A engenharia social é, basicamente, a capacidade de conseguir o acesso a informações confidenciais ou a áreas importantes de uma empresa através de técnicas de persuasão, trabalhando por meio de manipulação psicológica.

Essas técnicas são muito utilizadas pelos hackers (crackers) em ataques, sendo uma peça importantíssima nos ataques, independente da proporção dos mesmos, justamente pela sua efetividade.

Talvez você nunca tenha ouvido falar sobre, ou nem tenha pensado nesse assunto, pois quando um ataque hacker envolvendo sequestro, roubo ou vazamento de informações acontece, por várias vezes as manchetes e notícias não detalham tão minuciosamente a estrutura do ataque.

Mas se você tem acompanhado os nossos conteúdos aqui no blog e em outras plataformas, já sabe que um ataque hacker envolve vários elementos. De toda forma, vamos ver um pouco sobre isso.

Um ataque hacker, fundamentalmente, utiliza os seguintes elementos:  estratégia,  inteligência, objetivo e um alvo. O objetivo é variante, mas quando se trata de um ciberataque, o objetivo é sequestrar dados, coletar pacotes de tráfegos, roubar informações, etc.

A estratégia é nome dado ao plano que foi bolado, e ela é o conjunto das peças, tais como: o objetivo, o alvo (no caso a sua empresa) e a inteligência.

E, por último, temos a inteligência, que é exatamente onde se encaixa a engenharia social, utilizando técnicas de manipulação psicológica, conquistando a confiança do usuário ao ponto de que o mesmo nem saiba que está sendo enganado.

banner-minisse-rie-blog-2

A engenharia social alinha-se a uma ferramenta, tal como o malware, para que a execução da estratégia seja possível.

Neste artigo eu mostrarei a você os tipos de ataques que utilizam a engenharia social,  algumas características da engenharia social, os ricos e como você pode evitar ser manipulado. Preparado? Então vamos lá!

Tipos de técnicas da Engenharia Social

É interessante começarmos esse tópico destacando que, a engenharia social é uma ferramenta anterior aos ataques e crimes cibernéticos. E ainda que você não tenha conhecimento do termo, com certeza já foi enganado ou conhece alguém que foi.

Um exemplo disso são aqueles golpes de falsos sequestros, onde alguém liga pra você dizendo que está com seu filho, ou sua mãe, pai ou irmão, e afirma que você terá que depositar uma quantia para ele, se quiser que a pessoa continue viva e seja liberada.

Ou também, um sms ou ligação dizendo que você ganhou dez mil reais, e que precisa passar suas informações pessoais, como o CPF, número da conta, ou se dirigir até sua agência para concluir a operação e pegar o dinheiro! Viu só? Tenho certeza que você conhecesse tais táticas.

Mas, a engenharia social vai bem além dessas estratégias famosas que citei aqui. Ela usa elementos que garantem o seu funcionamento e efetividade, por isso é tão usada nos ataques hackers. Basicamente são quatro elementos, a saber:

  • Coleta de Informações

O primeiro elemento é coletar as informações, um ponto onde é necessário paciência e persistência. A coleta de informações é a fase mais trabalhosa e demorada do ciclo de ataque, mas é, muitas vezes, um dos principais determinantes do sucesso ou fracasso do engajamento.

Alguns meios de coletar informações exigem habilidades técnicas, enquanto outras necessitam de habilidades interpessoais de hacking humano. Algumas opções podem ser usadas em qualquer local com acesso à internet e outras só podem ser feitas pessoalmente em um local específico.

Os meios mais fáceis de obter as informações se encontram em redes sociais, onde os dados ficam expostos ao público. Mas, outras formas também são utilizadas, que exigem ferramentas e conhecimento mais avançado.

Esse elemento é um dos mais cruciais dentro da engenharia, pois quanto mais informações o atacante obtiver, mais específico e direcionado será o ataque que ele poderá realizar. Conhecer bem o alvo é um fator crucial.

  • Pretexto

Este elemento é definido como a prática de se apresentar como alguém para obter informações privadas. É bem mais do que apenas criar uma mentira. Em alguns casos, pode envolver criar uma identidade totalmente nova, e, em seguida, usar essa identidade para manipular o recebimento de informações.

O pretexto também pode ser usado para representar pessoas em determinados trabalhos e funções que eles próprios nunca fizeram.

Não existe uma forma única de se utilizar o pretexto. Na verdade, o atacante adequa o pretexto dentro das técnicas de engenharia ao longo dos ataques que executa. Apesar disso, ele sempre terá um ponto de partida: a pesquisa. O foco é adequar-se da melhor forma possível para conquistar seu alvo.

  • Elicitação

Talvez esse termo seja um dos que melhor caracteriza a Engenharia Social. Isso porque a elicitação é o ato de obter informações sem solicitar diretamente, um processo de extrair informações de alguém. É geralmente feito através de perguntas indiretas.

