados,

o que não diminuiu o impacto nas finanças e reputação da empresa.

Os criminosos tiveram acesso a e-mails particulares, filmes não lançados e o contato de celebridades.

2015 – Ashley Madison

A plataforma de relacionamentos extraconjugais teve mais de 37 milhões de dados vazados,

incluindo o cartão de crédito, endereço e número de telefone dos usuários.

2016 – Comitê Nacional Democrático

O Comitê Nacional Democrático dos Estados Unidos teve muitas informações publicamente expostas,

incluindo a de políticos como Hillary Clinton e o atual presidente do país, Donald Trump.

2017 – Equifax

Mais de 143 milhões de norte-americanos tiveram dados como o número de documentos,

cartão de crédito, nome e endereço após um vazamento da Equifax, uma das maiores empresas de crédito do país.

2018 – Facebook

O Facebook sofreu com ao menos 2 vazamentos de dados ao longo de 2018.

Em setembro, foram mais de 50 milhões, e em outubro, 30 milhões, totalizando ao menos 80 milhões de dados expostos.

2019 – OxyData.Io e People Data Labs

Mais de 1.2 bilhões de usuários tiveram dados como e-mail, contas em redes sociais e telefone expostos em 2019,

tornando-se o maior vazamento partindo da mesma fonte.

No caso, envolvia um banco de dados compartilhado entre duas empresas agregadoras de dados: OxyData.Io e People Data Labs.

Um guia sobre Engenharia Social

Guia de Engenharia Social

Uma Comunicação Estruturada

Como combater a Engenharia Social se a tecnologia nos torna menos críticos em comunicações cotidianas com meios de comunicação cada vez mais automatizados?

A prevenção recorrente é uma ótima ferramenta para manter o alerta sobre a importância de continuarmos nos questionando sobre tudo.

Quer saber o que sua empresa pode fazer hoje para combater ataques de Engenharia Social? Converse com um especialista em Segurança da Informação da Compugraf.

Compugraf

Especialista em segurança de dados e certificada por parceiros reconhecidos mundialmente, a Compugraf está pronta para proteger sua empresa na era digital.

O que procura?