A Engenharia Social é uma das técnicas utilizadas por Crackers para
obter acesso não autorizado a
sistemas, redes ou informações com grande
valor estratégico para as organizações. Os Crackers que utilizam desta
técnica são conhecidos como Engenheiros Sociais.
Quando abordamos
Engenharia Social, Hacker, Cracker, temos que evidenciar Kevin D.
Mitnick que foi um dos mais famosos crackers de todos os tempos, e boa
parte dos seus ataques foram originados das técnicas de Engenharia
Social. Quem tiver interesse em conhecer um pouco mais sobre a história
do Mitnick existe o livro “A Arte de Enganar” escrito por ele, e um
filme que retrata muitas técnicas que ele utilizou chamado “Operação
Takedown”.
A seguir serão apresentadas 6 técnicas mais utilizadas pelos Engenheiros Sociais:
Analise do Lixo:
Provavelmente poucas organizações tem o cuidado de verificar o que está
sendo descartado da empresa e de que forma é realizado este descarte. O
lixo é uma das fontes mais ricas de informações para os Engenheiros
Sociais. Existem muitos relatos e matérias publicadas na Internet
abordando este tipo de ataque, visto que através das informações
coletadas no lixo podem conter nome de funcionários, telefone, e-mail,
senhas, contato de clientes, fornecedores, transações efetuadas, entre
outros, ou seja, este é um dos primeiros passos para que se inicie um
ataque direcionado à empresa.
Internet e Redes Sociais: Atualmente
muitas informações podem ser coletadas através da Internet e Redes
Sociais sobre o alvo. Quando um Engenheiro Social precisa conhecer
melhor seu alvo, esta técnica é utilizada, iniciando um estudo no site
da empresa para melhor entendimento, pesquisas na Internet e uma boa
consulta nas redes sociais na qual é possível encontrar informações
interessantes de funcionários da empresa, cargos, amizades, perfil
pessoal, entre outros.
Contato Telefônico: Com as
informações coletadas nas duas técnicas acima, o Engenheiro Social pode
utilizar uma abordagem via telefone para obter acesso não autorizado,
seja se passando por um funcionário da empresa, fornecedor ou terceiros.
Com certeza neste ponto o Engenheiro Social já conhece o nome da
secretária, nome e e-mail de algum gestor, até colaboradores envolvidos
na TI. Com um simples telefonema e técnicas de Engenharia Social se
passando por outra pessoa, de preferência do elo de confiança da vítima,
fica mais fácil conseguir um acesso ou coletar informações necessárias
da organização.
Abordagem Pessoal: Está técnica consiste do
Engenheiro Social realizar uma visita na empresa alvo, podendo se
passar por um fornecedor, terceiro, amigo do diretor, prestador de
serviço, entre outros, no qual através do poder de persuasão e falta de
treinamento dos funcionários, consegue sem muita dificuldade convencer
um segurança, secretária, recepcionista a liberar acesso ao datacenter
onde possivelmente conseguirá as informações que procura. Apesar desta
abordagem ser arriscada, muitos Crackers já utilizaram e a utilizam até
hoje.
Phishing: Sem dúvidas esta é a técnica mais utilizada para conseguir um acesso na rede alvo. O
Phishing pode
ser traduzido como “pescaria” ou “e-mail falso”, que são e-mails
manipulados e enviados a organizações e pessoas com o intuito de aguçar
algum sentimento que faça com que o usuário aceite o e-mail e realize as
operações solicitadas. Os casos mais comuns de
Phishing são
e-mails recebidos de supostos bancos, nos quais afirmam que sua conta
está irregular, seu cartão ultrapassou o limite, ou que existe um novo
software de segurança do banco que precisa ser instalado senão irá
bloquear o acesso. Outro exemplo de
phishing pode ser da Receita
Federal informando que seu CPF está irregular ou que o Imposto de Renda
apresentou erros e para regularizar consta um link, até as situações
mais absurdas que muitas pessoas ainda caem por falta de conhecimento,
tais como, e-mail informando que você está sendo traído(a) e para ver as
fotos consta um link ou anexo, ou que as fotos do churrasco já estão
disponíveis no link, entre outros. A maioria dos
Phishings possuem algum anexo ou links dentro do e-mail que direcionam para a situação que o Cracker deseja.
Falhas Humano: O
Ser Humano possui várias vulnerabilidades que são exploradas pelos
Engenheiros Sociais, tais como, confiança, medo, curiosidade, instinto
de querer ajudar, culpa, ingenuidade, entre outros. No livro “Segredos
do H4CK3R Ético”, escrito por Marcos Flávio Araújo Assunção, é abordada
uma passagem interessante no capitulo “Manipulando Sentimentos” no qual,
através do sentimento de Curiosidade, um Cracker instalou um
outdoor na
frente da empesa alvo com as palavras “Compre seu celular de última
geração de modo fácil: entregue seu aparelho antigo e, com mais um real,
escolha aquele que você quiser ter” e, abaixo, o link do site. Claro
que este site estava com códigos maliciosos no qual foi possível acessar
vários computadores da organização através de
vulnerabilidade de softwares e sistemas operacionais.
Este
é somente um exemplo de como o Engenheiro Social consegue obter êxito
no ataque através da falhas humanas. A maioria dos ataques por
Phishing visam explorar alguma falha humana para obter sucesso.
Para finalizar este artigo e gerar um melhor entendimento, seguem algumas frases retiradas do livro de Mitnick sobre
engenharia social.
“Engenharia
social usa a influência e a persuasão para enganar as pessoas e
convence-las de que o engenheiro social é alguém que ele não é, ou pela
manipulação. Como resultado, o engenheiro social pode aproveitar-se das
pessoas para obter as informações com ou sem uso da tecnologia.”
(MITNICK, 2003, p.6)
“Os engenheiros sociais habilidosos são
adeptos do desenvolvimento de um truque que estimula emoções tais como
medo, agitação, ou culpa. Eles fazem isso usando os gatilhos
psicológicos – os mecanismos automáticos que levam as pessoas a
responderem as solicitações sem uma análise cuidadosa das informações
disponíveis.” (MITNICK, 2003, p.85)
“A proteção para os ataques
envolve o treinamento nas políticas e procedimentos, mas também – e
provavelmente mais importante – um programa constante de
conscientização. Algumas autoridades recomendam que 40% do orçamento
geral para segurança da empresa seja aplicado no treinamento da
conscientização.” (MITNICK, 2003, p.195).
