ENGENHARIA SOCIAL: COMPREENDENDO ATAQUES E A IMPORTÂNCIA DA CONSCIENTIZAÇÃO

Resumo

Este artigo tem como objetivo apresentar o que é a engenharia social, os danos que o uso desta por pessoas mal-intencionadas pode causar as empresas e pessoas, seus principais métodos, técnicas, meios utilizados para comprometimento da segurança da informação, bem como métodos de prevenção e a importância da conscientização. A engenharia social explora o elo mais fraco da segurança de dados e informações confidenciais nas empresas: o usuário, este deve reconhecer os tipos de ataque, para assim não ser mais uma vítima dessa prática tão comum.

Palavras-chave: Engenharia social, segurança da informação, conscientização.

Abstract

This article aims to present what is social engineering, damages that the use of social engineering by malicious people can cause companies and people, their main methods, techniques, means used to compromise information security and prevention methods. Social engineering exploits the weakest link of data security and confidential information in companies: the user, which must recognize the types of attacks so that they are no longer a victim of this common practice.

Keywords: Social engineering, information security, awareness.

Introdução

No decorrer do ano de 2017, o Brasil foi alvo de 205 milhões de ciberataques, praticamente um para cada brasileiro. Esses ciberataques afetaram computadores pessoais, de empresas de todos os portes e até de hospitais, deixando um rastro de algumas dezenas de bilhões de reais em prejuízos.

Os brasileiros acessaram, em média, oito links maliciosos por segundo nos últimos três meses do ano, de acordo com o Relatório DFNDR Lab, da empresa de segurança PSafe. Só nos aplicativos de mensagens, como WhatsApp, o número de ataques duplicou no quarto trimestre, passando de 21,3 milhões para 44,1 milhões, o que representa um crescimento de 107%. O WhatsApp é o meio preferido para espalhar ataques, correspondendo a 66% do total registrado – o que representa algo em torno de 29 milhões de casos. O segundo tipo de ataque mais comum usando links maliciosos foi via publicidade suspeita, que totalizou 6,3 milhões de detecções no período, seguido por phishing bancário, com 4,5 milhões de casos. Na parte de malwares foram listadas fraudes por SMS (3,1 milhões), cópias maliciosas (755 mil) e ataques bancários (6 mil).

Quando esse comportamento inseguro acontece no ambiente corporativo, esses números reforçam a percepção dos executivos brasileiros em relação aos perigos atuais. A 2ª Pesquisa Nacional Sobre Conscientização Corporativa em Segurança da Informação mostra que 27% dos gestores de segurança da informação das 200 maiores empresas do país registraram um aumento no número de incidentes de segurança nos últimos 12 meses. Para mais de 61% deles, o clique indevido em links inseguros recebidos via e-mail, SMS etc. é a maior preocupação. Por mais que os profissionais de segurança da informação sigam se atualizando e que as empresas continuem investindo em novos mecanismos para proteger o negócio de ações maliciosas, os criminosos também se aprimoram e buscam novas brechas, não só no âmbito tecnológico. A pesquisa aponta que no Brasil cerca de 58% das violações de segurança são resultado de falha humana.

O resultado disso é a ascensão de ameaças cada vez mais sofisticadas, que se tornam mais destrutivas para o negócio e mais lucrativas para o cibercrime. De acordo com a pesquisa Cost of Data Breach 2017, do Instituto Ponemon, os danos médios causados pelas violações de dados chegaram a R$ 4,31 milhões por ano no Brasil. A média de negócios perdidos por organizações devido aos incidentes de segurança chegou a R$ 1,57 milhão em 2017.

No Brasil, um levantamento da PwC aponta que o investimento em segurança da informação no país cresce a um ritmo anual de 30% a 40%, atingindo cifras de até US$ 8 bilhões, enquanto que no restante do mundo, esse crescimento gira entre 10% e 15% ao ano. Para as pequenas e médias empresas (PMEs), o cenário é ainda mais alarmante. Por acreditarem que o gasto com tecnologias de segurança é alto, optam por não investir em soluções de combate à ataques virtuais e, como consequência, acabam se tornando alvos fáceis dos cibercriminosos. Como muitas dessas PMEs não contam com uma área de TI dedicada para realizar o backup com frequência, acabam perdendo todas as informações, incluindo as mais sensíveis.

Atualmente, a informação é o bem mais valioso das organizações, e por este motivo é também o mais visado por pessoas mal-intencionadas. A proteção as informações sensíveis são de vital importância para as organizações e embora os sistemas de segurança da informação vêm aumentando sua eficácia, as pessoas permanecem suscetíveis a manipulação e continuam sendo o elo mais fraco da segurança organizacional.

A engenharia social consiste na utilização de técnicas de manipulação para pessoas executarem ações ou divulgarem informações confidenciais. O engenheiro social faz com que pessoas quebrem procedimentos e normas de segurança, seja através de telefonemas, e-mails, sites ou através de pessoas.

O grande desenvolvimento de ferramentas usadas para comunicação (e-mail, mensagens instantâneas, redes sociais, etc.) cria vetores de ataques de engenharia social e facilita a obtenção de informações pessoais.

Motivação

Este artigo foi desenvolvido com o objetivo de apresentar o que é a engenharia social, pois os meios tecnológicos estão presentes em todos os âmbitos e tendem a estar cada vez mais integrados, sendo de grande importância saber usufruir do melhor desses sem se comprometer ou ser mais uma vítima dos criminosos que se utilizam da desinformação e ingenuidade para causar danos.

