Tecnologia

Engenharia Social – Tipos comuns de ataque

Vimos na postagem anterior que Engenharia Social é o termo utilizado para a obtenção de informações importantes de uma empresa, através de seus usuários e colaboradores. Essas informações podem ser obtidas pela ingenuidade ou confiança. Os ataques desta natureza podem ser realizados através de telefonemas, envio de mensagens por correio eletrônico, salas de bate-papo e pasmem, até mesmo pessoalmente.

Já foram identificados casos em que alguém, se passando por um funcionário do suporte técnico de um provedor de acesso Internet, telefonou para um usuário informando que a conexão estava com algum tipo de problema e que para consertar necessitava da sua senha.

O usuário, na sua ingenuidade, fornece a senha e depois vai ver no extrato mensal do provedor que utilizou muito mais recursos do que realmente o tinha feito.

Outras técnicas muito utilizadas na Internet são os sites anônimos que prometem muitas coisas com acesso grátis, bastando você fornecer a eles seu nome de usuário e senha. Na verdade, trata-se de um ataque de engenharia social, e eles utilizarão estas informações para conseguir coisas extras sim, mas para eles! Com o crescente avanço da tecnologia, as empresas estão dedicando uma boa parte do tempo para resolver os problemas técnicos de segurança. São investidos muitos recursos para garantir a segurança de servidores e aplicações, e devido a esta consciência que hoje está bem evoluída, as técnicas de ataques têm se aprimorado.

Tentar invadir um site ou uma empresa torna-se um desafio ainda maior, e nesta situação, a engenharia social vem tendo destaque e passa a ser a nova moda. Recentemente, um amigo meu que trabalha em uma empresa de tecnologia foi vítima de uma tentativa desta natureza. Chegou em sua conta de correio eletrônico na empresa uma mensagem de uma universitária, na qual ela solicitava ajuda para a confecção de um trabalho acadêmico.

Mesmo sendo muito simpática, bastaram duas trocas de mensagens para que a universitária simplesmente desaparecesse. O meu amigo perguntou como ela havia obtido informações a respeito de seu nome e endereço eletrônico e ela forneceu uma resposta inconsistente.

Este exemplo aponta para um lado que deve ser muito bem observado por todos, que é o fator emocional. Os ataques de engenharia social por correio eletrônico têm sido realizados com maior frequência através de mensagens de mulheres para homens e vice-versa.

Este ataque motivado pelo fator emocional é também muito utilizado nas salas de chat. Meninas que se dizem jovens, atraentes e de bom papo, podem ser na verdade um verdadeiro farsante, que manipula os sentimentos das pessoas para fisgar uma informação preciosa.

Há de se ter muito cuidado também com os documentos impressos dentro da empresa. Papéis amassados e jogados no lixo são um convite para fraudadores. Precisamos estar atentos também com as informações a respeito da empresa.

A divulgação de nomes, funções, ramais, endereço eletrônico e outros dados a respeito da estrutura organizacional da empresa podem ser utilizadas por pessoas maliciosas. Em muitas organizações é comum encontrarmos uma lista na entrada dos corredores de acesso, ou na mesa das secretárias, contendo o nome, identificação eletrônica do usuário e função exercida pelo mesmo na empresa.

Outro exemplo de ataque de engenharia social diz respeito às entrevistas para emprego, onde muitas vezes o candidato à vaga passa várias informações da empresa em que trabalha. Pode não haver vaga alguma para o cargo. Apenas a empresa, que supostamente abriu a vaga, está tentando levantar informações dos seus concorrentes.

São muitos as formas e mecanismos de ataque mediante a fragilidade e ingenuidade das pessoas, mas deixaremos abaixo, algumas dicas que podem ajuda-lo a minimizar este problema e garantir a sua privacidade e a da sua empresa:

  • Estabeleça uma política de controle de acesso físico na empresa;
  • Classifique as informações de sua empresa, onde cada colaborador saiba o que pode ser divulgado e o que não pode;
  • Desconfie das ofertas mirabolantes que circulam pela Internet;
  • Ao receber um telefonema de uma pessoa estranha, que conhece todos os seus dados e lhe transmite confiança, retenha desta pessoa o máximo de informações possíveis. Não divulgue nada e peça o número de retorno dela para garantir que a ligação é procedente;
  • Estabeleça uma política de segurança na sua empresa onde a informação, que é o seu principal patrimônio, receba o tratamento correto com relação à segurança;
  • Evite compartilhar sua senha de acesso, pois ela pode ser divulgada sem que você tenha sido a vítima do ataque de engenharia social;
  • Conscientize seus funcionários a respeito do tema, realizando palestras e treinamentos onde o assunto seja abordado;
  • Desconfie das mensagens de correio eletrônico onde você não conhece o remetente. Convites para entrevistas, seminários, informações para pesquisa e etc. são formas de atrair a atenção para obter informações da empresa;
  • “Falsos” fabricantes e fornecedores de tecnologia costumam tentar descobrir a topologia e configuração da rede da empresa através de contatos com o pessoal que administra estes equipamentos. Oriente esses funcionários a buscar a autenticidade dos técnicos e soluções por eles apresentadas;
  • E para finalizarmos, deixamos uma comparação interessante: “Em uma partida de futebol, o assistente do juiz é orientado a deixar o lance seguir e não marcar impedimento do atacante caso ele fique em dúvida, mas quando falamos em segurança da informação a regra é: na dúvida, desconfie!”.

