Engenharia Social – Desvendando o tema
Por Paulo Buainain*
O tema abordado neste artigo não tem por objetivo ensinar métodos de empregar engenharia social.
Aqui veremos algumas situações em que a engenharia social foi utilizada, dicas para evitar sofrer esse tipo de ataque e um pouco de conteúdo dessa arte de manipulação humana.
Hoje em dia esse assunto é mais comumente discutido do que há alguns anos. A arte da engenharia social é aplicada há muitos anos, desde quando o ser humano passou a conviver em sociedade.
Um exemplo é um corte de um episódio do seriado “Chaves”, episódio em que o protagonista está trabalhando no restaurante de Dona Florinda, outra personagem. Sua amiga Chiquinha chega ao local e lhe pede algo para comer sem pagar, o Chaves se nega, mas sua amiga não desiste. Chiquinha avista sua vizinha, Dona Clotilde, e desenvolve a engenharia social conforme o corte abaixo.
A engenharia social ou a arte de hackear o ser humano também pode ser utilizado para o bem, no entanto, como o objetivo de uso mais comum é para se obter vantagem sobre algum indivíduo ou situação, se torna rotineiro ver essa prática sendo realizada por Cyber criminosos e estelionatários. Apesar de que a manipulação seja a principal empregabilidade dessa prática seja, a ação tomada diante da informação obtida revela se a engenharia social foi usada para o bem ou para o mal, como um “Robin Hood” da era digital.
Truque de Mestre 2013 (Cena dentro do avião)
No exemplo da cena do filme acima, nota-se que os ilusionistas utilizaram a engenharia social para identificar as respostas de perguntas de segurança de uma conta bancária. O alvo foi seu empregador, que mais tarde teve sua conta bancária diluída e o valor distribuído às famílias de quem no passado esse mesmo personagem reteve valores financeiros através de sua empresa de seguros. Agora deixo para você decidir se foi certo ou errado.
Vamos para exemplos mais fáceis?
Série Ransom
Sinopse
As missões do maior negociador privado do mundo, que resolve uma crise internacional atrás da outra, de sequestros a negociações de reféns – com a ajuda de um hacker, um advogado e um psicólogo.
(site – https://www.adorocinema.com/series/serie-20636/)
Nesse exemplo, a engenharia social é aplicada como resultado de salvar vidas. Apesar da profissão de negociador não ser algo tão divulgado, principalmente no Brasil, é um dos poucos bons exemplos que temos.
Mas afinal das contas, o que é engenharia social?
A definição de engenharia social envolve diversas formas de manipulação psicológica e emocional. Às vezes, a engenharia social pode levar aos resultados vistos nos exemplos acima, um negociador e um vendedor. Em termos de segurança da informação, no entanto, a engenharia social é usada com frequência em benefício criminoso. Nesses casos, a manipulação é usada para obter informações sigilosas, como dados pessoais ou financeiros e, por isso, a engenharia social também pode ser definida como um tipo de crime cibernético.
Como podemos evitar os danos que a aplicação indevida dessa atividade pode causar?
Toda pesquisa séria sobre as formas usadas pelos cibercriminosos para comprometer sistemas demonstra que o fator humano é essencial por grande parte dos golpes de sucesso. Em muitos casos, o indivíduo mal intencionado não chega a precisar identificar alguma vulnerabilidade em algum sistema, uma aplicação eficiente de Engenharia Social pode ser o suficiente. É crucial pensar que a Segurança Humana é um elo entre a Segurança de TI e a Segurança Física.
Tipos de ataques de engenharia social aplicada:
- Phishing
O truque mais antigo de todos e ainda o mais bem-sucedido. Os criminosos cibernéticos tentarão usar diferentes métodos para convencê-lo a divulgar informações. A tática de intimidação parece ser a mais popular entre os criminosos, pois apresenta uma situação urgente ao usuário, normalmente envolvendo uma conta bancária ou outra conta online. Essa tática conta com decisões precipitadas do usuário, tomadas sob efeito do medo e baseadas em suas emoções e não na racionalização da situação. Outras versões desses e-mails aparentam ser de uma pessoa de autoridade, como um diretor da empresa em que você trabalha, solicitando seu nome de usuário e senha para que ele possa acessar um sistema. As pessoas naturalmente atendem a solicitações enviadas por um colega de trabalho, principalmente se vierem de um departamento superior na hierarquia da empresa. O senso de urgência é também uma tática popular usada no phishing. Você já deve ter recebido inúmeros e-mails divulgando ofertas de produtos com descontos em quantidades limitadas. O desconto parece excelente e o usuário se sente pressionado a agir com urgência, tomando decisões impulsivas e sem muito controle.