Tipos de ataques de engenharia social

Os ataques de engenharia social são divididos em dois tipos, que são eles: baseados em humanos (no-tech hacking) e baseados em tecnologia. E estes serão apresentados de forma a entender as suas formas de uso e intenções.

Ataques de engenharia social baseados em tecnologia

Primeiro, serão apresentados os ataques baseados em tecnologia, que requerem o uso de equipamentos eletrônicos para se chegar ao objetivo, sendo utilizado e-mail, telefone, redes sociais, sites, mensagens instantâneas, entre outros para composição de técnicas como: phishing, vishing, spyware, malware, entre outras, as quais serão explicadas.

Phishing

Um estudo do Gartner diz que “95% dos ataques digitais se iniciam por phishing”. Diante desse cenário, é essencial entender sobre esse ataque e como se proteger. O termo “phishing” vem da combinação do termo em inglês “fishing”, que significa pescar, com o termo “phreak”, frequentemente usado para nomear os primeiros hackers de telefonia.

Este é a técnica mais comum de ataque de engenharia social, um ataque de falsificação, o qual podem utilizar-se de spams, websites, mensagens instantâneas e de e-mails para, como o nome sugere, “pescar” pessoas e estas revelarem informações pessoais e sigilosas, como senhas, CPF, números de contas bancárias e de cartões de crédito. Eles fazem isso enviando e-mails falsos, direcionando os usuários a websites falsos ou fazendo com que seja instalado software malicioso no sistema, podendo servir de plataforma para outros tipos de ataque.

O uso de e-mails falsos consiste em parecer que a mensagem foi enviada por organizações legítimas, como bancos, redes sociais ou e-commerce por exemplo. Geralmente esses e-mails são enviados para milhões de endereços, nestes são solicitados de forma educada por atualizações, validação ou confirmação de informações da sua conta, sempre informando que ocorreu algum problema. E então o usuário é redirecionado a um site falso e enganado a apresentar informações sigilosas sobre sua conta, o que resultam em roubos de identidade.

Para atrair a atenção do usuário as mensagens apresentam diferentes tópicos e temas, normalmente explorando campanhas de publicidades, serviços, a imagem de pessoas e principalmente assuntos em destaque no momento. Estes são alguns exemplos, com mais detalhes, de situações envolvendo phishing:

• Páginas falsas de comércio eletrônico ou Internet Banking: você recebe um e-mail, em nome de um site de comércio eletrônico ou de uma instituição financeira, que tenta induzi-lo a clicar em um link. Ao fazer isto, você é direcionado para uma página web falsa, semelhante ao site que você realmente deseja acessar, onde são solicitados os seus dados pessoais e financeiros.
• Páginas falsas de redes sociais ou de companhias aéreas: você recebe uma mensagem contendo um link para o site da rede social ou da companhia aérea que você utiliza. Ao clicar, você é direcionado para um website falso onde são solicitados o seu nome de usuário e a sua senha que, ao serem fornecidos, serão enviados aos golpistas que passarão a ter acesso ao site e poderão efetuar ações em seu nome, como enviar mensagens ou emitir passagens aéreas.
• Mensagens contendo formulários: você recebe uma mensagem eletrônica contendo um formulário com campos para a digitação de dados pessoais e financeiros. A mensagem solicita que você preencha o formulário e apresenta um botão para confirmar o envio das informações. Ao preencher os campos e confirmar o envio, seus dados são transmitidos para os golpistas.
• Mensagens contendo links para códigos maliciosos: você recebe um e-mail que tenta induzi-lo a clicar em um link, para baixar e abrir/executar um arquivo. Ao clicar, é apresentada uma mensagem de erro ou uma janela pedindo que você salve o arquivo. Após salvo, quando você abri-lo/executá-lo, será instalado um código malicioso em seu computador.
• Solicitação de recadastramento: você recebe uma mensagem, supostamente enviada pelo grupo de suporte da instituição de ensino que frequenta ou da empresa em que trabalha, informando que o serviço de e-mail está passando por manutenção e que é necessário o recadastramento. Para isto, é preciso que você forneça seus dados pessoais, como nome de usuário e senha.

Os engenheiros sociais enviam milhões de mensagens por dia, na esperança de encontrar usuários inexperientes que possam ser vítimas do ataque, eles adotam o envio massivo de spams para conseguir chegar a um maior número de vítimas.

Os ataques de phishing funcionam basicamente em seis etapas: planejamento, preparação, ataque, coleta, fraude e pós ataque.

Na primeira fase, os golpistas escolhem os seus alvos e definem qual o objetivo do ataque. É nesse ponto que é definido se a intenção é conseguir dados pessoas, bancários, criar contas em nome da vítima, transferir dinheiro para outra conta bancária ou outro tipo de fraude.

Na fase de preparação, os fraudados criam o material que servirá como “isca” para vitimar as pessoas. É nesse momento que são elaboradas as mensagens, os e-mails, os sites e os links que serão utilizados durante o crime.

A etapa do ataque consiste no envio das mensagens elaboradas, elas podem ser feitas via e-mail, por meio de sites, malwares, VoIP ou aplicativos de mensagens instantâneas.

Na fase seguinte, o cibercriminoso coleta os dados obtidos após o ataque e os prepara para serem usados para finalizar o crime. Assim, a etapa da fraude começa a acontecer quando o golpista usa os dados que possuem para acessar uma conta, criar identidades, roubar dinheiro ou realizar algum outro tipo de crime utilizando-se de dados das vítimas. Ainda, os golpistas podem utilizar os dados que coletaram para vender a outras pessoas ou usá-los em um próximo ataque.

