Engenharia Social

Introdução


Engenharia Social Consiste em Técnicas Utilizadas por Pessoas com o Objetivo de Obter Acesso e Informações Importantes e/ou Sigilosas em Organizações ou Sistemas por Meio da Ilusão ou Exploração da Confiança das Pessoas. Para isso o Engenheiro Social (Atacante) Pode se Passar por Outra Pessoa, Assumir Outra Personalidade, Fingir Que é Profissional de Determinada Área, Dentre Outros. Esta é uma Forma de Entrar em Organizações Muito Facilmente, Pois Não Necessita da Força Bruta ou de Erros em Máquinas, A Engenharia Social Explora Sofisticadamente as Falhas de Segurança Humanas, Que Por Falta de Treinamento Para esses Ataques, Podem ser Facilmente Manipuladas. As Vítimas de Engenharia Social É Importante Ressaltar Que, Independente do Hardware, Software e Plataforma Utilizada, O Elemento de Maior Vulnerabilidade em Qualquer Sistema é o ser Humano, por Possuir Traços Comportamentais e Psicológicos que o Torna Susceptível a Ataques de Engenharia Social. Dentre Essas Características, Podem-se Destacar:

• Vontade de ser Útil: O Ser Humano, Comumente, Procura Agir com Cortesia, Bem Como Ajudar Outros Quando Necessário.

• Busca por Novas Amizades: O ser Humano Costuma se Agradar e Sentir-se Bem Quando Elogiado, Ficando Mais Vulnerável e Aberto a Fornecer Informações.

• Propagação de Responsabilidade: Trata-se da Situação na Qual o ser Humano Considera que Ele Não é o Único Responsável por um Conjunto de Atividades.

• Persuasão: Compreende Quase uma Arte a Capacidade de Convencer Pessoas, Onde se Busca Obter Respostas Específicas. Isto é Possível Porque as Pessoas têm Características Comportamentais que as Tornam Vulneráveis à Manipulação.

 

Técnicas


Praticamente Todas as Técnicas de Engenharia Social Consistem em Obter Informações Privilegiadas Iludindo os Usuários de um Determinado Sistema Através de Identificações Falsas, Aquisição de Carisma e Confiança da Vítima. Ao Realizar o Ataque, o Atacante Pode Fazer Uso de Qualquer Meio de Comunicação. Tendo-se Destaque Para Telefonemas, Conversas Diretas Com a Vítima, e-mail e msn e Outros. Algumas Dessas Técnicas São:
e-mails Que Contenham Vírus Neste Caso a Engenharia Social Atua Através do Assunto Contido nos e-mails, Cuja Função é Iludir os Receptores, O Assunto Pode Estar Relacionado à Amizade, Sexo, Amor, Noticias Atuais Dentre Outros Muitos. Quando a Vítima Recebe este e-mail ela Torna-se Vulnerável Por Acreditar que a Mensagem Realmente Contenha Algo Sobre Tal Assunto, Vindo Assim a Abrir e Executar o Anexo que Então Contém o Vírus. A Função do Engenheiro Social Neste Caso Será Criar uma Mensagem Capaz de Convencer o Receptor Sobre Sua Veracidade Despertando Assim sua Curiosidade Fazendo-o Executar o Anexo ou Clicar Em Um Link. E-mails Falsos Este Tipo de Ataque Envolve a Engenharia Social, Pois Explora a Confiança dos Receptores de Tais e-mails. Estes na Maioria das Vezes Visam Obter Informações Financeiras, Como por Exemplo, Senhas, Números de Contas e etc.
O Trabalho do Engenheiro Social Neste Caso é, Como Dito no Exemplo Acima, Clonar um Site (Pagina Fake) de uma Instituição Financeira e Fazer com que a Pessoa Receptora Digite ali as Informações que lhe são Necessárias. Muitas Vezes o Engenheiro Social faz uso de Artifícios como, por Exemplo, Promoções, Premiações e etc, Que na Verdade Nunca Vieram a Existir. O Atacante por Meio de e-mail Envia como Conteúdo Estes Artifícios Juntamente com um link Direcionando à Pessoa Atacada para um Site Falso, e Será Neste Site que ele Obterá as Informações Desejadas, Caso Obtenha Sucesso no seu Ataque.

 

Qualificação Dos Ataques


Abordaremos Aqui os Tipos de Ataques Realizados pelo Engenheiro Social.
Basicamente são dois os Tipos de Ataques Desenvolvidos, os Denominados Ataques Diretos e os Ataques Indiretos. O Ataque Direto é Caracterizado Pelo Contato Pessoal, este Geralmente é Realizado por Fax, Telefone ou Até Mesmo Pessoalmente, o Que Exige do Atacante um Plano Antecipado e Detalhado, Um Plano de Emergência, Caso Algo Venha a Dar Errado, Além de um Pouco de Dom Artístico, Pois o Engenheiro Social deve Acima de Tudo ser bem Articulado para Evitar que seu Plano seja Desmascarado.

