O que é Engenharia Social?

É sabido que, em questões de segurança, o elo mais fraco é o usuário. Partindo dessa premissa, é possível entender melhor a Engenharia Social, um conjunto de técnicas e ferramentas que alguns utilizam para enganar ou manipular um usuário legítimo e, dessa forma, obter informações confidenciais com o objetivo de utilizá-las para explorar determinadas vulnerabilidades e (geralmente) obter algum benefício monetário.

No entanto, esta não é a única razão para praticar a Engenharia Social. Pode ser simplesmente porque o invasor está tentando satisfazer sua curiosidade ou talvez esteja executando uma auditoria de segurança e, claro, usará todas as técnicas que conhece.

Tendo em conta o exposto, a Engenharia Social não é eminentemente negativa (pode ajudar a reforçar a segurança) mas, como em muitos casos, pode ser utilizada para fins maliciosos, sobre os quais alerto neste artigo.

O invasor, por meio de suas habilidades sociais, pode tirar muita vantagem e, se fizer uso de determinadas ferramentas de software, é muito provável que o usuário revele informações sigilosas sem perceber. Neste ponto, faz sentido perguntar: por que gastar tanto tempo em um elaborado ataque à tecnologia quando podemos atingir os humanos diretamente?

Quando se fala em Engenharia Social é inevitável mencionar Kevin Mitnick, um dos mais famosos engenheiros sociais que tem contribuído com muito conhecimento para a comunidade a respeito deste tema e que atualmente é consultor de cibersegurança do ponto de vista da Engenharia Social.

Antes de ter sua própria empresa, Mitnick passou por diversas dificuldades na década de 1990. De fato, devido ao seu trabalho, passou cinco anos em uma prisão nos Estados Unidos, dos quais oito meses ficou isolado porque as autoridades temiam que ele pudesse fazer algo outra coisa, com suas habilidades "míticas".

A partir de sua vasta experiência, Kevin Mitnick classificou as estratégias de Engenharia Social em quatro princípios:

• O primeiro movimento é sempre a confiança no outro

Geralmente confiamos nas pessoas pela primeira vez e os engenheiros sociais sabem disso. Por isso trabalham com muita rapidez e se encarregam de conquistar nossa confiança, para isso estão muito bem informados sobre seu objetivo e conhecem o máximo de dados possível: gostos, preferências, profissão, hobbies e muito mais.

Uma vez coletadas essas informações, eles abordam a vítima participando de seus mesmos fóruns, redes sociais ou compartilhando na mesma comunidade. lugares frequentados, hobbies e muito mais.

• Todos os seres humanos querem ajudar

Ajudar está em nossa natureza como seres humanos. Os engenheiros sociais estão encarregados de explorar esse instinto e aproveitá-lo para extrair informações de usuários legítimos. Muitas vezes basta que nos contem uma história triste ou moderadamente trágica e fazemos todo o possível para resolver o problema.

Daí surgem aqueles links maliciosos que nos são enviados para que assinemos uma petição a favor de ajudar a salvar uma determinada espécie em extinção ou para tirar alguém acusado injustamente da prisão. Uma vez conquistada a confiança, o engenheiro social pede um favor ou colaboração com muita gentileza e respeito. Em um contexto de negócios, você pode se passar por membro do suporte técnico da empresa e solicitar credenciais.

• Nós não gostamos de dizer não

Novamente, é como um instinto que não podemos evitar. A partir do momento que recebemos um pedido de suporte, nossa primeira reação é dizer sim, e neste momento o invasor já conta com a nossa confiança, que usará para extrair informações confidenciais.

A necessidade de validação social que os humanos têm pode ser explorada para nos incitar a algo que possivelmente não queremos ou não entendemos completamente. Porém, na tentativa de se enquadrar, a vítima cai na armadilha armada pelo engenheiro social.

• Todos nós gostamos de ser elogiados

Muitas vezes, o ego é nosso maior inimigo. É por isso que caímos quando recebemos um e-mail dizendo que somos os sortudos ganhadores de um prêmio mesmo sem ter participado de nada, ou quando navegamos na internet e vemos um anúncio dizendo que somos o 100.000º visitante e por isso recebemos um bônus. Basta clicarmos em um link que não sabemos para onde nos leva.

Existem muitas técnicas para aplicar a Engenharia Social, mas não há dúvidas de que a técnica mais utilizada é o Phishing.

Phishing é uma técnica usada por cibercriminosos para roubar informações por meio de links maliciosos que eles enviam, por e-mail, aplicativos de mensagens ou qualquer outro meio de comunicação. O remetente se faz passar por uma empresa ou entidade legítima e convence a vítima a fornecer informações sigilosas como credenciais, dados bancários, entre outros.

Um exemplo muito simples de ferramentas de phishing é o SET (Social Engineering Toolkit), um aplicativo que os cibercriminosos infelizmente podem facilmente baixar, instalar e usar contra nós.

Antes de continuar, é importante ressaltar que as informações que serão mostradas a seguir serão específica e exclusivamente com a finalidade de mostrar como é fácil para o invasor. Em nenhum momento essas práticas são promovidas. Devemos estar sempre alertas atentos a esses tipos de ataques!