Na última etapa, o atacante destrói os mecanismos para a criação e execução do ataque com o objetivo de eliminar evidências. Em casos onde o roubo inclui dinheiro, essa etapa envolve formas de lavagem para dificultar qualquer tipo de investigação policial.

Para prevenir-se de tentativas de phishing são necessários alguns cuidados:

• Não clicar em links suspeitos adicionados a e-mails não solicitados ou em redes sociais;
• Ao ler e-mails, não abra aquelas mensagens que sejam de um destinatário desconhecido;
• Arquivos baixados automaticamente ou pedidos de downloads desnecessários devem ser evitados;
• Não executar arquivos não solicitados, malwares podem acessar suas informações e enviá-las diretamente para criminosos do outro lado da rede;
• Sempre verificar a URL do website, pois em muitos casos o endereço pode parecer legítimo, mas a URL pode estar com erro de grafia ou o domínio pode ser diferente.

Spear Phishing

Spear phishing é uma variação do phishing, porém diferente dos golpes de phishing onde é realizado um ataque amplo e disperso, o spear phishing foca em um grupo ou organização específico. A intenção é roubar propriedade intelectual, dados financeiros, segredos comerciais ou militares e outros dados confidenciais.

Os métodos de ataque são basicamente os mesmos do phishing, porém com foco nas vítimas, utilizando-se abordagens criadas individualmente e técnicas de engenharia social para personalizar mensagens e sites com eficiência.

Vishing

O vishing é a prática criminosa de utilizar engenharia social através de telefonia, ou seja, nada mais do que um phishing por voz, por isso a origem do nome da técnica, voice mais phishing, gerando vishing.

O ataque pode vir de uma simples ligação telefônica para sua casa, para seu emprego, de um processo automático de discagem ou mesmo por serviço de voz sobre IP (VoIP), este último está se mostrando um verdadeiro aliado para os “vishers” por ser capaz de manter o anonimato durante as chamadas, que podem ser geradas por baixo ou nenhum custo. Quando a ligação é realizada, é possível forjar a identidade que aparece no vistor do telefone, fazendo o nome e o número parecerem ser de uma fonte legítima, por exemplo, a operadora do cartão de crédito ou o banco.

A intenção é a mesma que no phishing por e-mail, durante a chamada de voz é criada uma sensação de urgência para que o usuário tome medidas e facilite informações sigilosas, principalmente fingindo ser outra pessoa.

Este ainda é um dos ataques mais populares no Brasil, apesar das inúmeras reportagens orientando sobre o golpe do Falso Sequestro. O golpe funciona da seguinte forma: o atacante, em geral presidiários, liga aleatoriamente para um número de telefone e diz que sequestrou alguém da família, geralmente falam “filha ou filho” e a vítima ouve alguém do outro lado da linha chorando e gritando por socorro. É nesse momento que aproveitando do estado emocional da vítima o marginal consegue obter informações, pois quem está recebendo a ligação acaba associando o choro com algum familiar e sem perceber acaba até falando o nome deste. A partir dessa informação cedida pela vítima, o marginal começa a pedir dinheiro alegando que se não receber vai matar o suporto sequestrado.

No falso sequestro geralmente a ligação é de um código de área de outro Estado ou de número bloqueado. Ele não fala dados sobre a vítima e espera obter alguma informação através do estado emocional da pessoa que está recebendo a ligação para então comentar sobre a identidade do suposto sequestrado. Ele pressiona a vítima para não desligar o telefone até que receba o dinheiro, pois assim tenta evitar que se entre em contato com o suporto sequestrado e consigam desmascarar o golpe.

Este é o mais popular, porém, não é o único tipo de vishing utilizado no Brasil, há outros que estão crescendo, como o golpe em que o golpista liga para vítimas que possuem parentes internados em UTIs de hospitais, informação que é colhida por pessoas infiltradas em hospitais, informando que é necessário realizar alguns exames ou procedimentos médicos urgentes e que é primordial o pagamento destes para início do tratamento o mais rápido possível. Outro golpe popular é o do falso prêmio, onde geralmente é informado que a vítima ganhou um carro barato, um empréstimo sem juros ou outro por ser cliente de algum banco ou estabelecimento.

Para evitar cair em ataques de vishing, seguem algumas dicas:

• Se você não for capaz de identificar a pessoa que está ligando a partir da identificação de chamadas, peça para se identificarem antes de falar seu nome;
• Também evite falar o nome de parentes ou pessoas próximas;
• Nunca revele suas informações pessoais – se você não deve responder um e-mail passando suas informações pessoais, então por que faria isso no caso de uma ligação telefônica?
• Caso seja uma ligação de suposto sequestro, primeiro mantenha a calma, depois procure entrar em contato com a pessoa que alegam ter sido sequestrada;
• Se não conseguir contato com a pessoa, pergunte ao suposto sequestrador algo que somente aquela pessoa saberia responder, como o nome de um avô, melhor amigo ou cachorro;
• Ao receber qualquer telefonema se dizendo ser da operadora de cartão de crédito ou banco e você não tiver certeza de que é verdade, simplesmente peça para aguardar e ligue de outro telefone para o número de telefone que consta na parte posterior do seu cartão de crédito ou débito. Se você verificar que se trata de uma tentativa de fraude, reporte ao seu banco.

Smishing

Assim como o Vishing, o Smishing é outra associação do Phishing, trata-se do phishing por SMS. As técnicas utilizadas no smishing são semelhantes as utilizadas no phishing e vishing.