A NSA tem uma definição muito precisa desse termo:

“No comércio de espionagem, elicitação é o termo aplicado à extração sutil de informações durante uma conversa aparentemente normal e inocente. A maioria dos agentes de inteligência é bem treinada para aproveitar oportunidades profissionais, ou sociais, para interagir com pessoas que têm acesso a informações sigilosas, ou outras informações protegidas.”

Entendeu o porque esse elemento é tão importante na estrutura da Engenharia Social? É utilizando de tais elementos, de forma combinada e muito silenciosa, que os atacantes conseguem concretizar seus objetivos.

  • Manipulação

Este último elemento é um termo bem conhecido, sendo definido como um tipo de influência social, que visa mudar o comportamento ou a percepção de um indivíduo por meio de táticas indiretas, enganosas ou dissimuladas.

No caso da engenharia social, utilizada com o fim de executar um ataque, essa manipulação é sempre o ingrediente essencial, que levará o indivíduo à tomada da ação necessária para que o atacante tenha sucesso em seu plano.

Tal elemento apresenta algumas características que tornam a manipulação ainda mais sutil e poderosa sobre sua vítima. Vejamos:

  • Incentivos

Os incentivos estão no cerne da compreensão do comportamento humano, e, como tal, estão no centro do entendimento de por que as pessoas fazem o que fazem. Ter tal compreensão ajuda àquele que deseja manipular alguém, e quais caminhos e táticas utilizar para ser bem sucedido.

Outros elementos da manipulação derivam dos incentivos, como seguem:

  • Financeiro
  • Social
  • Ideológico

Destaquei esses pontos dentro da manipulação para que você compreenda o porque ela é tão sorrateira e obtém tanto êxito em sua execução. Os elementos apresentados aqui, não só te ajuda a entender como funciona a Engenharia Social, mas, também o porque que ela funciona.

Ela funciona porque aproveita e atua em características vulneráveis dos seres humanos, utilizando seus desejos, trabalhando na ambição, aproveitando-se da confiança. Por isso, ela é quase sempre bem sucedida e imperceptível.

Ataques de Engenharia Social

Agora que você já sabe como a Engenharia Social funciona, vamos ver alguns dos principais ataques:

Baiting

Por meio dessa técnica, hackers deixam à disposição do usuário um dispositivo infectado com malware, como um pen-drive ou um CD. A intenção é despertar a curiosidade do indivíduo para que insira o dispositivo em uma máquina, a fim de checar seu conteúdo.

O sucesso dos ataques de baiting depende de três ações do indivíduo: encontrar o dispositivo, abrir seu conteúdo e instalar o malware sem perceber. Uma vez instalado, o malware permite que o hacker tenha acesso aos sistemas da vítima.

A tática envolve pouco trabalho por parte do hacker. Tudo que ele precisa fazer é infectar um dispositivo e, ocasionalmente, deixá-lo à vista do alvo, seja na entrada ou no interior dos escritórios.

O dispositivo pode ser, por exemplo, um pen-drive contendo um arquivo com nome “chamativo”, como “folha salarial 2017”.

Em 2011, a Bloomberg relatou que em um teste feito com funcionários do governo norte-americano, 60% das pessoas pegaram um pen-drive deixado no estacionamento e plugaram nos computadores do escritório. No caso dos dispositivos que tinham um logo oficial, 90% instalaram o arquivo.

Phishing

O famoso e-mail de phishing, apesar de já existir há anos, ainda é uma das técnicas mais comuns de engenharia social, pelo seu alto nível de eficiência.

O phishing ocorre quando um hacker produz comunicações enganosas, que podem ser interpretadas como legítimas pela vítima, pelo simples fatos de virem de fontes confiáveis.

Em um ataque de phishing, os usuários podem ser coagidos a instalar um malware em seus dispositivos, ou a compartilhar informações pessoais, financeiras ou de negócio.

Apesar de o e-mail ser o modo mais tradicional para o envio de phishing, esse tipo de ataque também pode vir na forma de um contato telefônico, um sms ou de uma mensagem no Facebook, por exemplo.

Os piores ataques de phishing se aproveitam de situações trágicas, com o objetivo de explorar a boa vontade das pessoas, fazendo com que essas passem informações pessoais, e de pagamento, para realizar doações, por exemplo.

Você pode conhecer mais sobre as estratégias do Phishing em nosso artigo: Phishing: o que é e como não ser fisgado.

Pretexting

Por meio do pretexting, os hackers fabricam falsas circunstâncias para coagir a vítima a oferecer acesso a informações e sistemas críticos. Nesse caso, os hackers assumem uma nova identidade, ou papel, para fingir que são alguém de confiança da vítima.

Tudo que o criminoso precisa é, olhando nos perfis da vítima nas redes sociais, descobrir informações, como data e local de nascimento, empresa, cargo, nomes de parentes, colegas de trabalho, amigos, dentre outros. Lembra da tática de coletar as informações? Ela se encaixa bem nesse ponto.

Depois, basta enviar um e-mail (ou outro tipo de comunicação) à vítima fingindo a necessidade de confirmar dados para garantir seu acesso a algum sistema específico.

Pode ser, por exemplo, um e-mail supostamente da equipe de TI coagindo a vítima a divulgar suas credenciais.

