O que é Engenharia Social e como se prevenir de ataques

Engenharia Social

Existem várias técnicas e táticas que golpistas empregam para roubar dados, obter vantagens financeiras, prejudicar pessoas e organizações e outros fins ilícitos. Entre elas se incluem a disseminação de malwares diversos (ransomware, trojans, vírus, etc.), invasão de redes, ataques de negação de serviço, e outras.

Essas técnicas tem em comum o emprego de tecnologias variadas, mesclando software com hardware, programação e protocolos rede, entre outras. Mas existem técnicas que não empregam diretamente tecnologias, mas que exploram o fator humano por trás dos sistemas. Estou me referindo às técnicas de Engenharia Social.

A engenharia social lida com a manipulação de alvos humanos em vez de tecnológicos ou outros mecanismos.

Definida como um tipo de ataque de natureza não-técnica, que envolve alguma forma de interação humana com o objetivo de tentar enganar ou coagir uma vítima a revelar informações sigilosas ou violar práticas de segurança normais.

O termo é empregado em um contexto amplo, que inclui diversas atividades, geralmente maliciosas, realizadas por meio de interações humanas. Emprega regularmente técnicas de manipulação psicológica para enganar usuários e levá-los a cometer erros de segurança, ou ainda deixar vazar informações importantes.

O interesse de um “engenheiro social” é obter informação que possa ser empregada para realizar ações como roubo de identidade ou de senhas, por exemplo.

Trata-se de um método bastante popular empregado por golpistas e fraudadores, pois o elemento humano é frequentemente a parte mais fraca de um sistema, facilmente manipulável, e mais propensa a erros.

Uma das formas de ataque é tentar enganar a vítima, fazendo-a pensar que o atacante é alguém que possui autoridade, levando a vítima a baixar sua guarda e liberar informações importantes. veremos outras formas mais adiante neste artigo.

Psicologia da engenharia social

Os engenheiros sociais são bons em reconhecer sinais ou comportamentos que podem ser úteis na extração de informação, como por exemplo:

• Obrigação moral: a vítima demonstra desejo de fornecer assistência porque se sente compelida a tal por um senso de dever
• Confiança: Os seres humanos possuem uma tendência inerente a confiar nos outros. Por exemplo, usar uniformes, palavras técnicas ou jargão pode levar a vítima a pensar que o atacante é realmente um profissional de confiança. A tendência à confiança é uma fraqueza constantemente explorada.
• Ameaça: Uma vítima pode ser ameaçada se não colabora com as requisições do atacante
• Algo por Nada: O atacante pode prometer a uma vítima que, por pouco ou nenhum trabalho, ela receberá algum tipo de recompensa interessante.
• Ignorância: A realidade dura é que muitas pessoas não percebem os perigos associados à engenharia social, e não são capazes de reconhecê-la como ameaça.

E por que a engenharia social funciona?

Funciona por diversos motivos, sendo que o elemento humano é muito facilmente iludido. Porém, outros fatores influem para que os engenheiros sociais tenham sucesso na perpetração de seus golpes. Entre esses fatores incluem-se:

• Falta de tecnologias apropriadas que possa combatê-la
• Políticas de segurança insuficientes nas organizações
• Difícil detecção e, por conseguinte, prevenção
• Falta de treinamento de funcionários e usuários

Some-se a a isso o fato de que, no geral, funcionários não possuem treinamento adequado sobre normas de segurança digital – normalmente, nenhum treinamento – e ainda por cima algumas vezes ocorre desonestidade por parte de colaboradores, descontentes com a organização ou simplesmente querendo obter alguma vantagem financeira, e, pronto! temos a receita do sucesso de um ataque social.

Como dizem, “não há remédio para a estupidez humana”

Técnicas de Engenharia Social

Ataques de engenharia social são realizados de diversas formas, sendo realizados em qualquer lugar onde interação humana esteja envolvida. Algumas formas de ataques comuns incluem os seguintes:

• Baiting (“isca”): Neste ataque, uma promessa falsa é feita para atiçar a curiosidade ou ganância da vítima.
  Por exemplo, um atacante deixa uma isca (como um pendrive infectado) e locais por onde vítimas em potencial circulam (corredores, estacionamentos, etc.).
  A vítima recolhe a isca e, por curiosidade, conecta a um computador, em casa ou na empresa, resultando na contaminação automática do sistema com o malware presente.
  Propagandas enganosas, como ads maliciosos também são considerados formas de baiting, levando os usuários a clicarem em lnks suspeitos e baixarem programas maliciosos, pensando se tratar de itens legítimos.
• Cavalos de Tróia (trojans): Classe de malware cujo princípio de operação é enganar as pessoas, levando-as a abrir e executar arquivos maliciosos em seus computadores, que acabam assim infectados.
• Scareware (“software que assusta”): tipo de malware projetado para assustar uma vítima, levando-a a agir quando não é necessário. A vítima é bombardeada com alarmes falsos e ameaças fictícias. Por exemplo, um antivírus falso que diz para o usuário que ele precisa instalar uma atualização ou uma versão do software para proteger o sistema, que supostamente está infectado.
• Pretexting (pretexto, alegação): Neste tipos de ataque, informação é obtida por meio de uma série de mentiras cuidadosamente inventadas. O golpe é iniciado normalmente por alguém que finge precisar de informações sensíveis ou confidenciais da vítima, para realizar tarefas (supostamente) importantes.
  Normalmente, o golpista começa estabelecendo uma confiança com a vítima ao fingir ser um colega de trabalho, oficial, policial, ou outras pessoas que possuam algum tipo de autoridade. Então, o atacante começa a fazer perguntas que confirmem a identidade da vítima, por meio das quais dados pessoais importantes são obtidos.
  Com esse tipo de ataque é possível obter dados como números de CPF, números de contas bancárias e cartões de crédito, senhas de contas e outros serviços, senhas de acesso a sistemas, e muito mais.
• Phishing (“pescaria”): Este é um dos tipos de ataque mais comuns de engenharia social, que consistem em mensagens de texto ou e-mails criadas para incutir nas vítimas um senso de urgência, de medo ou de curiosidade. O ataque leva as vítimas a revelar informações importantes e confidenciais, clicar em links e visitar páginas maliciosas, ou ainda, abrir arquivos anexos que contenham infeção por malwares diversos.
  Um golpe comum deste tipo é o envio de e-mails que ofereçam prêmios se a vítima preencher uma pesquisa em um website. Ao entrar no website, um formulário deve ser preenchido, onde a vítima acaba por colocar seus dados pessoais e outras informações sensíveis, que são então enviadas ao atacante.
• Spear Phishing (“pesca com arpão”): Forma mais direcionada de phishing, no qual o atacante escolhe indivíduos ou empresas específicas. As mensagens então são criadas com base nas características da vítima, como dados pessoas, posição dentro da empresa e contatos, de modo a tornar o ataque mais fácil.
  Este tipo de ataque requer bastante esforço por parte do atacante, pois envolve todo um trabalho de pesquisa, podendo levar semanas ou até meses para ser lançado. Porém, é muito mais difícil de detectar e em uma taxa de sucesso maior do que um ataque de phishing convencional – se for bem executado.
  Um exemplo desse ataque é um golista que se faz passar por alguém do departamento de TI da empresa que envia um e-mail para um ou mais funcionários específicos. O e-mail é escrito exatamente da forma como seria escrito se fosse legítimo, o que permite enganar as vítimas quanto à sua proveniência. Neste e-mail podem ser solicitadas informações confidenciais, preenchimento de informações em páginas (falsas), ou ainda pedir que os usuários alterem suas senhas para um padrão específico conhecido do atacante – o que dá a ele acesso ao sistemas da empresa.

Para evitar esses ataques é importante que os usuários sejam treinados em detectar e discernir esses incidentes de segurança. Bom-senso é importante aqui, e alguns dos sinais que denunciam um ataque de engenharia social incluem:

• Uso de autoridade pelo atacante, como por exemplo fazer referência a quem ele é ou quem ele conhece, ou mesmo fazer ameaças com base em seu suposto poder.
• Incapacidade de fornecer informações de contato válidas, que permitiriam que o atacante fosse contatado quando necessário.
• Fazer requisições informais ou fora de contexto, tentando encorajar a vítima a soltar informações que normalmente não seriam reveladas.
• Usar repetidamente nomes de pessoas que o atacante supostamente conhece dentro da empresa
• Uso excessivo de elogios, tentando bajular a vítima
• Mostras de desconforto ou inquietação pelo atacante, quando questionado

Fases e etapas de um ataque de engenharia social

Um ataque de engenharia social geralmente consiste em três fases distintas:

1. Pesquisa
2. Desenvolvimento
3. Exploração

Essas fases englobam as seguintes etapas:

1. Usar footprinting (“seguir as pegadas”) e obter detalhes sobre um alvo, por meio de pesquisa e observação. Fontes de dados podem incluir ataques de phishing, websites, funcionários, dumpster diving (“vasculhar o lixo”), e outras.
2. Selecionar um indivíduo ou grupo que possa ter acesso à informação desejada. Alvos comuns são pessoas frustradas, super confiantes, arrogantes, que podem fornecer informações prontamente. A presença desse tipo de pessoa pode ser considerada uma ameaça interna em uma empresa.
3. Forjar um relacionamento com a vítima por meio de conversas, discussões, e-mails, ou outros canais.
4. Explorar o relacionamento formado com a vítima, e extrair a informação desejada.