Neste ataque é enviada uma mensagem de texto ao usuário do telefone ao invés de um e-mail ou telefonema, na mensagem de texto é solicitado que o proprietário ligue para um determinado número de telefone ou que se dirija urgentemente a algum website para tomar medidas imediatas. Também pode ser solicitado através de um sistema de mensagem automática, informações pessoais, como senhas ou informações do cartão de crédito, também são utilizados outros tipos de golpes, como o de falsos prêmios.

Para prevenir-se as dicas são, basicamente, não clicar em links enviados por SMS e nem ligar para números desconhecidos.

Spyware

O spyware é um software de espionagem, que funciona em segundo plano, sem ser notado, enquanto coleta informações ou fornece acesso remoto a seu autor. Este é uma das formas de malware mais perigosas, pois ele especificamente vai além dos dados e dispositivos, este também procura suas informações e ativos reais.

Para criminosos, o spyware é uma ferramenta útil para coletar informações financeiras, como contas bancárias online e senhas ou informações de cartões de crédito. É comumente utilizado por publicitários para descobrir os hábitos online dos usuários e servir anúncios mais pertinentes. Os governos usam-no para coletar o máximo de informações possíveis sobre pessoas, quando é utilizado dessa forma é chamado de ‘govware” ou “policeware”.

O spyware assume muitas formas e serve para várias finalidades diferentes, como:

• Registrar os toques de tecla: chamados de “keyloggers”, esse tipo de spyware é usado para coletar senhas e rastrear comunicações em que o teclado é utilizado.
• Acompanhar atividades online: alguns cookies de rastreamento podem ser considerados spyware, no sentido que eles acompanham seus movimentos online e relatam ao publicitário o que é visitado, para que eles possam servir informações mais pertinentes em forma de anúncio. Porém, também há formas maliciosas de acompanhamento online.
• Assumir o controle do seu computador: algumas formas do spyware cavalo de Troia farão alterações em suas configurações de segurança para permitir controle remoto do seu dispositivo.
• Reduzir a velocidade do seu dispositivo: frequentemente, o único sinal que denuncia que o dispositivo está infectado com spyware será a maneira parasita com que ele rouba potência de processamento e largura de banda de Internet para comunicar o que foi roubado.

Manter uma ferramenta anti-spyware instalada em seu dispositivo é uma boa maneira de tentar se manter seguro, porém, também é necessário evitar o download de arquivos suspeitos e de sites que não são confiáveis.

Cavalo de Troia

O malware cavalo de Troia, que também é essencialmente um spyware, recebe esse nome devido a clássica história do cavalo de Troia, pois ele imita a técnica, porém, para infectar computadores. Este malware se ocultará em programas que parecem inofensivos, ou tentará enganá-lo para que você o instale.

Os cavalos de Troia não se replicam ao infectar outros arquivos ou computadores, em vez disso, eles sobrevivem ficando ocultos. Eles podem ficar silenciosos em seu computador, coletando informações ou configurando brechas em sua segurança, ou podem simplesmente controlar seu computador e bloquear seu acesso a ele.

Este malware é muito versátil e podem passar despercebidos, sua popularidade explodiu até eles se tornarem o malware favorito de muitos criminosos online.

E por que o cavalo de Troia também é uma técnica de engenharia social? Porque ele cria diversas ações que possibilitam roubos de informações dos usuários, como:

• Criar backdoor: normalmente os cavalos de Troia alteram seu sistema de segurança de forma que outros malwares, ou mesmo um hacker, consiga invadir.
• Espionar: alguns cavalos de Troia são essencialmente spyware projetado para aguardar até que o usuário acesse suas contas online ou insira dados do seu cartão de crédito e depois enviar suas senhas e outros dados de volta ao atacante.
• Transformar seu computador em um zumbi: as vezes os hackers não estão interessados somente nas informações confidenciais de um usuário, mas também querem usar o dispositivo como um escravo em uma rede sob seu controle.
• Enviar mensagens aleatórias: quando um dispositivo está infectado com um cavalo de Troia, este pode tornar-se um encaminhador de mensagens, seja através de e-mail, redes sociais ou SMS (no caso de um smartphone), espalhando conteúdo malicioso através das mensagens e infectando mais dispositivos.

Os cavalos de Troia podem assumir qualquer aparência, como um jogo ou uma música baixados em um site não confiável. Até mesmo um anúncio de um website pode conter um link para instalação de um malware em seu dispositivo. Eles são especialmente projetados para enganar os usuários, utilizando textos enganosos ou convencendo de que são aplicativos legítimos, utilizando-se engenharia social.

As dicas de prevenção são as mesmas contra os demais spywares, evitar acesso a sites questionáveis, materiais pirateados e links suspeitos.

Exploração de Redes Sociais

As redes sociais são uma das maiores revoluções da comunicação moderna. Pessoas se conectam com uma facilidade sem precedentes, e, obviamente, empresas e estratégias de marketing surfam esta mesma onda de facilidade de comunicação e conexão. Redes sociais podem ser plataformas riquíssimas para construir relações sólidas com sua base de clientes não só pela facilidade imediata de comunicação, mas pela possibilidade de atingir uma base enorme de pessoas.

Entretanto, nem tudo são flores no reino das redes sociais, e com muitos usuários, vêm grandes vulnerabilidades. Segurança em redes sociais é fundamental para proteção da informação da empresa, se estendendo, inclusive, à sua imagem, reputação no mercado, e à privacidade de seus clientes.

