Engenharia Social

Em definição dada por Guilherme Junior (2010), a engenharia social pode ser definida como uma das técnicas utilizadas por pessoas objetivando obter determinadas informações ou acessos importantes ou sigilosos. Um exemplo comum e conhecido recentemente pode ser atribuído ao quadro 'o impostor', apresentado em programa de TV. O quadro mostra como uma pessoa qualquer, pode, através de persuasão e exploração da confiança das pessoas, adquirir acessos a locais privados, apenas convencendo as pessoas.

Para exercer tal ação, o engenheiro social pode se fazer passar por um profissional de determinada área, por outras pessoas, assumir determinada personalidade, entre outros. Levando-se em consideração que a maior fraqueza da segurança da informação são as pessoas, esta torna-se uma forma de entrar em organizações muito facilmente, pois explora a falha humana para o ataque.

Normalmente funcionários de empresas não possuem um treinamento adequado para tratar estes tipos de caso, podendo ser assim facilmente manipuladas nestas circunstâncias.

Para a utilização da engenharia social, o atacante busca explorar características humanas, como traços comportamentais e psicológicos, os tornando suscetíveis aos ataques. O autor cita também que as características mais comuns são:

✗ Vontade de ser útil: O ser humano, comumente, procura agir com cortesia, bem como ajudar outros quando necessário.

✗ Busca por novas amizades: O ser humano costuma se agradar e sentir-se bem quando elogiado, ficando mais vulnerável e

aberto a fornecer informações.

✗ Propagação de responsabilidade: Trata-se da situação na qual o ser humano considera que ele não é o único responsável por um conjunto de atividades.

✗ Persuasão: Compreende quase uma arte a capacidade de convencer pessoas, onde se busca obter respostas específicas. Isto é possível porque as pessoas têm características comportamentais que as tornam vulneráveis à manipulação.(Guilherme Junior, 2006)

O atacante, ao exercer o ato da engenharia social, busca quase sempre utilizar das características da vítima, buscando obter a confiança e o carisma das vítimas, para obter as informações desejadas. Para realização, o atacante pode fazer uso de qualquer meio de comunicação, como internet, telefonemas, e-mail, e até o contato pessoal com a vítima.

Com essas várias formas de realizar a engenharia social, a mesma pode ser definida em dois grupos: Direta e indireta. O ataque direto é aquele em que existe contato pessoal com a vítima, seja esta por fax, telefone, ou mesmo pessoalmente.

Para isso, o atacante efetua todo o planejamento detalhado antes da execução, sabendo exatamente os passos a serem tomados, caso ocorra até mesmo algum problema durante a execução do ataque. Para tal ação, um engenheiro social precisa ser, acima de tudo, uma pessoa bem articulada, evitando assim a descoberta de sua ação. Outra caraterística importante é ter determinado dom artístico, visto que normalmente se passa por alguém que não é, e assume um papel diferente de sua forma natural de agir.

Já o ataque indireto parte do princípio do uso de ferramentas de invasão, como trojans ou vírus, e de impostura, como spam e sites falsos, visando obter informações necessárias. Os tipos de ataque variam mediante a necessidade, porém atualmente é mais comum vermos ataques indiretos, tendo em vista a maior facilidade na atuação.

Dentre as técnicas de engenharia social mais utilizadas destacam-se o envio de e-mails que contenham vírus e os e-mails falsos, ambos frequentemente utilizados atualmente. No primeiro caso, a engenharia social é utilizada a partir do assunto contido nos e-mails, cuja função é iludir aqueles que receberão a mensagem, com assuntos possivelmente de interesse da vítima, como sexo, amor, amizade, entre outros. A partir do momento que a vítima recebe o e-mail, a maioria

crê que há realmente uma mensagem verdadeira contida, e acessa inocentemente o documento, vindo a executar o arquivo contaminado, e assim a contaminar seu computador. Neste caso, o objetivo do engenheiro social é criar uma mensagem convincente o suficiente, a ponto de despertar o interesse das vítimas, para acessar as mensagens.

No segundo caso, tratam-se de e-mails falsos, onde o atacante explorar a confiança dos destinatários, cuja função é obter informações financeiras, como senhas, contas de banco, entre outros. Diferentemente do primeiro caso, neste segundo, o engenheiro social não busca infectar a máquina do destinatário, e sim forçá-lo a acessar uma página falsa, clonada pelo atacante normalmente de alguma grande instituição, objetivando a vítima preencher seus dados nesta página, e desta forma, obter as informações desejadas, normalmente por e-mail. Informações comuns citadas neste tipo de ataque são artifícios como promoções, premiações, e outras vantagens em geral, onde na verdade não passam de informações falsas. No ato do ataque, o atacante encaminha o e-mail informando a tal vantagem recebida pela vítima, juntamente com o link que a encaminha para o site falso.

Antes que os ataques de engenharia social sejam realizados, o atacante passa por duas etapas. O primeiro, denominado pesquisa, é aquele em que o atacante busca informações necessárias sobre seu objetivo, como responsáveis pela informação que deseja, e pontos fracos a serem utilizados.

Após a coleta das informações necessárias, é começado o método de impostura, onde o atacante realiza o ataque direto, fazendo se passar por outra pessoa, seja ela um cliente, fornecedor ou funcionário de uma empresa, por exemplo, ou identificando-se como determinada empresa, no caso de envio de e- mails.

Para obtenção das informações, o atacante utiliza de falhas de empresas ou humanas, e também de seus dons. Sejam documentos importantes da empresa, localizados no próprio lixo da mesma, a partir de disfarces para acessos a empresa e seus dados, obtendo a confiança de funcionários descontentes com sua empresa, a ponto do mesmo lhe passar as informações desejadas. Essas e outras atitudes podem ser utilizadas por um engenheiro social.

Em suma, para que seja possível se defender de um profissional com

tamanha capacidade de enganar e conduzir as pessoas, é importante que as pessoas tenham, acima de tudo, cuidado e bom senso. Uma pessoa dotada de bom senso sabe que nenhuma oportunidade surge subitamente, muito menos solicitando dados de forma repentina, como ocorre com grande frequência nos e-mails enviados com este objetivo. Também é importante ficar atento, e não preencher números de cartão de crédito, contas bancárias, senhas, entre outros, sem prévia certeza que trata-se de uma situação verdadeira. Grandes empresas do governo, ou de bancos e cartões de crédito, por exemplo, deixam claro que não solicitam informações pessoais a partir de e-mails, e mesmo assim várias pessoas ainda passam tais informações quando solicitadas. Para que empresas minimizem este tipo de ataque, é importante também o investimento em cursos que abrangem a segurança da informação, ditando regras e mostrando circunstâncias presentes no dia a dia, que podem vir a acontecer.

Com procedimentos simples como estes, obtêm-se uma maior segurança contra este tipo de ataque, que ocorre com grande frequência, e utiliza do elo mais fraco da corrente (a vítima), para conseguir o que quer.