Spear phishing

O spear-phishing é uma forma mais sofisticada de phishing, focado em indivíduos e organizações específicas. Nesse tipo de ataque, o hacker se passa por algum executivo, ou outro membro chave da empresa, e aborda funcionários com intuito de obter informações sensíveis.

Os bandidos podem obter, por meio das redes sociais, informações sobre o alvo e o quadro organizacional da empresa.

Depois disso, basta enviar alguma comunicação fingindo ser, por exemplo, um dos executivos da empresa, com uma demanda urgente que requer uma transação financeira imediata para uma conta específica.

Esse tipo de ataque costuma ter altas taxas de sucesso no convencimento de funcionários, para que executem ações específicas, ou passem informações sensíveis, através das técnicas de manipulação.

Segundo o SANS Institute Report de 2016, os ataques de spear-phishing  estão cada vez mais efetivos, pois são tão, tecnicamente, convincentes, que a maioria dos destinatários não se dá ao trabalho de procurar por pequenos indícios de fraude, ou tentar se comunicar com o remetente por outro meio.

Como não ser manipulado

Talvez no começo da leitura desse artigo você pode ter pensado:

“Ah, mas quem cai nisso? Como as pessoas não percebem que são estratégias para enganá-las?”

Mas, acredito que agora você compreende que é um pouco mais complexo do que parece. Golpes mais antigos, como os que dei o exemplo lá no ponto sobre os tipos de técnicas, são bem fácil de identificar.

Porém, e o phishing, o baiting, o Pretexting e o Spear Phishing? Como não cair nesses golpes? Será que é possível estar seguro na utilização da internet e das tecnologias? Claro que sim, e eu vou te mostrar como.

Segurança Pessoal

A primeira coisa necessária é que você seja alguém que desconfia. Como vimos aqui nas estratégias e nos ataques, as pessoas são levadas pela ambição, pela confiança excessiva, e até pela própria preguiça.

Desconfiar e procurar avaliar de fato uma informação, seja um e-mail, mensagem ou arquivo que você recebeu, é um exercício de prevenção e cuidado com suas informações.

E por falar em informações, está aí outra coisa que você precisa cuidar bem: seus dados sensíveis.

Nunca divulgue informações confidenciais, ou mesmo informações aparentemente não confidenciais sobre você ou sua empresa, seja por telefone, on-line ou pessoalmente, a menos que você possa primeiro verificar a identidade da pessoa que solicita e a necessidade dessa pessoa para ter essa informação.

Lembre-se: a desconfiança zelosa pode, e será, um grande aliado para evitar que você seja uma vítima da Engenharia Social.

Segurança para as Empresas

Recentemente, a Segurança da Informação tem estado em voga, sendo tema de manchetes na TV e na internet, apesar disso, muitas empresas, principalmente as pequenas e médias, acharem que ela é um gasto e não uma peça fundamental na continuidade dos negócios.

Ferramentas e ações podem garantir que as informações e dados de uma empresa estejam guardadas. Tais como: Firewall, Antivírus, Webfilter, VPN, entre outros.

Apesar disso, é um consenso entre os especialistas que boa parte dos ataques ocorrem por ações de pessoas que estão dentro das empresas.

Como assim? A Segurança da Informação visa que, além das ferramentas, ações por parte de pessoas, cientes da importância das informações para o funcionamento da empresa, sejam tomadas.

Ações conscientes e responsáveis, os funcionários das empresas devem ter o poder de reconhecer ameaças potenciais e tomar decisões de segurança corretas por conta própria, de modo que mesmo solicitações muito realistas de informações seguras possam ser instintivamente atendidas com ceticismo e cautela.

Ou seja, além de adotar boas tecnologias para proteger sua empresa, é necessário que você perceba a importância da construção de uma cultura de Segurança, onde os indivíduos envolvidos conheçam os riscos e atitudes a serem tomadas para que estejam seguros.

Conclusão

Apesar de ser um dos principais ingredientes no sucesso dos ataques hackers, e acontecer diariamente, a Engenharia Social ainda é muito desconhecida pelas pessoas, que são, por vezes, presas em suas armadilhas e nem se dão conta disso.

Como eu venho dizendo a você em vários artigos, o melhor caminho para não ser enganado é a prevenção. Lembra daquele antigo ditado: “É melhor prevenir do que remediar”? Então, ele é muito correto nesse contexto.

Desconfie, verifique, comunique e tome os passos necessários para que você e sua empresa fiquem seguros.

Os criminosos já sabem que a informação é petróleo da nossa era, e você? Ainda duvida disso? Manter-se seguro, é o melhor caminho para não ser manipulado.

Nós da Starti temos o objetivo de ajudar na construção de uma consciência sobre Segurança da Informação para as PMEs e para o indivíduo, e pensando nisso que separei alguns conteúdos que serão úteis para você nessa construção.

Confira:

Quem são os Hackers? Saiba tudo sobre eles!

Ransomware: entenda o que é e como se proteger dessa ameaça!

Wannacry: Tudo que você precisa saber!

BANNER-BLOG-2