De acordo com uma pesquisa da Norton, mais de um terço dos funcionários de uma empresa aceita pedidos de amizade de pessoas que não conhecem em redes sociais. Em um relatório da Cisco, golpes em redes sociais são a maneira mais comum de se penetrar uma rede. Com as informações corretas sobre o usuário, normalmente disponíveis publicamente em redes sociais (como hobbies, interesses, área de atuação, família e amigos), atacantes podem criar ataques de engenharia social ou de spear phishing

Outro fator complicador do processo de segurança é o uso de múltiplos aparelhos na rede da empresa, pois os funcionários acessam redes sociais não apenas nos computadores da empresa, mas também em seus dispositivos pessoais, como smartphones e tablets, estes dispositivos estando conectados à rede da empresa podem ser vetores de entrada de ataques.

Em termos gerais, para segurança dos usuários, pensando no âmbito pessoal e corporativo, são necessárias algumas medidas de segurança para o uso das redes sociais:

• No Facebook, não utilize aplicativos desconhecidos e remova aplicativos fora de uso ou que não se lembre de ter permitido acesso;
• Só aceite pedidos de amizade em suas redes sociais de pessoas que você tem certeza que conhece;
• Limite a visibilidade de suas postagens, fotos e informações;
• No Twitter, não poste textos e imagens que forneçam localizações frequentes;
• No Linkedin, cuidado com mensagens de recrutamento que contenham links, peçam informações pessoais ou exijam pagamento;
• Em todas as redes, é necessário ficar atento com contas falsas e postagens fraudulentas, não abra links enviados por contas desconhecidas ou arquivos não solicitados.

Hoaxing

Hoax, que em português significa boato, é uma técnica que visa a propagação em massa de e-mails falsos, divulgando histórias não verdadeiras, ou seja, boatos, em forma de correntes, mensagens apelativas de cunho sentimental ou religioso, textos que difamam empresas, mensagens de campanhas, pedido de ajuda, e até mesmo, mensagens que abordem a existência de falsos vírus de computador e que podem comprometer o funcionamento do micro.

Atualmente, esta técnica está sendo mais comumente difundida como fake news. O objetivo deste método de engenharia social é fazer com que os usuários encaminhem este tipo de mensagem para todos os seus contatos, tendo a sua propagação elevada em grau exponencial.

Os danos causados vão desde o congestionamento de serviços de e-mails, até prejuízos financeiros para empresas, quando estas mensagens convencem as pessoas de que o consumo de determinado produto pode ser prejudicial à saúde, prejudica o meio ambiente ou é contra alguma lei ou ainda fere conceitos religiosos.

Tecnicamente, este método não apresenta qualquer inovação tecnológica, é necessário apenas que o conteúdo comova de alguma forma o usuário para que o mesmo seja sensibilizado e o propague, iniciando assim o seu ciclo de vida.

Uma das recomendações para que este tipo de técnica não seja aplicada, é não propagar e-mails e mensagens antes de verificar a fonte e realizar pesquisas se de fato é uma informação correta.

Baiting

Por meio desta técnica, hackers deixam à disposição do usuário um dispositivo infectado com malware, como um pen-drive ou um CD, com intenção de despertar a curiosidade do indivíduo para que insira este dispositivo em uma máquina a fim de checar seu conteúdo.

O sucesso deste ataque dependerá de três ações do indivíduo que sofrerá o ataque: encontrar o dispositivo, abrir seu conteúdo e instalar o malware sem perceber. Uma vez instalado, o malware permite que o hacker tenha acesso aos sistemas da vítima.

A tática envolve pouco trabalho por parte do hacker, tudo que ele precisará fazer é infectar um dispositivo e ocasionalmente deixá-lo à vista do alvo, seja na entrada ou no interior de uma empresa. O dispositivo, pode ser, por exemplo um dispositivo contendo um arquivo com um nome que desperte a curiosidade, como “folha salarial”.

Esta técnica lida diretamente com a curiosidade do ser humano, então para não ser vítima deste ataque, não adicione dispositivos desconhecidos em seus computadores, e caso encontre algum dispositivo perdido, entregue a um especialista em segurança da informação para que este analise o seu conteúdo.

Pretexting

Utilizando o pretexting, os hackers fabricam falsas circunstâncias para coagir a vítima a oferecer acesso a informações e sistemas críticos. Nesse caso, os hackers assumem uma nova identidade ou papel, também conhecido como impersonation, para fingir que são alguém de confiança da vítima.

Para realizar esta técnica, o cibercriminoso precisa vasculhar os perfis da vítima nas redes sociais para descobrir informações como data e local de nascimento, empresa, cargo, parentes, colegas de trabalho, amigos e outras informações.

Depois, basta enviar um e-mail ou algum outro tipo de comunicação direta à vítima, fingindo a necessidade de confirmar dados para garantir seu acesso a algum sistema específico, utilizando uma técnica bem parecida com o phishing. Pode ser, por exemplo, um e-mail supostamente da equipe de TI coagindo a vítima a divulgar suas credenciais de acesso a contas corporativas de sistema e/ou e-mail.

Neste caso é necessário sempre que receber solicitações suspeitas através de e-mail, mensagens, entre outros, verificar o remetente, desconfiar de pedidos inusitados, entrar em contato por telefone diretamente com o suposto remetente e, se possível, falar pessoalmente com este para entender e confirmar a solicitação.

Quid pro quo

Um ataque de quid pro quo ocorre quando um hacker requer informações privadas de alguém em troca de algo. “Quid pro quo” significa “isso por aquilo”, em que o atacante oferece algo à vítima em troca de informações sensíveis.

A tática mais comum envolve se passar por alguém da equipe de suporte de TI e abordar diversas vítimas até encontrar alguém com um problema real de TI. Sob instruções do hacker, a vítima então dá acesso a códigos, desabilita programas vitais como antivírus e instala malwares achando que conseguirá resolver seu problema.

