Tudo sobre Engenharia Social

A tecnologia e seus conceitos não são compostos atualmente apenas de computadores e softwares, mas também de pessoas que executam e controlam esses componentes. Apesar de fazerem parte deste conjunto de sistemas e tecnologias em uma camada “externa”, o fator humano não é considerado da forma que deveria. 

Por isso uma das formas mais antigas de ciberataques continua fazendo muitas vítimas, mesmo em tempos tão modernos. A engenharia social nesse contexto se refere a técnicas que exploram as fraquezas humanas e as manipulam para que haja a quebra de algum procedimento de segurança. Todos estão sujeitos a serem vítimas de um agente malicioso utilizando engenharia social, pois estas pessoas não dependem de tecnologia ou códigos maliciosos, apenas de um bom conhecimento sobre os sentimentos humanos e do perfil de sua vítima. 

Engana-se quem acredita que, por estarem armazenadas em sistemas computadorizados, os dados e informações sensíveis estão livres de serem capturadas por este tipo de ataque. No entanto, hackers e atacantes em geral precisam apenas de pequenas ações de usuários para autorizar seu acesso a um sistema. Para alcançar esse objetivo, esses agentes maliciosos utilizam links ou arquivos infectados para atrair seus alvos.

De fato, seres humanos são mais fáceis de hacker do que máquinas, pois todos estão sujeitos a terem suas emoções exploradas por quem utiliza técnicas de engenharia social. Para efetuar um ataque desse tipo, o agente malicioso diminui o grau de julgamento da vítima, elevando os seus níveis de sentimentos no momento da abordagem e fazendo a vítima se sentir ansiosa ou extremamente alegre, por exemplo, e assim não conseguindo perceber a real intenção do agente.  

Este resultado pode ser alcançado através de uma suposta mensagem eletrônica solicitando o envio urgente de informações do último projeto, ou uma ligação informando o sorteio de uma viagem. No entanto, o usuário supostamente deve confirmar seus dados de pagamento para receber o prêmio. Em ambos os casos, o sentimento despertado inibe o senso de julgamento, que poderia, por exemplo, verificar o domínio do remetente do e-mail ou considerar a ligação de uma empresa de cartão de crédito que não possui nenhum de seus dados. 

Anos atrás, os ataques de engenharia social eram praticados pessoalmente ou através de ligações telefônicas, o que ainda é comum em alguns casos. O atacante se aproximava da vítima transparecendo simpatia e educação, e com as perguntas certas, que conseguiriam tirar da vítima as informações necessárias para o agente concluir seu ataque. Isso continua acontecendo atualmente, porém no ambiente digital. Neste caso, nem mesmo firewalls, autenticação em dois fatores, biometria, tokens ou qualquer outra medida de proteção poderiam evitar o vazamento de dados, ou a aproximação do agente malicioso.

Conforme pesquisa “2019 Data Breach Investigations Report” da Verizon, foi constatado que, entre os anos de 2013 e 2018, 33% dos vazamentos de dados foram causados por engenharia social, e ainda que 32% de vazamentos de dados são realizados através de técnicas de phishing. Assim, mesmo com todo avanço da tecnologia para garantir a segurança dos dados, o número de vazamentos não diminuiu ao longo dos anos. Neste caso, o problema não está na tecnologia em si, e sim no comportamento humano. 

Infelizmente, o elo mais fraco em um sistema é exatamente aquele que controla e gerencia o sistema, e que pode ser manipulado com algumas incitações aos seus sentimentos. Existem alguns meios que os agentes que utilizam engenharia social utilizam para realizar ataquem. Os mais populares são: abordagem direta, vishing, dumpster diving, phishing, spearphishing, whaling phishing, baiting e ROSE.

Na abordagem direta, o atacante se aproxima pessoalmente da vítima, se tornando amigo ou revelando interesses em comum para que um vínculo de confiança seja criado e a vítima entregue as informações que ele deseja.  Vishing são ataques de phishing realizados através de uma ligação telefônica, utilizando nomes de instituições financeiras, empresas de cobrança e outros. Ao empregar essa técnica de ataque, os agentes maliciosos muitas vezes já sabem o nome da vítima e utilizam o protocolo de ligação muito parecido com o da empresa ao qual ele se diz pertencer: o cenário é bem planejado, com som ambiente de fundo, e o uso de sistemas URA, tornando toda a ligação algo muito real para vitima, que acredita e entrega as informações que lhe foram solicitadas.

Nesses tipos de ataque, os agentes maliciosos podem comprometer não só indivíduos em particular, mas organizações inteiras. É possível citar também casos de ligações falsas para empregados de empresas, supostamente alegando que a área de Suporte Técnico necessita das credenciais de acesso da vítima para realizar alguma atualização, ou até mesmo o falso técnico ir pessoalmente realizar a investida.  

