O tema mais comum que os profissionais de segurança deparam ao investigar violações de dados hoje, é o uso da engenharia social para coagir o usuário em uma ação que facilita a infecção por malware. Isso foi divulgado por Raj Samani, EMEA CTO da Intel Segurança e conselheiro do Centro Europeu de Cibercrime da Europol. Paul Gillen, European Cybercrime Centre at Europol também concordou que os cybercriminosos hoje, não necessariamente exigem conhecimento técnico substancial para atingir seus objetivos. Algumas ferramentas maliciosas e bastante conhecidas, são entregues usando e-mails spear-phishing e dependem de manipulação psicológica para infectar os computadores das vítimas. As vítimas visadas são persuadidas a abrir supostamente legítimos e atrativos anexos de e-mail, ou a clicar em um link no corpo do e-mail que parecia vir de fontes confiáveis.
Provavelmente, é bastante reduzido o número de organizações que tem o cuidado de verificar o que está sendo descartado da empresa e de que forma é realizado este descarte. E para quem não sabe, o lixo é uma das fontes mais ricas de informações para os Engenheiros Sociais. Em virtude desses acontecimentos, existem muitos relatos e matérias publicadas na Internet abordando este tipo de ataque, visto que através das informações coletadas no lixo podem conter nome de funcionários, telefone, endereços de e-mail, senhas, contato de clientes, fornecedores, transações efetuadas, entre outras informações relevantes; ou seja, este é um dos primeiros passos para que se inicie um ataque direcionado à empresa.
Informações Disponíveis na Internet e Principalmente nas Redes Sociais
Nos dias de hoje, o volume de informações que circula pela Internet é assustadoramente grande. Muitas informações podem ser coletadas através da Internet e das Redes Sociais sobre o alvo a ser atingido, pois os engenheiros sociais procuram sempre fazer uma abordagem que envolve minúcias sobre hábitos e comportamentos da pessoa. Quando um Engenheiro Social precisa conhecer melhor seu alvo, esta técnica é utilizada, iniciando um estudo no site da empresa para que possa haver melhor entendimento, além de pesquisas na Internet e uma boa consulta nas redes sociais a partir da qual é possível encontrar informações interessantes de funcionários da empresa, cargos, amizades, perfil pessoal, dentre outros elementos que podem ajudar os mal intencionados. Depois de coletar as informações que precisa, o Engenheiro Social pode utilizar uma abordagem através de uma ligação telefônica para obter acesso não autorizado, seja se passando por um funcionário da empresa, fornecedor ou terceiros. Com certeza a esta altura do campeonato, o Engenheiro Social já conhece o nome da secretária, nome e e-mail de algum gerente da empresa, e até colaboradores envolvidos na TI. Com um simples telefonema e técnicas de Engenharia Social se passando por outra pessoa, de preferência do elo de confiança da vítima, fica mais fácil conseguir um acesso ou coletar informações necessárias sobre a organização. Além do mais, o Engenheiro Social pode muito bem realizar uma visita na empresa alvo, podendo se passar por um fornecedor, terceiro, amigo do diretor, prestador de serviço, entre outros, no qual através do poder de persuasão e falta de treinamento dos funcionários, consegue sem muita dificuldade convencer um segurança, secretária ou recepcionista a liberar acesso ao datacenter, onde possivelmente conseguirá as informações que procura. Apesar desta abordagem ser muito arriscada, muitos criminosos já utilizaram e a utilizam-na até hoje.
Investidas Usando Técnicas de Phishing
Sem dúvida alguma, esta é a técnica mais utilizada para conseguir um acesso na rede alvo. O phishing pode ser traduzido como pescaria ou "e-mail falso": trata-se de e-mails manipulados, que carregam conteúdo malicioso e são enviados a organizações e pessoas com o intuito de aguçar algum sentimento de curiosidade, que faça com que o usuário aceite o e-mail e realize as operações solicitadas na mensagem maliciosa. Os casos mais comuns de Phishing são e-mails recebidos de supostos bancos ou outras instituições financeiras, nos quais afirmam que sua conta está irregular, seu cartão ultrapassou o limite, ou que existe um novo software de segurança do banco que precisa ser instalado, senão irá bloquear o acesso. Existe ainda um outro exemplo de phishing pode ser da Receita Federal informando que o CPF da pessoa está irregular ou que o Imposto de Renda apresentou erros. Sendo assim, eles dizem que para regularizar basta clicar em um link (malicioso, lógico, que consta no corpo do e-mail). Existem ainda as situações mais absurdas nas quais muitas pessoas ainda caem por falta de conhecimento, tais como, e-mail informando que você está sendo traído(a) e para ver as fotos do flagrante adultério, consta um link ou anexo, ou que as fotos de uma determinada festa já estão disponíveis no tal link, entre outros. A maioria dos e-mails de phishings possuem algum anexo ou links dentro do e-mail que direcionam para a situação que o cracker deseja.
Exploração das Vulnerabilidades Humanas
Como sabemos, o ser humano possui várias vulnerabilidades que são exploradas pelos engenheiros sociais, tais como confiança, medo, curiosidade, instinto de querer ajudar, culpa, ingenuidade, entre outras características. No livro "Segredos do H4CK3R Ético", escrito por Marcos Flávio Araújo Assunção, é abordada uma passagem interessante no capitulo "Manipulando Sentimentos" no qual, através do sentimento de curiosidade, um Cracker instalou um outdoor na frente da empesa alvo com as palavras "Compre seu celular de última geração de modo fácil: entregue seu aparelho antigo e, com mais um real, escolha aquele que você quiser ter". Logo abaixo da mensagem, constava o link do site. Claro que este site estava com códigos maliciosos, através do qual foi possível acessar vários computadores da organização, explorando fortemente vulnerabilidade de softwares e de sistemas operacionais. Conforme relatou Kevin Mitnick, a engenharia social usa a influência e o poder de persuasão para enganar as pessoas e convencê-las de que o engenheiro social é alguém que ele não é, ou mesmo pela manipulação. Como resultado disso, o engenheiro social pode aproveitar-se das pessoas para obter as informações com ou sem uso da tecnologia. Ele também acrescentou que, os engenheiros sociais habilidosos são adeptos do desenvolvimento de um truque que estimula emoções tais como medo, agitação ou culpa. Eles fazem isso usando os gatilhos psicológicos, que são os mecanismos automáticos que levam as pessoas a responderem as solicitações sem uma análise cuidadosa das informações disponíveis.
Saiba Mais:
[1] Net Security http://www.net-security.org/secworld.php?id=17977