Outra tática bastante usada é a de simular uma pesquisa em que funcionários preenchem um formulário com uma série de informações sensíveis em troca de brindes vantajosos.

Basicamente, para evitar esta técnica, é adequado não responder formulários que não conheça a origem, não adicionar informações confidenciais em nenhum formulário independente da origem. Caso tenha aberto um chamado no suporte de TI verifique com o suposto atendente a qual caso se refere o atendimento, para que tenha certeza das ações que este tomará em seu computador.

Ataques de engenharia social baseados em humanos

Os ataques de engenharia social baseado em humanos, também chamado de no-tech hacking, consiste no uso de táticas que não utilizam tecnologia, este requer uma interação pessoal para alcançar o objetivo, isso pode ocorrer utilizando-se de técnicas, como por exemplo: dumpster diving, shoulder surfing e tailgating.

Dumpster Diving

A expressão “Dumpster Diving” (mergulhando na lixeira, em português), refere-se ao ato de vasculhar o lixo alheio com o objetivo de recuperar algo de valor para consumo próprio. No cotidiano é muito comum se deparar com os dumpster divers (as pessoas que vasculham o lixo), e infelizmente a maioria deles recorre aos contêineres para alimentar-se com sobras de alimentos ou encontrar algum objeto considerado útil.

Entretanto, quando focado nos resíduos descartados pelas grandes empresas, essa prática pode render informações de caráter sensível ou sigiloso a pessoas mal-intencionadas, ou seja, não saber descartar os materiais é um fato preocupante.

Empresas investem milhões em tecnologias para se manter seguras e em treinamentos para aprender a usar essas novas tecnologias, inclusive conscientizando os colaboradores sobre a importância de blindar as informações corporativas. Porém, nem todas se preocupam em fornecer o devido treinamento aos funcionários quando o assunto é o descarte adequado de documentos ou qualquer outro tipo de material que contenha informações sensíveis ao funcionamento da organização.

Utilizando-se desta técnica, o atacante pode encontrar dados sigilosos, como documentos, telefones, e-mails, endereços, dados de reuniões, investimentos etc. E não apenas nos papéis que informações podem ser recuperadas, mas também em discos rígidos (HDs), pendrives e cartões de memória, onde na maioria das vezes as informações podem ser integralmente recuperadas mesmo após serem formatados. Em poder destas informações, o atacante pode evoluir para outras formas de ataque, como phishing, spear phishing, vishing ou fraudes.

Esta é uma das técnicas mais utilizadas de no-tech hacking, pois quem a utiliza para cometer delitos geralmente busca conseguir acesso a organização sem utilizar-se de falhas de computadores.

Em 2003, dois estudantes de graduação do Laboratório de Ciência da Computação do Massachusetts Institute of Technology (MIT), Simson Garfinkel e Abhi Shelat, encontraram aproximadamente 5 mil números de cartões de crédito, além de registros pessoais e de empresas, informações médicas e milhares de endereços eletrônicos. Isso tudo quando vasculharam 158 discos descartados.

A principal medida recomendada para evitar casos como os que foram mencionados é a criação de uma política de descarte, de modo que assegure que todos os papéis passem por um triturador de corte transversal antes que sejam descartados. No caso dos componentes de hardware que armazenam dados cruciais, é fundamental que estes passem por um processo de limpeza para garantir que os arquivos sejam apagados em definitivo.

Shoulder surfing

Em português, espiar sobre os ombros, este tipo de ataque ocorre quando o atacante se aproveita para olhar sobre o ombro de uma vítima, espionando sua tela, em busca de senhas ou informações sigilosas.

Quem utiliza dispositivos como notebooks, tablets ou celulares para acessar contas de e-mail, internet banking ou redes sociais em locais públicos, como shoppings ou aeroportos, sofre ou já sofreu deste tipo de ataque. Também é comum em caixas eletrônicos e computadores.

Uma das soluções para esse tipo de ataque é utilizar em seus dispositivos filtro de privacidade, uma película fumê que somente quem o vê de frente e próximo consegue enxergar perfeitamente a tela. E precaver-se de sempre olhar em volta se há alguém próximo quando for digitar alguma senha ou ler informações sigilosas.

Tailgating

O tailgating é uma técnica física de engenharia social, que ocorre quando um indivíduo não autorizado segue algum indivíduo autorizado até localizações de acesso restrito, explorando a boa vontade ou distração e tendo como objetivo obter ativos valiosos e/ou informações confidenciais.

É o caso, por exemplo, de quando alguém pede para outro “segurar a porta” porque esqueceu seu crachá de acesso, ou pede seu smartphone ou computador emprestado para fazer “algo rapidinho”, mas na verdade instala malwares e rouba dados da máquina.

Para evitar ser vítima desta técnica, basta duvidar dos pedidos repentinos de acesso a locais onde há uma segurança digital, como acesso por crachás, solicitando que o indivíduo procure o setor responsável pelas liberações de acesso e não emprestando seus gadgets a estranhos.

Ferramentas de engenharia social

Há diversas ferramentas para utilização em engenharia social, no sistema operacional baseado em segurança: Kali Linux, há uma seção apenas para este tipo de ferramentas, dentre elas estão: BeEF (Browser Exploitation Framework), Ghost Phisher, MSFpayload, SET (Social Engineering Toolkit), U3-Pwn e o principal aplicativo para este fim, o Maltego, uma ferramenta baseada em engenharia social que recolhe informações de diversas fontes públicas e relaciona os dados recolhidos.

