"A engenharia social tem desempenhado algum papel em quase todas as grandes práticas de hack que você tem lido ao longo dos últimos anos; no entanto, a competição deste ano ilustra claramente o quão mal as empresas estão preparadas para se defender contra ataques de engenharia social", disse Chris Hadnagy, Chief Human Hacker da Social-Engineer, Inc.
"Enquanto continua a haver melhorias na qualidade e na preparação dos concorrentes, não houve quaisquer melhorias significativas por parte das empresas para proteger as informações disponíveis na Internet, educar e preparar os funcionários contra um engenheiro social experiente. Por exemplo, um participante foi capaz de encontrar um documento de help desk, e garantiu que forneceu log em credenciais somente para empregados do portal on-line da empresa-alvo. É desanimador notar que, depois de anos de ataques e anos de advertências, essas valiosas peças de informação ainda são tão facilmente encontrados e explorados."
Captura de Flags e Utilização de Redes Sociais
No SECTF, os concorrentes tentam capturar "flags" - parte específica de informação que poderia ser usada para penetrar com êxito nas empresas-alvo. No primeiro segmento da competição, aos concorrentes foram dadas duas semanas para reunir o máximo de informações sobre o seu destino utilizando a informação obtida somente através do Google, LinkedIn , Flickr, Facebook, Twitter, sites corporativos e de outros sites da Internet. Durante esta fase de coleta de informações, os concorrentes poderiam tentar capturar o maior número de bandeiras pré-definidas quanto possível, mas não conseguiu contato com a empresa ou seus funcionários.
Os participantes, então, realizaram uma parte chamada Live do evento durante a DEF CON 21. Neste segmento da competição, os engenheiros sociais utilizaram pretextos estabelecidos na fase de coleta de informações, para os funcionários da empresa obterem mais informações. As flags capturadas durante a fase de Open Source Information (OSI), foram obtidas através de informações encontradas on-line, sem qualquer interação com os indivíduos nas empresas-alvo. As informações recolhidas na Internet permitiram que concorrentes, pudessem capturar mais de duas vezes a quantidade de pontos obtidos na parte chamada Live da competição, apesar de que as flags OSI foram avaliadas com a metade dos pontos de seus colegas de chamadas feitas em modo Live.
Flags, Ataques, Phishing e Vulnerabilidades
As duas flags mais comumente encontradas foram o navegador e o sistema operacional das empresas-alvo. Com essas duas informações , a maneira mais simples para um atacante violar a segurança da rede seria através de um e-mail phishing alvo, contendo os arquivos que quer liberam malware ou levariam o alvo a clicar em um site malicioso, visando vulnerabilidades específicas para seu navegador ou sistema operacional.
Informações e Favorecimento de Invasões
Além disso, a flag capturada durante a fase de coleta de informações seria muito útil para um invasor mal-intencionado, para o desenvolvimento de pretextos fortes - como posar como um membro da equipe de defesa - a fim de poder coletar informações que podem ser, inadequadamente, protegidas. Também é de extrema importância, que todas essas metas tenham entregue a cada um dos flags predefinidos, pelo menos uma vez durante a competição.
"Com base em todos os dados e as nossas observações, podemos concluir que a engenharia social continua a ser um risco de segurança enorme para as organizações", continuou Hadnagy. "Este é o nosso quinto ano consecutivo de realização do evento, e apesar das inúmeras falhas de segurança de alto nível no setor comercial, não vimos melhorias consistentes que abordam diretamente o fator humano de segurança. Nosso objetivo sempre foi, e continua a ser, a Segurança através da Educação".
O SECTF é realizado para aumentar a conscientização sobre a ameaça contínua representada pelas práticas cada vez mais ousadas de engenharia social, e para fornecer uma demonstração ao vivo das técnicas e táticas usadas pelo invasor mal-intencionado.
Saiba Mais:
[1] Net Security http://www.net-security.org/secworld.php?id=15856