Caracteriza-se Ataque Indireto Aquele que Utiliza-se de Ferramentas de Invasão (Trojans, Keyloggers, Worms e Outros) e de Impostura (Spam, Sites Falsos) para Obter as Informações Necessárias. Métodos Utilizados Pelo Atacante Os Principais Métodos Utilizados pelos Engenheiros Sociais para Realizarem seus Ataques São: Pesquisa e Impostura. Refere-se à Coleta de Materiais, Como Relatórios, Listas de Pagamentos e Etc. A Finalidade Deste Método é Descobrir Quem Guarda as Informações e Quais São Elas. Sabendo-se Disso o Próximo Passo é Elaborar Meios Para Extrair Tais Dados de Tais Pessoas, É Neste Momento que Surge a Impostura. Impostura Este Método Visa Realizar um Ataque Direto, Fazendo-se Passar por Outras Pessoas, Como Funcionário da Própria Empresa, Clientes, Fornecedores e Etc. Figuras da Engenharia Social São Várias as Figuras Encontradas em um Ataque de Engenharia Social, Algumas Utilizadas Apenas na Fase de Coleta de Informações, Outras Utilizadas Apenas na Fase de Ataque Direto e por fim Algumas que são Utilizadas Durante Todo o Processo de Realização do Ataque, Dentre elas Podemos Destacar:

 

Disfarces


Geralmente os Disfarces são Utilizados Durante Todo o Processo de Ataque, Seja Como Faxineiro Durante o Processo de Coleta das Informações ou Como Consultor em Visita Durante um Ataque Direto. São Poucas as Empresas que se Preocupam com o Destino do Lixo que é Gerado em seu Ambiente, Tornando-o Assim uma Fonte Potencial de Informações para os Engenheiros Sociais, Pois Nele Podem ser Encontrados Relatórios, Anotações de Senhas, Informações Sobre o Patrimônio da Empresa Dentre Outras. Funcionários Descontentes e Redes de Contatos Por Via das Vezes Essa é uma das Formas Mais Fáceis de Obter Informações Dentro de Uma Empresa. Funcionários Insatisfeitos na Maioria das Vezes Acabam por Fornecer Informações Importantes, as Quais Podem Prejudicar Seus Superiores ou Toda a Organização, Além de Possuírem uma Rede de Contatos Dentro e Fora (Fornecedores) da Organização, o que Torna-se Válido Pois Estes Podem Fornecer Informações Valiosas Sobre Outras Pessoas e Sobre Caminhos Para Chegar a Mais Dados. Apelo Sentimental Muitas Vezes é Realizado no Mundo Virtual (Chats), Pois o Atacante Pode, Por Exemplo, Transformar-se em Homem ou Mulher para Atrair e Conquistar a Confiança da Pessoa Atacada, Subtraindo Assim Informações Importantes. Programação Neurolinguística Uma Das Técnicas Mais Utilizadas Nesta Fase Chama-se Acompanha-Acompanha-Acompanha-Comanda, Seu Objetivo é Confundir a Vítima. Neste Método, o Atacante Imita os Trejeitos de seu Interlocutor por um Determinado Tempo Até que Forme-se um Elo de Intimidade e a Vítima Imagine Estar no Comando, Baixando a Guarda. Deste Momento em Diante o Atacante Comanda a Conversa Sem Que a Vítima Perceba, sugando Assim Todas as Informações que ela Detém.


A Utilização da Internet


Vários Atacantes Formulam Sites Afim de Obter Dados Pessoais e Noções Sobre o Comportamento de Suas Futuras Vítimas. Para Isso, Oferecem Para a Realização do Cadastro Brindes, Participação em Promoções e Etc. Desta Forma Conseguem Obter, Por Exemplo, Números de CPF, RG e Cartões de Crédito e Como se Proteger da Engenharia Social
Bom Senso a Vítima Deve Ficar Sempre Bem Atenta ao Receber Qualquer Tipo de Abordagem, Seja por Telefone, e-mail, Carta ou até Mesmo Pessoalmente, Onde umA Pessoa (Atacante) Tenta o Induzir a Fornecer Informações Confidenciais Pessoais e Até Mesmo Sobre a Empresa em que Trabalha. Informações Sensíveis Deve-se Sempre Estar Antenado Quando lhe for Solicitado Informações Sensíveis Como, Por Exemplo, Números de Cartões de Crédito, Senhas e Etc. Por Pessoas Estranhas. A Vítima Antes de Tudo Deve Verificar a Autenticidade da Ligação que Esta Recebendo, Do Crachá que o Atacante Apresentou e Etc. Solicitações Pela Internet Nunca Fornecer Informações Pessoais, de Empresas, Organizações e Etc Antes de Identificar e Constatar a Autenticidade do Pedido. Por Várias Vezes, Vítimas Recebem e-mails Contendo Links Falsos, Informações Não Verdadeiras ou Até Mesmo Solicitações de Cadastro em Empresas Fantasmas. Para Não Cair Nestas Armadilhas a Vítima Deve, Por Exemplo, Entrar em Contato Com a Instituição Que Lhe Fez a Solicitação de Cadastro, Como por Exemplo Bancos, Receita Federal e Etc, Para Garantir Assim uma Autenticidade do Pedido, Nunca Clicar Sobre Links Recebidos Através de Spams e Etc. Treinamento, Atualmente as Empresas Que Querem Evitar Esse Tipo de Ataque, Estão Investindo Alto em Treinamento de Funcionários, Afim de Evitar a Vazão de Informações Sobre a Estrutura da Empresa