O Maltego utiliza uma eficiente varredura e coleta de informações através de bibliotecas gráficas, que permitem identificar relações entre as informações disponibilizadas e identificar relações previamente desconhecidas, assim interliga todas as contas, principalmente em redes sociais, relativas a um e-mail e mostra em um formato simples de entender.

Esta ferramenta pode economizar horas de trabalho, pois além de fazer a pesquisa, ela também determina onde toda essa informação se correlaciona. Para realizar a pesquisa pode-se utilizar: nome, telefone, e-mail, url de site etc. e assim será realizada uma pesquisa e este relacionará as demais informações encontradas.

Prevenção

Neste artigo, foram abordadas as técnicas de engenharia social juntamente aos melhores métodos de prevenção para estas, mas o primeiro passo para se prevenir dos riscos relacionados ao uso da internet é estar ciente de que ela não tem nada de "virtual".

Tudo o que ocorre ou é realizado por meio da internet é real: os dados são reais e as empresas e pessoas com quem você interage são as mesmas que estão fora dela. Desta forma, os riscos aos quais você está exposto ao usá-la são os mesmos presentes no seu dia a dia e os golpes que são aplicados por meio dela são similares àqueles que ocorrem na rua ou por telefone.

É preciso, portanto, que você leve para a internet os mesmos cuidados e as mesmas preocupações que você tem no seu dia a dia, como por exemplo: visitar apenas lojas confiáveis, não deixar públicos dados sensíveis, ficar atento quando "for ao banco" ou "fizer compras", não passar informações a estranhos, não deixar a porta da sua casa aberta, etc.

Para tentar reduzir os riscos e se proteger é importante que você adote uma postura preventiva e que a atenção com a segurança seja um hábito incorporado à sua rotina, independente de questões como local, tecnologia ou meio utilizado.

Conscientização do elo mais fraco da cadeia de Segurança da Informação

O universo da Segurança da Informação vem passando por um momento de mudanças graduais, constantes e significativas devido ao avanço tecnológico e ao grande crescimento do cibercrime.

Inicialmente, os problemas de Segurança da Informação se baseavam em vírus e pichações (deface) nos websites. Atualmente, entretanto, a introdução de tecnologias como IoT (Internet of Things, Internet das Coisas em português), por exemplo, apesar de terem trazido mais velocidade e eficiência para os negócios, também ampliaram a superfície de ataque, aumentando, consequentemente, o êxito dos ataques cibernéticos.

Os cibercriminosos estão cada vez mais sofisticados, ao invés de se exporem atacando diretamente as redes das organizações, em que sabem que existem muitos mecanismos de proteção e detecção implementados, atacam o elo mais fraco da cadeia, o usuário.

Segundo o Gartner Group, 70% dos incidentes de segurança que realmente causam prejuízos financeiros para as empresas, envolvem insiders. No caso da Yahoo! que perdeu milhões de dólares em negociações devido à um vazamento de dados, tudo começou com um e-mail phishing.

Muitas empresas estão sendo invadidas por ataques simples e nada sofisticados, os cibercriminosos tem utilizado técnicas de engenharia social para persuadir as pessoas e conseguirem acesso às redes ou às informações. Ataques estes que poderiam ser totalmente evitados caso os usuários tivessem sido conscientizados.

A conscientização em Segurança da Informação é capaz de gerar mudança no comportamento de todos e por isso é vista como uma ferramenta com grande potencial para beneficiar as organizações.

Investimento em campanhas de conscientização de Segurança da Informação

A grande repercussão dos casos de ciberataque, seguidos de vazamentos de informação corporativa, tem despertado a atenção do público em geral para a questão da Segurança da Informação.

Esse ainda é um assunto novo para muitos e o investimento em conscientização e treinamento para todos os níveis da organização, é, ainda hoje, uma das melhores e mais efetivas práticas de gestão de Segurança da Informação.

Todos os guias de boas práticas de gestão de SI apontam para a necessidade de envolver os usuários no processo de segurança. E, por isso, assim como Firewall, Antispam e Antivírus, a conscientização em Segurança é parte essencial em qualquer processo de Segurança da Informação.

Funcionários conscientes do quão importante são os dados e informações, com os quais trabalham, e de seu papel na proteção desses ativos, redobram seus níveis de atenção e proteção.

Isso faz com que seja diminuído o sucesso dos ataques que poderiam vazar dados da empresa, dos colaboradores e até mesmo dos clientes, debilitando a imagem da empresa.

Portanto, os membros da organização ficarão mais atentos a ataques e dispostos a participar de treinamentos à medida que forem se conscientizando da importância do papel que desempenham dentro da empresa. Podendo, inclusive, propor novas medidas de segurança, deixando de ser apenas um usuário conscientizado, e passando a ser um usuário participativo.

O que para as empresas é extremamente valioso, levando em consideração que, hoje em dia, os funcionários são vistos pelos intrusos como potenciais alvos. E, por isso as empresas devem enxergar seus membros como soldados, e usá-los como uma extensão dos mecanismos de detecção e resposta.

Tendo em mente o atual cenário, fica claro que investir em campanhas de conscientização não só protegem a sua empresa, mas também qualificam o seu time, aumentando o engajamento dos colaboradores e agregam valor ao negócio.

Criando conscientização voltada à área de Segurança da Informação

Agora a questão é: por onde começar? O primeiro passo é definir um objetivo. Não só identificar e entender as necessidades do negócio, mas também enxergar valor na ideia de conscientizar a equipe.