Dumpster diving (ou mergulho no lixo, de forma literal) é uma forma de engenharia social em que as pessoas literalmente mergulham no lixo em busca de documentos ou dispositivos que foram descartados no lixo. Esse material pode conter informações confidenciais, e não receberam as devidas tratativas de segurança. Muitos dados sensíveis podem ser encontrados em lixos de empresas, proporcionado uma maneira simples de vazar dados. 

Phishing e spearphishing são possivelmente os métodos mais conhecidos de engenharia social. Phishing é o método que utiliza um e-mail ou página web falsa para capturar a vítima. Esse ataque tem poder limitado, pois não é feita uma pesquisa prévia sobre a vítima e as páginas web não são exatamente iguais às originais. Ainda assim, qualquer um pode ser alvo deste tipo de ação. Spearphishing por outro lado tem abordagens mais especificas: os atacantes escolhem a vítima mais atrativa, e focam seus esforços em produzir e-mails ou sites que deixam o mínimo de dúvidas possível sobre a sua veracidade. Whaling phising é exatamente igual ao spearphishing, porém o seu ataque é ainda mais direcionado apenas a CEOs, CFOs e outros membros da alta administração da organização. 

Em outras ocasiões o agente malicioso pode usar o método de baiting – ou isca – onde podem utilizar uma mídia (ex: CD, pendrive) infectada com um malware em locais estratégicos, onde possam despertar a curiosidade dos empregados para abrirem os arquivos infectados nas estações que o atacante deseja comprometer. 

O último tipo de técnica utilizada para ataques de engenharia social pode ser o mais desconhecido para muitos, mas já é bastante popular entre aplicativos de relacionamento. Essa técnica é chamada de ROSE (Remote Online Social Engineering ou Engenharia Social Remota Online), e se baseia no desenvolvimento de relacionamento virtual entre atacante e seu alvo para conseguir as informações desejadas.

Os atacantes que utilizam a técnica ROSE criam perfis falsos de profissionais altamente qualificados que, ao abordarem outros profissionais reais em redes sociais, como Facebook e LinkedIn, criam vínculos profissionais e de amizades, além de trocarem experiências da vida real. Muitas vezes, a vítima acredita que está em contato com possíveis clientes e sócios de negócio, e assim estão sujeitos a revelar mais do que deveriam. O sucesso da ROSE se faz pelo empenho do agente malicioso em criar um personagem o mais real possível, que possui amigos, família, perfil profissional e todo um histórico que possam passar por um cenário real.  

Todos esses métodos podem ser bem-sucedidos se as vítimas não tiverem conhecimento dos perigos de se acreditar em tudo. Em uma outra pesquisa intitulada “Best Practices for Implementing Security Awareness Traininge” realizada pela Osterman Research foi observado que em muitos casos a aplicação de treinamentos aos usuários surge tanto efeito na segurança de uma organização quanto dispositivo e infraestrutura de segurança. 

Algumas maneiras de treinar usuários de uma organização sobre o tema Engenharia Social:

• Palestras ou bate-papo com os funcionários sobre os perigos da engenharia social, e como evitá-la;
• Vídeos educacionais sobre o tema;
• Testes em funcionários pré-selecionados;
• Testes para todos os funcionários. 

Vale lembrar que os treinamentos devem ser realizados com certa frequência, a fim de garantir que os usuários não esqueçam o assunto, pois com certeza os agentes maliciosos nunca se esquecerão deles como vítimas. 

Em relação a esses treinamentos, podem ser consideradas boas práticas no desenvolvimento de um treinamento são: 

• Segurança deve estar em todos os níveis: desde a alta gestão até o operacional;
• Garantir que o treinamento cubra todos os aspectos necessários do tema;
• Assegurar que os treinamentos serão frequentes;
• Realizar testes;
• Estar adaptável a mudanças;
• Não punir erros.

É importante frisar que as tecnologias podem ajudar e evitar muitas vulnerabilidades, porém não as que envolvem o ser humano. Assim, não é possível evitar que um funcionário divulgue informações confidenciais em sua rede social, ou clique em um link malicioso no corpo de um e-mail. 

Está claro que por mais que a tecnologia avance, a engenharia social continuará sendo um ponto de atenção para todos que desejam proteger os seus sistemas. Phishing, vishing e até ROSE são perigos reais e um erro cometido diante de um desses ataques pode causar um dano inimaginável. Mesmo com o emprega de tecnologias e soluções avançadas em Segurança da Informação, treinar empregados próprios, terceiros e fornecedores para lidar com essas situações é mais que necessário, é um imperativo para garantir a continuidade dos negócios em qualquer organização.