“Engenharia Social” é o termo usado para definir o uso de persuasão por um hacker para influenciar as pessoas a concordar com um pedido de informação.
O Termo “Engenharia Social” foi popularizado por Kevin Mitnick, criminoso computacional reformado e atualmente consultor de segurança nos Estados Unidos da América (É a “Arte de Enganar”) .
Engenheiros sociais usam táticas para obter confiança, prestatividade e informações facilmente acessíveis usando de diversos ataques em escalas até seu objetivo final.
O verdadeiro objeto da engenharia social é a obtenção de vantagens.
O Engenheiro Social possui um perfil de pessoa agradável, agindo com educação, simpatia e carisma, sendo que suas principais características
Invasão tecnológica: é a aproximação por meio de enganar o usuário, e levá-lo a acreditar que está interagindo com um sistema eletrônico legítimo, e fazê-lo fornecer informações confidenciais. Por exemplo, uma janela “Pop-up” informando ao usuário que este precisa entrar novamente com sua identificação e senha: ao momento em que isto for feito, o dano está causado, e suas informações estão agora em posse do invasor.
Invasão humana: é feita através de enganação, tomando vantagem da ignorância da vítima, e da inclinação natural do ser humano de ser agradável e prestativo, desejando ser admirado.
Um invasor personifica uma pessoa de autoridade, solicitando ao funcionário de help desk que sua senha seja reformulada: o funcionário o faz, e passa a nova senha ao invasor, ignorante ao fato de que está colaborando com o ataque”.
Confiança
-
aproximação direta, especialidadetécnica
;
Ajuda e Prestatividade
-
Aproximação direta, Vozde autoridade
;
Ganância
-
Cavalo-de-tróia, Corrente de E-mail;Curiosidade
-
Cavalo-de-tróia, E-mails comconteúdo malicioso;
Medo de perder algo
-
Janela de Pop-up;Ignorância - Vasculhar Lixeira, Aproximação
Um hacker que gasta diversas horas
tentando romper senhas pode
economizar um grande tempo
simplesmente entrando em contato
com um funcionário da empresa-alvo
para obter as senhas.
há seis tendências da natureza humana que são
exploradas para extrair o consentimento sobre uma determinada solicitação:
◦Argumentação: um Engenheiro Social utiliza-se
de fatos, informações, e outras ferramentas para fazer com que sua mensagem seja aceita pelo alvo ou vítima.
◦Obediência: ao Obedecer, as pessoas
abandonam os julgamentos pessoais e
cooperam com a figura de autoridade, havendo submissão diante de pressões externas.
◦Ajuda: existem duas visões:
Visão Empática - trata do fato de que o ser humano se coloca na posição da pessoa que requer, ou parece precisar de ajuda. A pessoa preocupa-se com o apelo do outro, e se sente angústiado.
Visão da Solução do Problema - as pessoas querem ajudar (esforço, perigo, embaraço) e o ganho de benefícios, especialmente na questão da autoestima (aprovação, admiração).
◦Autoridade: quando alguém consegue passar a imagem de autoridade, as pessoas sentem-se intimidadas a obedecer mais, e agem de forma a mostrarem prestatividade com o objetivo inconsciente de ganhar recompensas, ou evitar punições.
◦Afabilidade: o engenheiro social, pode
passar-se por uma pessoa agradável ou ainda com crenças e interesses semelhantes ao da vitima, para assim atacá-la, com isso fica muito mais fácil a sua solicitação ser atendida.
◦Reciprocidade : podemos ter uma solicitação
atendida automaticamente quando a pessoa recebe algo de valor ou pelo menos tem a promessa de recebimento de tal valor, este valor, pode ser um presente ou até mesmo segundo ele um conselho, o que ocorre é a inclinação a retribuir tal presente.
◦Consistência: as pessoas tem a tendência a
atender as solicitações assim que fazem um compromisso publico ou após adotar uma causa, (honrar o nosso comprometimento).
◦Validade-Social: as pessoas tem a tendência a
atender ou cooperar com as solicitações, quando essa solicitação esta de acordo com o que as demais pessoas fazem.
◦Escassez: ao deparar com algo que encontra-se
em escassez ou que haja uma disputa pelo mesmo, a uma grande tendência de cooperação.
Criação de uma situação onde o agressor deve ajudar o alvo.
Exemplo: um agressor personificando um
empregado da área de TI, que faria contato com o alvo avisando de uma futura falha ou período onde o sistema ou energia elétrica, estará inoperante.