- Pretexto
Alguns criminosos fazem uso de pretextos, ou seja, histórias, para tentar fisgar as vítimas. Apelam para as emoções humanas em querer ajudar os outros. Os usuários recebem e-mails de pessoas doentes terminais que nunca conheceram a Disney ou jamais foram a um show, por exemplo. A pessoa, comovida com a narrativa, clica no link do e-mail e acaba baixando vários vírus em seu computador.
- Quid Pro Quo
Fator de troca. Seduzindo o usuário com prêmios ou descontos em produtos de luxo, este golpe oferece aos usuários “alguma coisa”, mas só depois que eles preencherem um formulário que solicita todas as suas informações pessoais. Esses dados serão então usados para o roubo de identidade.
Existem outras situações aplicáveis, contudo, esses são os mais utilizados no âmbito de segurança da informação.
Como se defender de um ataque de engenharia social?
É muito comum se ouvir que pessoas treinadas estão menos sujeitas a cair nesse tipo de golpe, o que não é mentira. Porém, mesmo os profissionais mais bem treinados e vividos podem cair nesse tipo de golpe.
É importante adequar os funcionários novos e estabelecer os elementos importantes do seu novo ambiente de trabalho, dos quais eles devem estar cientes. Infelizmente, o assunto de treinamento e conscientização de funcionários, na maioria das organizações, é tratado como protocolo básico e aplicado aos primeiros dias de contratação ou na semana de segurança da informação, quando na verdade deveria ser bem mais elaborado, aplicado e com recorrência.
A conscientização está além de um e-mail sobre não anotar senhas e bloquear os computadores ao sair, o ensinamento deve ultrapassar as paredes das empresas, pois o aprendizado serve justamente para quebrar fronteiras.
Vemos exemplos de situações em que um indivíduo mal intencionado se aproveita de elos fracos da sociedade para conseguir ganhar dinheiro, fingem sequestros, carros quebrados, dívidas, doenças, passam-se por parentes e amigos, entre outros. Por mais que o indivíduo faça treinamentos, cursos e estudos, o emocional humano, na maioria dos casos, será o foco desses criminosos. A pressão aplicada faz com que a vítima se sinta intimidada e, com isso, as ações costumam ser tomadas sem o devido raciocínio.
Quando somos pressionados, colocados em um ambiente de alto nível de estresse e desconforto emocional, o nosso cérebro tende a realizar ações rápidas para se livrar de determinadas situações, como uma autodefesa. Essa ação fica armazenada em nossa via rápida do cérebro. Agora, quando nos encontramos em situação em que seja exigido um raciocínio maior, como quando é preciso se fazer uma escolha, o nosso cérebro irá se utilizar da via racional.
Segue algumas dicas para melhorar seus processos de treinamentos:
- Enviar e-mails curtos com assuntos de segurança da informação;
- Montar palestras com bonificações;
- Criar políticas ou normas de leitura obrigatória;
- Criar treinamentos com gamificação;
- Aplique testes de Phishing (forma para testar se os treinamentos estão surtindo efeito);
- Recorrência.
Achou muita coisa? E se houver uma forma mais prática para se implementar tudo isso e ainda estar dentro do compliance?
A AuditSafe, uma empresa do Grupo Fernando Ferreira, pode apoiar sua empresa. Conheça nossos serviços através do site www.auditsafe.com.br e colocamo-nos à disposição.
(*) Paulo Buainain é Consultor da AuditSafe especializado em Segurança Cibernética, Gestão de Riscos e Privacidade.
Você pode gostar disso também:-
-
O profissional de Segurança da Informação: Mercado e Futuro.
-
A importância de investir em Cyber Segurança
-
Como ocorre a técnica de Footprinting e Reconhecimento.
-
AuditSafe chega em Portugal para prover serviços integrados em riscos cibernéticos.
-
O papel do profissional de Segurança da Informação na sociedade.
-
Log4j: Conheça como a falha de segurança preocupa especialistas brasileiros.
-
Shoulder surfing: O que é visual hacking e como evitá-lo?
-
Como evitar cair em golpes de engenharia social?
-
Como os Frameworks te ajudam a quebrar a inércia na Segurança da Informação.
-
Assista agora: Crimes cibernéticos – Como evitar prejuízos para a sua empresa?