Impactos da Engenharia Social

Ataques de engenharia social podem ter efeitos diversos em uma organização, impactando-a de diversas formas (geralmente nefastas):

• Perdas econômicas: a empresa pode perder dinheiro de diversas formas.
• Terrorismo: um alvo é coagido a agir por conta de ameaças de violência física
• Perda de privacidade: informações obtidas podem ser usadas para realizar roubo de identidades
• Processos judiciais: dependendo do grau de comprometimento, podem surgir problemas judiciais para indivíduos ou organizações.
• Encerramento temporário ou permanente: Se um vazamento de dados for muito grave, pode levar ao encerramento catastrófico das atividades de uma empresa.
• Perda de confiança: Os clientes podem deixar de confiar em uma marca ou empresa dependendo do grau de danos do ataque.

Alvos comuns de engenheiros sociais

Atacantes costumam procurar alvos oportunos ou vitimas em potencial que tenham algo a oferecer. Alguns alvos comuns incluem:

• Recepcionistas
• Pessoal de Help Desk
• Administradores de Sistemas
• Executivos
• Usuários em geral

Essas pessoas ocupam cargos em empresas que, geralmente, tem acesso a algum tipo de dado importante, ou ainda informações que podem dar acesso a sistemas internos e, justamente por isso, costumam ser alvos dos golpistas.

Como se prevenir contra ataques de engenharia social

Os engenheiros sociais enganam suas vítimas manipulando os sentimentos humanos, como o medo, ganância ou curiosidade, levando-as a cair em suas armadilhas. Assim, sempre que você se sentir alarmado ao receber um telefonema, mensagem ou um e-mail, fique alerta: é grande a possibilidade de se tratar de uma fraude.

Siga também as seguintes dicas para ajudá-lo a evitar esse tipo de golpes:

• Não abra e-mails nem tampouco anexos vindos de fontes suspeitas: Se você não conhece a pessoa que lhe enviou um e-mail, é grande a probabilidade de você sequer precisar ler esse e-mail. Mesmo que o e-mail tenha vindo de uma pessoa conhecida, fique esperto: é muito simples forjar um e-mail falso, e por isso sempre verifique se a pessoa em questão realmente te enviou a mensagem.
• Fique esperto com ofertas muito tentadoras: Como diz o ditado, “se é muito bom para ser verdade, então não é”. Pense duas vazes antes de aceitar ofertas muito tentadoras recebidas por e-mail ou telefone, como supostos prêmios ou promoções, principalmente se envolverem o fornecimento ou confirmação de dados pessoais ou da empresa onde você trabalha. Uma pesquisa rápida em um buscador como o do Google vai te mostrar se aquela oferta é um golpe ou possivelmente não.
• Use autenticação baseada em mais de um fator: As credenciais de acesso são o tipo de informação mais desejada por golpistas, pois elas lhes dão acesso a sistemas e dados confidenciais. Por isso, ao usar autenticação baseada em dois ou mais fatores, como o emprego concomitante de biometria, você dificulta em muito o trabalho de um fraudador, ajudando a manter suas contas mais seguras.
• Mantenha antivírus e softwares de segurança atualizados: Essa é básica, mas ainda assim muitos se esquecem de atualizar antivírus na máquina (e alguns nem tem instalado!), e para auxiliá-lo deixe sempre o esquema de atualização automática do antivírus ativo. E, obviamente, somente use antivírus original – obtido diretamente a partir do fabricante – e nunca baixado de sites diversos e torrents, pois o antivírus obtido nesses locais pode ele próprio estar infectado, e assim não funcionar como deveria.
• Ah, e use o antivírus! Rode periodicamente as rotinas de verificação de ameaças em sua máquina, para determinar se há algum arquivo infectado presente no seu sistema.