Em seguida, é importante que seja desenvolvida uma Política de Segurança da Informação (PSI). A PSI é a grande diretriz da organização em matéria de segurança da informação. Contudo, somente a criação de uma Política de Segurança da Informação não garante a segurança da empresa. Os colaboradores devem cumprir com a política estabelecida e é aqui que as campanhas de conscientização entram como recurso, garantindo que toda a empresa seja treinada, educada e conscientizada de acordo com as políticas e procedimentos da organização.

E para isso, é imprescindível que os usuários aprendam algumas boas práticas de comportamento e uso da Internet, evitando que as ameaças afetem os negócios da empresa. Abaixo algumas práticas simples, mas que garantem mais segurança não só para o usuário, mas principalmente para a organização:

• Bloquear o computador ao se ausentar do posto de trabalho a fim de que ninguém tenha acesso aos seus dados;
• Nunca disponibilizar logins e senhas, mesmo que para colegas de trabalho;
• Ter atenção ao falar sobre a empresa, clientes ou negócios em táxis, elevadores e metros;
• Utilizar as redes sociais com segurança, não disponibilizando informações sigilosas ou fazendo contato com desconhecidos;
• Verificar atentamente os e-mails recebidos e os seus dados;
• Nunca fotografar o ambiente de trabalho, principalmente telas de computador e documentos;
• Reportar à equipe de segurança de sua empresa qualquer problema ou desconfiança em relação às atitudes suspeitas na internet;
• Seguir as políticas e práticas de segurança da empresa, a fim de que exista uma gestão funcional de segurança.

O objetivo dos programas de conscientização é munir as pessoas com informações e experiências, a fim de que elas construam uma consciência própria e saibam como agir ao identificar um ataque.

Criar consciência para a questão da segurança é uma maneira de garantir que os membros da organização entendam seu papel na proteção dos dados sensíveis, e que compreendam a importância do constante preparo necessário para enfrentar novos desafios, dado que a criação de consciência para segurança é um ciclo.

E principalmente, as campanhas de conscientização para Segurança da Informação devem atingir todos os membros da empresa, mirando todos os níveis da organização, incluindo gerentes e profissionais de nível sênior.

Conclusão

Portanto, com a abordagem de todas as técnicas de engenharia social, os danos que o uso desta pode causar, todos os meios utilizados para o comprometimento da segurança da informação, bem como os métodos de prevenção e a importância da conscientização do usuário, é visto que o passo inicial para que uma cultura de segurança seja criada é um maior acesso a campanhas e uma maior divulgação dos riscos o qual o usuário está sujeito.

Isso porque, as campanhas visam não só educar e conscientizar o usuário, mas procura informá-lo sobre as reais ameaças as quais ele está exposto, ensinando como identificar e reagir aos diferentes ataques, sejam eles online ou não.

Estar consciente não significa saber tudo sobre todas as possíveis formas de ataque às quais você pode ser submetido, mas entender o grau de importância das informações com as quais você está lidando e redobrar sua atenção e cuidado a fim de proteger os seus dados mais sensíveis.

No âmbito corporativo, onde pode envolver grandes perdas financeiras e morais, também é necessário o investimento no conhecimento, políticas e práticas de segurança bem definidas, aparatos tecnológicos capazes de identificar e impedir ataques e uma equipe conscientizada, educada e engajada com as causas do negócio, assim dificilmente este sofrerá com prejuízos causados por ataques.

Referências Bibliográficas

WIKIVERSITY BETA. Security and Privacy in a Networked World/No Tech Hacking. Disponível em: https://beta.wikiversity.org – Acesso em: 26 maio 2018.

CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE INCIDENTES DE SEGURANÇA NO BRASIL. Golpes na Internet. Disponível em: https://cartilha.cert.br Acesso em: 26 maio 2018.

EXAME. Crise colocou o carioca em posição vulnerável frente ao cibercrime. Publicado por: Dino. Disponível em: https://exame.abril.com.br – Acesso em: 27 maio 2018.

PROOF. Ataques de engenharia social: tudo que você precisa saber! Disponível em: https://www.proof.com.br – Acesso em: 27 maio 2018.

BANDA B. Como não cair no golpe de falso sequestro. Publicado por: Evandro Razzoto. Disponível em: https://www.bandab.com.br – Acesso em: 02 junho 2018.

LINKEDIN. Engenharia Social: por que se importar? Publicado por: Eduardo Vasconcelos. Disponível em: https://pt.linkedin.com – Acesso em: 02 junho 2018.

PROOF. Segurança em redes sociais: marcas, privacidade, e reputação. Seu negócio está blindado? Disponível em: https://www.proof.com.br – Acesso em: 03 junho 2018.

DIALNET. Um estudo sobre a confiança em segurança da informação focado na prevenção a ataques de engenharia social nas comunicações digitais. Jorge Henrique Cabral Fernandes e Raul Carvalho de Souza. Disponível em: https://dialnet.unirioja.es – Acesso em 03 junho 2018.

CORNELL UNIVERSITY LIBRARY. Case study on social engineering techniques for persuasion. Mosin Hasan, NIlesh Prajapati e Safvan Vohara. Disponível em: https://arvix.org – Acesso em: 09 junho 2018.

AVG. O que é o malware de cavalo de Troia? Jonathan Lemonnier. Disponível em https://www.avg.com – Acesso em: 09 junho 2018.

PROOF. Qual a importância da conscientização de usuários para a segurança da informação? Disponível em: https://www.proof.com.br – Acesso em: 09 junho 2018.

Por Douglas da Fonseca Rocha - Pós-Graduando em Segurança de Redes de Computadores pela Universidade Estácio de Sá.