Artigos » Segurança Cibernética » Ferramentas de Engenharia Social
A Engenharia Social é uma técnica de ataque que se baseia na psicologia ao invés do conhecimento sofisticado de software ou hardware, pois busca explorar os erros humanos.
Nesse caso, o engenheiro social empregará estratégias destinadas a explorar os próprios preconceitos e crenças das pessoas de maneira a negar-lhes momentaneamente o serviço do bom julgamento e o uso de procedimentos padrão.
É interessante entender um pouco mais sobre o conceito de Engenharia Social, e também quais são as técnicas mais usadas por eles para atingir pessoas e a confiança das organizações.
Phishing
Primeiramente, é importante saber que o phishing acontece quando um invasor tenta obter informações confidenciais de usuários disfarçando-se de alguém confiável em um e-mail ou mensagem instantânea.
Tais mensagens podem, inclusive, ser para um só indivíduo ou para um grande grupo de usuários, geralmente aleatórios.
Atualmente, o phishing é a forma mais comum de ataque de engenharia social relacionado à segurança do computador. O alvo pode ser um sistema de computador e acesso às informações nele encontradas ou ainda pode ser informações pessoais, geralmente financeiras, sobre um indivíduo.
Smishing
O Smishing é uma versão de phishing via SMS.
Logo, ele começa com uma mensagem SMS direcionando o usuário para um URL, que pode servir a uma variedade de vetores de ataque, incluindo formas de malware.
Tal ataque acontece principalmente devido ao uso de urgência e intimidação na mensagem, podendo ser um aviso como “Você está inscrito no serviço XYZ, que vai acarretar em uma X cobrança. Clique aqui para cancelar.” Quando o usuário clica no URL, a próxima fase de ataque se inicia.
Vishing
Outra variação do phishing é o vishing, que utiliza a tecnologia de comunicação de voz para obter as informações que o invasor está procurando.
Ou seja, essa variação aproveita a confiança que algumas pessoas depositam na rede telefônica, não tendo noção de que os invasores podem falsificar (simular) chamadas de entidades legítimas usando a tecnologia Voice over IP (VoIP).
Dessa forma, o invasor espera obter números de cartão de crédito ou outras informações que possam ser usadas no roubo de identidade.
Em resumo, o phishing, smishing e o vishing são ataques contra o estado cognitivo dos usuários.
Spam
Em contrapartida, o spam, como outra ferramenta de Engenharia Social, se configura como um e-mail não solicitado, geralmente os enviam em massa.
No entanto, alguns não o consideram como um problema de engenharia social ou mesmo de segurança, mas ainda o veem como uma preocupação.
Ele pode ser legítimo no sentido de que foi enviado por uma empresa que anuncia um produto ou serviço, mas também pode ser prejudicial. E pode incluir um anexo que contém software malicioso, que projetam para complicar o sistema. Ou ainda pode possuir um link para um site malicioso que pode tentar obter informações pessoais.
Como o spam não é solicitado, deve-se sempre considerar a fonte antes de clicar em qualquer link ou responder diretamente.
Spear phishing
Aliás, spear phishing, também como ferramenta de Engenharia Social, é um termo criado para se referir a um ataque de phishing. O atacante visa uma pessoa ou grupo específico de pessoas com algo em comum.
Como o ataque tem como alvo um grupo específico, a proporção de ataques bem-sucedidos (isto é, o número de respostas recebidas) em relação ao número total de e-mails ou mensagens enviadas geralmente aumenta porque um ataque direcionado parecerá mais plausível do que uma mensagem enviada para usuários aleatoriamente.
Pretexting
Já o pretexting é uma forma de Engenharia Social na qual o invasor usa uma narrativa (o pretexto) para influenciar a vítima a fornecer algum tipo de informação.
Por exemplo, ele pode fazer uma ligação ao executivo sênior se passando por um colega da faculdade ou um colega administrador.
Claro, o pretexto não precisa ser verdadeiro: ele só precisa ser crível e relevante para convencer a vítima a prestar ajuda.
Portanto, o pretexting utiliza falsos motivos para manipular a vítima. O principal objetivo é ganhar a confiança do alvo e explorá-la. Um ataque de pretexto pode ocorrer de várias formas: pessoalmente, por e-mail, por telefone ou qualquer outra forma de comunicação.
Tailgating (ou piggybacking)
Outra técnica que não podemos deixar de destacar na Engenharia Social é o Tailgating.
Essa tática simples visa seguir de perto uma pessoa que acabou de usar seu próprio cartão de acesso ou PIN para obter acesso físico a uma sala ou prédio.
Geralmente as pessoas estão com pressa, e com frequência não seguem as boas práticas e procedimentos de segurança física. E os invasores sabem disso, podendo explorar essa característica no comportamento humano.
Assim, o invasor pode obter acesso à instalação sem precisar saber o código de acesso ou ter que adquirir um cartão de acesso. A ideia é tirar vantagem de um usuário autorizado que não está seguindo os procedimentos de segurança.
É possível combater esse ataque facilmente, treinando os funcionários para usar procedimentos simples para garantir que ninguém os siga de perto ou esteja em posição de observar suas ações.
Outra opção é quase uma armadilha: usar duas portas para obter acesso às instalações. A segunda porta não abre até que se feche a primeira, e espaçar as portas de modo que se forme um recinto permitindo apenas um indivíduo por vez.
Enfim, a eficácia dos ataques de Engenharia Social é em parte técnica e em parte psicológica. Esses ataques citados anteriormente e muitos outros métodos são usados o tempo todo.
Por isso, a interrupção da engenharia social começa com polícias e procedimentos que eliminam os caminhos usados por esses ataques.
Leia sobre como a biometria é uma ferramenta de cibersegurança!
Você ou sua empresa já passaram por uma das situações mencionadas? Comente e aproveite para ler os outros textos do blog.
E para se qualificar em Segurança Cibernética e outras áreas relacionadas a Segurança da Informação, aproveite as trilhas de formação do plano de assinatura da PMG Academy.
Categorias
Artigos Relacionados
Como passar na prova da ITIL Foundation
Como passar na prova da ITIL Foundation. Veja as boas práticas que irão te ajudar!
Carreiras e certificações na área de Governança de TI
Carreiras e certificações na área de Governança de TI Neste artigo, vou fazer um breve