Depois, o agressor entrará em contato para
supostamente verificar se tudo ocorreu bem para criar um vínculo de confiança através de e-mails ou programas com conteúdo malicioso. A instalação de programas poderia ser parte de um upgrade. Persuasão e Argumentação Obediência e Autoridade Ajuda Autoridade Afabilidade Reciprocidade Consistência Validade-Social Escassez Abordagem Direta Vasculhando Lixeiras Espionagem Especialista Voz de Autoridade Cavalo-de-Tróia e Conteúdo Malicioso Pop-up
Abordagem Direta – exemplo: observar por cima do ombro dos outros é algo tão simples, que ninguém espera que ocorra.
Vasculhando Lixeiras - as organizações são em
geral ignorantes para o lixo que produzem, e frequentemente não reconhecem o risco que este representa à sua segurança. Com um pedaço de papel com a marca d’água de uma empresa, o agressor pode criar correspondências de propriedades quase legítimas.
Espionagem e Bisbilhotagem - um espião pode
descobrir senha apenas observando seu usuário enquanto este a digita, nas gavetas ou ouvindo conversas.
Especialista Técnico – o hacker pode personificar
funcionários de áreas de suporte e manutenção. O intruso pode agir como se fizesse algum reparo, enquanto espiona por informações valiosas deixadas à solta.
Voz de Autoridade - entrar em contato com
alguma área de suporte, e pressionar o funcionário de hierarquia mais baixa a fornecer informações.
Cavalo-de-Tróia - pode enviar conteúdo
malicioso contido em mensagens de e-mail enviado a destinatários aleatórios.
Janelas de Pop-up - gera uma janela de pop-up
requerendo informações.
Caso PayPal - serviço que intermédia
pagamentos via cartão de crédito para lojas de E-commerce. Em 2002 clientes receberam e-mails solicitando que recadastrasse os dados de seus cartões de crédito, afirmando que a empresa possuía falhas de segurança em seus sistemas.
Os e-mails pareciam genuínos, com logotipos e
letras genuínas.
Quando os clientes enviavam as informações, no
entanto, o agressor na verdade é que os coletava.
Teste de Segurança na Base Andersen - base da Força Aérea Norte americana, em 2010, teve de esclarecer um mal-entendido causado por um teste de segurança que utilizava um e-mail falso em sua rede.
O E-mail dizia que a produção de um famoso
filme de ação estava sendo iniciada em uma das bases da Força Aérea Americana, e que pilotos interessados em participar como atores
coadjuvantes deveriam preencher um formulário.
A medida que os pilotos respondiam ao chamado
falso, as informações vazaram para o público sobre a especulação produção do filme.
Estagiária de Enfermagem - em 2010 uma
adolescente de 15 anos, que sequestrou um bebê recém-nascido de uma maternidade em São Paulo. A adolescente entrou no Hospital
maternidade vestindo um jaleco branco, apresentando-se como uma estagiária de enfermagem. Não conseguiu informações no balcão de atendimento porque uma funcionária recusou os documentos. A garota foi até a maternidade e pegou um bebê que estava com a mãe, afirmando que levaria a criança para passar por exames, e que ela seria devolvida em breve. Seu pai à delegacia.
E-mails Falsos - é comum receber diversas
comunicações maliciosas. Sejam estas
propagandas, ou mensagem com objetivos mal intencionados, a cautela deve sempre estar presente ao lidar com o correio eletrônico.
Alguns fazem se passar por empresas
Utilizar a segurança combinada as políticas de segurança, que servem para definir as regras para o comportamento do empregado, não esquecendo a sua educação e treinamento (conscientização).
Solicitar a identidade de quem a solicita
informações;
Verificar se uma pessoa tem mesmo a autoridade
que informa ter durante uma determinada solicitação.
Saber como tratar uma solicitação suspeita (para
que departamento ou profissional relatar as tentativas de ataques ou ataques bem sucedidos);
Sempre questionar todos que realizam
solicitações suspeitas.
Cada colaborador deve atender às políticas e
também as implicações do seu não atendimento;
Questionar pessoas sem identificação nas
dependências da empresa, sem uso de identificações como por exemplo crachás;
Eliminar corretamente os documentos ou mídias
que armazenam ou armazenaram documentos confidenciais.
Os crachás dos empregados devem ser criados
para incluir uma foto grande que possa ser reconhecida à distância (inclusive para
• O Fator Humano é “O Elo mais fraco da Segurança”;
• O Risco jamais é eliminado por completo, apenas reduzido;
• As Políticas de Segurança, os Métodos e Práticas de Prevenção devem sempre ser adaptados às necessidades de cada organização;
• A Segurança deve ser um fator de constante preocupação, e ser tratado como um fator estratégico das organizações;