Exemplos de Ataque de Engenharia Social

a) Usuário recebe um e-mail do “administrador” (que é o atacante disfarçado) solicitando para que a sua senha seja alterada para ‘x’. Se o usuário proceder conforme solicitado, o hacker saberá qual sua senha, e poderá passar a utilizar a conta deste usuário.

b) Administrador da rede recebe um e-mail/telefonema de um “usuário” (que é o atacante disfarçado), solicitando a reinicialização da sua senha. Isto permite ao atacante logar com a senha deste usuário.

c) Administrador iniciante recebe um e-mail/telefonema de um “administrador de uma outra empresa” (que é o atacante disfarçado), alegando que está recebendo ataques da sua empresa e solicitando a execução de um comando para se certificar. Este comando pode ser um trojan.

Outros exemplos do cotidiano

“Uma agência de contra-investigação não é um tribunal de justiça. Ela existe para obter informação sobre as possibilidades, métodos e intenções de grupos hostis ou subversivos, a fim de proteger o Estado contra seus ataques. Disso se conclui que o objetivo de um interrogatório não é fornecer dados para que a Justiça Criminal processa-los; seu objetivo real é obter o máximo possível de informações. Para conseguir isso, será necessário, frequentemente, recorrer a métodos de interrogatório, que, legalmente, constituem violência. É assaz importante que isto seja muito bem entendido por todos aqueles que lidam com o problema, para que o interrogador não venha a ser inquietado para observar as regras estritas do direito”.

“Para saber quem falará mais rápido, é conveniente observar qualquer fraqueza de caráter, como medo, hábitos nervosos ou excesso de confiança. Informações sobre o passado dos prisioneiros podem ser usadas para jogar um contra o outro, utilizando-se de ardis, como a leitura correta ou incorreta de depoimentos, obtendo-se a cooperação de um ou de outro”.

Claro que nem sempre a coisa envolvia tortura física. O interrogador poderia chegar na casa do sujeito, com um papo do tipo: “pintou um probleminha lá na delegacia, precisamos de sua colaboração, é só cinco minutos, vamos lá?”. No caminho para o Distrito Policial, vinha o comentário:

“Sabe como é, uns terroristas foram presos e seu nome foi mencionado, como temos certeza da sua inocência, afinal de contas, família de posse, seu pai é isso e aquilo, sua mãe deu aula lá no colégio dos meus filhos, você não tem cara de quem teria associações tão horríveis. Só que precisamos ver que história é essa e pensar alguma coisa pra livrar sua cara, senão você vai pro pau-de-arara. Você sabe algo que possa ajudar a gente?”. Sutil, né?

Alguns estudos de caso

  • Exemplo 1: algum desconhecido liga para a sua casa e diz ser do suporte técnico do seu provedor, nesta ligação ele diz que sua conexão com a Internet está apresentando algum problema e, então, pede sua senha para corrigi – lo.
  • Exemplo 2: você recebe uma mensagem de e-mail, dizendo que seu computador está infectado por um vírus, a mensagem sugere que você instale uma ferramenta disponível em um site da Internet, para eliminar o vírus de seu computador. A real função desta ferramenta não é eliminar um vírus, mas sim permitir que alguém tenha acesso ao seu computador e a todos os dados nele armazenados.
  • Exemplo 3: você recebe uma mensagem e-mail, onde o remetente é o gerente ou o departamento de suporte do seu banco, na mensagem ele diz que o serviço de Internet Banking está apresentando algum problema e que tal problema pode ser corrigido se você executar o aplicativo que está anexado à mensagem. A execução deste aplicativo apresenta uma tela análoga àquela que você utiliza para ter acesso a conta bancária, aguardando que você digite sua senha. Na verdade, este aplicativo está preparado para furtar sua senha de acesso à conta bancária e enviá-la para o atacante.

Estes casos mostram ataques típicos de engenharia social, pois os discursos apresentados nos exemplos procuram induzir o usuário a realizar alguma tarefa e o sucesso do ataque depende única e exclusivamente da decisão do usuário em fornecer informações sensíveis ou executar programas.

“Primeira regra dos negócios: proteja seu investimento”. (Etiqueta do banqueiro, 1775).
“Quando o oponente é desafiado ou questionado, significa que o investimento da vítima, sua inteligência, é questionada, ninguém admite isso, nem pra si mesmo”. (Revolver, 2005)

Bibliografia de referência na época

Aos leitores interessados no tópico, recomendo a leitura dos textos abaixo:

Gartner, There are no secrets Social Engineering and Privacy, Social Engineering: Exposing the Danger Within, Vol. 1, Issue 1, February 2002. http://www3.gartner.com/gc/webletter/security/issue1/index.html

Gartner, Unmasking Social Engineering Attacks, Social Engineering: Exposing the Danger Within, Vol. 1, Issue 1, February 2002. http://www3.gartner.com/gc/webletter/security/issue1/article1.html

Gartner, Protecting Against Social Engineering Attacks, Social Engineering: Exposing the Danger Within, Vol. 1, Issue 1, February 2002. http://www3.gartner.com/gc/webletter/security/issue1/article2.html

J. H. Saltzer, The Protection of Information in Computer Systems, http://web.mit.edu/Saltzer/www/publications/protection/index.html

Scua Segurança da Informação.
http://www.scua.com.br/seguranca/conceitos/ataques_engsocial.htm

Coimbra, PMP on FacebookCoimbra, PMP on LinkedinCoimbra, PMP on TwitterCoimbra, PMP on Youtube
Coimbra, PMP
CEO do portal, apaixonado por gestão de projetos, metodologias, minha família, professor, consultor, certificado PMP, Six Sigma White Belt.

Deixe uma resposta