Casos clássicos de Engenharia Social

Ataques de engenharia social são muito comuns ao redor do mundo. A seguir, alguns exemplos conhecidos de ataques que resultaram em grandes prejuízos para organizações e governos (e lucro para outros).

Partido Democrata dos Estados Unidos, 2016

Um dos casos mais impactantes de engenharia social foi a eleição presidencial dos Estados Unidos no ano de 2016. Ataques de spear phishing levaram ao vazamento de e-mails e informações do Partido Democrata que acabaram por influenciar o resultado da eleição, levando à vitória de Donald Trump sobre Hillary Clinton.

Neste ataque, hackers russos criaram um e-mail falso do Gmail, convidando usuários, por meio de um link, a alterar suas senhas devido a atividades incomuns.

O alvo principal era o gerente de campanha de Hillary Clinton, John Podesta. Podesta recebeu um e-mail falso de “redefinição de conta” que parecia ser legítimo do Google, solicitando que ele fizesse login e alterasse sua senha; porém o endereço real do link fornecido, oculto por um encurtador de link bit.ly, era o link myaccount.google.com-securitysettingpage.ml.

A partir daí os fraudadores tiveram acesso a centenas de e-mails contendo informações confidenciais sobre a campanha de Clinton.

Ubiquiti Networks, 2015

A Ubiquiti Networks, um fabricante de tecnologia para redes, teve um prejuízo quase 40 milhões de dólares, em 2015, após sofrer um ataque de phishing.

Aparentemente uma conta de e-mail de um funcionário foi comprometida em Hong Kong. Os atacantes enviaram e-mails aos funcionários do departamento financeiro da subsidiária da Ubiquiti em Hong Kong, alegando ser um alto executivo, solicitando transferências eletrônicas de fundos para “terceiros” – na verdade, contas sob o controle dos criminosos. E o dinheiro foi transferido.

RSA, 2011

A RSA, uma das maiores empresas da área de segurança digital, perdeu cerca de US$ 66 milhões por conta de uma violação de dados, em 2011.

O ataque começou com um documento Excel, enviado a um pequeno grupo de funcionários por e-mail. Ao menos dois funcionários de baixo escalão abriram esse arquivo, chamado “Plano de recrutamento 2011.xls”, proveniente de um remetente desconhecido.
O anexo continha um arquivo malicioso que abriu um backdoor para os hackers – ele rodou uma macro que instalou um backdoor nos computadores, compromentendo e reduzindo a eficácia do produto SecurID, o carro-chefe da RSA.

As peripécias de Kevin Mitnick

Kevin Mitnick foi um dos hackers mais notórios dos anos 80 e 90 da era da informática. Suas façanhas eram (de acordo com ele) motivadas pela curiosidade, e não pelo lucro, e a engenharia social era seu superpoder.

Um exemplo do que Mitnick era capaz: em 1979, com apenas 16 anos, ele fez amizade com alguns hackers que encontraram o número de um modem dial-up para um sistema que a DEC (Digital Equipment Corporation) empregava para desenvolvimento de SO, mas eles disseram a Mitnick que o número não tinha serventia porque eles não tinham um nome de conta ou senha para login.

O que Mitnick fez? Ele simplesmente ligou para o gerente de sistema da DEC, alegou ser Anton Chernoff, um dos principais desenvolvedores da empresa, e disse que estava tendo problemas para fazer login nos sistemas; imediatamente lhe foi informado um login que fornecia acesso de alto nível ao sistema. (Mitnick, agora do lado dos “bons”, trabalha no negócio de consultoria de segurança.)

Sony Pictures, 2014

Após uma investigação, o FBI (Federal Bureau of Investigation) nos EUA apontou que o ataque cibernético à Sony Pictures, em 2014, foi de responsabilidade do governo da Coreia do Norte.

Milhares de arquivos, incluindo acordos comerciais, documentos financeiros e informações de funcionários, entre outros, foram roubados. A Sony Pictures foi alvo de ataques de spear phishing. Aparentemente os funcionários foram atraídos por e-mails falsos supostamente enviados pela Apple.

Dicas

Para aprender um pouco mais sobre engenharia social enquanto se diverte, recomendo o filme Prenda-Me se For Capaz (2002), que é uma dramatização das explorações de um engenheiro social do mundo real.

Outros filmes interessantes sobre o assunto são Os Vigaristas (2003) e Uma Saída de Mestre (2003).

Referências

• HADNAGY, C. Social Engineering: The Art of Human Hacking. Wiley Publishing. 1ª ed., 2011.
• Website Security Through Education: https://www.social-engineer.org/