SET é um conjunto de ferramentas utilizadas para realizar ataques de Engenharia Social, através de uma máquina virtual Kali Linux. Segue abaixo uma das versões da tela inicial da ferramenta:

Uma vez realizado o processo com SET, o atacante passa a enviar um link para a vítima e convencê-la a inserir seus dados de login, com todos os métodos que discutimos anteriormente, quando a vítima inserir suas credenciais, a página clonada será exibida eles na ferramenta.

No entanto, apenas ficará evidente para o usuário que houve um erro ao fazer login, ele será redirecionado para a página original e poderá entrar em sua plataforma normalmente, sem saber que forneceu informação confidencial para invasores com intenções maliciosas e antiéticas.

É possível que ao ler estas informações você pense que é muito cuidadoso/a, que essas coisas não podem acontecer com você, é excelente que você seja cuidadoso/a, mas isso não permite que você baixe a guarda, nunca estamos totalmente claro.

Como exemplo está a história de um executivo que dirigia uma empresa, um dia decidiu auditar e remediar a segurança informática, garantiu que não poderia ser vítima de um ataque cibernético porque nunca partilhou mais informação do que o necessário, seguiu todas a segurança das instruções, etc. O gerente de auditoria deu a ele uma lição valiosa.

Ele começou a investigar o executivo e descobriu que ele era um colecionador de moedas, então ele se infiltrou na comunidade que compartilhava esse hobby, fóruns e grupos nas redes sociais, esse era seu meio de abordar e falar sobre uma coleção fictícia de moedas que ele tinha herdou e precisou vender para pagar o tratamento médico de sua esposa.

O executivo mordeu a isca, concordou em comprar a coleção de moedas raras e para continuar a comunicação compartilhou seu e-mail corporativo, com isso o auditor, que fazia o papel de engenheiro social, usou algumas ferramentas de phishing e conseguiu encontrar cada vez mais informações. Ao final de sua auditoria, ele apresentou os resultados e explicou o que havia feito, demonstrando que o elo mais fraco da cadeia de segurança é sempre o usuário.

O phishing é apenas uma das muitas estratégias usadas pelos engenheiros sociais. Abaixo está uma lista de outros ataques de Engenharia Social:

• Tailgating: Consiste em seguir de perto a vítima. No reino físico, pode ser seguir alguém até uma sala onde informações confidenciais ou até mesmo ativos valiosos são mantidos, observando o processo de entrada e, em seguida, tentando explorar. Outro exemplo é ficar perto de alguém enquanto ele digita sua senha na plataforma de interesse ou até mesmo credenciais de computador.
  
• Baiting: este é o caso típico de um dispositivo de armazenamento removível infectado (USB, CD, DVD). O engenheiro social o coloca em um local de fácil acesso como um restaurante, na rua, na biblioteca da universidade ou na copiadora da empresa. A vítima encontra o dispositivo e, geralmente por curiosidade, o insere em seu computador. É quando o dispositivo instala e executa um software malicioso para extrair informações.
  
• Scareware: é considerado malware porque é um software desenvolvido para incutir medo e, com isso, persuadir a vítima a executá-lo. Por exemplo, usar um antivírus falso para induzir o usuário a pensar que está infectado e que precisa executar algumas ações no computador com privilégios de administrador. A vítima se assusta e concede as permissões de execução, mas na realidade o que ela executa é o software malicioso que irá extrair todas as suas informações confidenciais.
  
• Watering hole: Esse ataque consiste em “envenenar” um aplicativo da web legítimo, injetando nele um código malicioso para persuadir a vítima a fornecer informações confidenciais e baixar softwares nocivos, como ransomware, por exemplo.
  
• Quid pro quo: É latim e significa "uma coisa por outra". A vítima é levada a acreditar que receberá um serviço ou benefício em troca de suas informações, o invasor pode se passar por um agente de atendimento ao cliente ou fazer a vítima acreditar que ganhou um concurso e só precisa fornecer determinadas informações.
  
• Vishing: Por meio de telefonemas que falsificam uma pesquisa do governo ou o plano de melhoria contínua de uma empresa, o engenheiro social convence a vítima a fornecer informações sigilosas ou confidenciais.

Prevenção acima de tudo

E a lista continua. Assim, conhecendo todos esses perigos e exemplos, podemos nos perguntar: Como me proteger de um ataque de Engenharia Social? A resposta é que nunca estaremos totalmente protegidos, mas as seguintes recomendações podem ser seguidas para sermos menos propensos a um ataque deste tipo:

• Manter a privacidade ao mais alto nível possível e configurar as redes sociais (pessoais e profissionais) de forma a não fornecer informações que possam ser utilizadas para nos manipular ou extrair mais dados.
  
• Use senhas fortes que atendam a todos os padrões e altere-as com frequência. O recomendado é a cada dois ou três meses e, claro, não usar a mesma senha em todas as nossas plataformas: se uma senha for violada, o resto fica seguro.
  
• Configure a autenticação de dois fatores.
  
• Esteja sempre atento a questões delicadas. Nenhum banco ou entidade respeitável solicita credenciais ou informações confidenciais por telefone ou e-mail. Portanto, a partir do momento em que a outra pessoa solicita informações confidenciais, a comunicação deve ser cortada.
  
• Mantenha-se sempre informado e eduque-se sobre o assunto. Não é necessário ser um especialista, mas é necessário ter conhecimentos básicos para estar ciente dos riscos e como evitar cair nesse tipo de ataque.

Espero que esta informação tenha sido útil. Até logo!