Engenharia social consiste nas técnicas empregadas para se obter acesso à informação valiosa ou sigilosa, de uma pessoa, empresa, produto ou organização. São estratégias de espionagem que vão desde cartas, telefonemas, até buscas aos cestos de lixo.
Estes métodos na maioria dos casos são bem sucedidos, principalmente, por que o espião explora a boa vontade, a cortesia e a ingenuidade das pessoas, muitas vezes baseando-se nas normas da empresa para legitimar seus atos e iludir as vítimas. Apesar de grandes investimentos na área de segurança, grande parte das empresas ainda não está preparada para lidar com este tipo de problema. Independentemente do sistema de segurança adotado, há sempre um elemento mais vulnerável e principal alvo destes procedimentos criminosos, o ser humano.
Engenharia social consiste nas técnicas empregadas para se obter acesso à informação valiosa ou sigilosa, de uma pessoa, empresa, produto ou organização.
Ataques de engenharia social
Basicamente podem-se classificar os ataques em dois tipos: o direto e o indireto. Geralmente é utilizada pelo criminoso uma mistura de ambos para alcançar o objetivo desejado. Por exemplo, para fazer uma abordagem direta por telefone, se fazendo passar por outra pessoa para obter um e-mail ou senha, antes o invasor precisa conseguir muitas informações de modo indireto.
Ataque indireto: este tipo de ataque é o mais intrusivo, usando técnicas de invasão como cavalos de troia e sites com códigos maliciosos, ou de impostura como cartas, e-mails e sites falsos imitando os mais famosos. Os usuários que tem seus dados coletados nestes ataques, nem sempre são o alvo principal, servindo apenas de ponte de acesso aos dados de empresas, organizações ou governo.
Ataque direto: alguns hackers tem a ousadia de fazê-lo pessoalmente, mas geralmente são feitos por fax ou telefone, exigindo muito planejamento prévio de cada fase do ataque. Usando seus dons artísticos o invasor precisa ter um raciocínio muito rápido, caso algo dê errado, para não ser desmascarado.
Armas usadas na engenharia social
As táticas usadas pelos invasores começam principalmente pela elaboração dos planos de ataque, dividido em pesquisa e impostura.
Pesquisa: a obtenção de informações de relatórios e lista de pagamentos, contribuindo bastante na seleção dos alvos. As informações extraídas, por mínimas que sejam de um usuário, somadas as dos demais contribuem para um valiosíssimo arsenal de informações importantes para o ataque. Entre elas a localização onde trabalham, o sistema utilizado, hardware e nível operacional na empresa. A pesquisa é só o começo, porque muitas das informações não estão escritas, necessitando de combinação de informações e cruzamento de dados.
Impostura: de posse das informações ou sabendo quem as detém, o hacker se faz passar por outras pessoas, como clientes, fornecedores, agentes do governo e até mesmo funcionários da própria empresa com objetivo de subtrair informações mais valiosas.
Um personagem
O engenheireiro social dispõe de muitas alternativas de disfarce, se passando por faxineiro, entregador ou até um consultor, simplesmente usando uniforme, ou um terno e um crachá. A incorporação de um personagem é tamanha, que um hacker disfarçado de faxineiro faz o serviço de limpeza com muita dedicação, a ponto de ser elogiado, ganhando a confiança dos usuários e conseguindo mais oportunidades para espionar o ambiente.
O lixo de uma empresa é o lugar mais rico em informações para o invasor, com pedaços de papeis contendo rascunhos e senhas, relatórios financeiros, cadastros de funcionários. Sendo recolhidos pelo próprio invasor, que nem sequer espera que o material seja dispensado para a coleta.
Facilidades
Uma das formas mais fáceis de conseguir informações dentro de uma empresa é através de funcionários descontentes, muitas vezes facilitadas ao invasor. Explorar esta fragilidade torna-se fácil, pois os funcionários insatisfeitos com seus salários tendem a querer prejudicar seus superiores de alguma forma. Usando de apelo sentimental, o invasor usa suas táticas para seduzir e conquistar a confiança dos descontentes, simples, mas que funcionam. Com técnicas de programação neolinguística é possível confundir uma pessoa e faze-la concordar com você, fazendo com que na verdade a vítima acredite que a ideia foi dela.
Sites com formulários de cadastros que oferecem brindes ou certa vantagem aos usuários, são uma ótima maneira de se fisgar as vítimas. Nestes cadastros são conseguidas diversas informações pessoais, tais como dados pessoais, indícios comportamentais, até a obtenção do número de cartões de crédito, CPF e RG.
As vítimas vão desde as recepcionistas, administradores, até os funcionários da TI de uma empresa, que por mais segura que esta seja, se deixarem escapar uma informação, pode culminar em um ataque hacker e poupar o tempo deste em engenharia social.
Portanto cuidado!
Nem todo o ataque se dá por meio digital e nem toda a informação está escrita, assim sendo, é necessário criar um controle de acesso a usuários internos na empresa. Ainda assim, o hacker usará de suas técnicas para se aproximar do núcleo valioso da empresa.
Uma pesquisa indica que as empresas vítimas de ataques tiveram nos últimos dois anos mais de 25 ataques, custando às vítimas de 25 a 100mil dólares por incidente.
Autor: Everton Junior da Silva Costa
Fontes
Universidade Hacker – Henrique César Ulbrich e James Della Valle. São Paulo: Digerati Books, 2009.
http://idgnow.uol.com.br/seguranca/2011/09/21/ataques-de-engenharia-social-custam-caro-as-empresas-diz-estudo/