3 tipos de ataque de engenharia social e como se proteger
Engenharia social é um tema bastante notável para os profissionais e entusiastas da cibersegurança. Enganam-se aqueles que ainda vislumbram a proteção online sendo realizada apenas por meio de antivírus, firewalls e VPNs.
Falhas de segurança acontecem pelos mais variados motivos, mas um dos principais deles — e que fogem muitas vezes do alcance dos profissionais de TI e dos pentesters — diz respeito às ações de engenharia social utilizadas por hackers independentes e corporações mal-intencionadas, para com isso obter valiosas informações internas de companhias em todo o planeta.
O mundo conectado da informação está cada vez mais complexo e perigoso aos desavisados. Se você quer saber mais sobre um ataque de engenharia social, continue lendo nosso artigo. Nele, vamos mostrar no que consistem, como funcionam, quais são os mais comuns e como se proteger desses ataques no dia a dia nas empresas em que atuamos. Acompanhe!
O que são os ataques de engenharia social?
Assim como dissemos na introdução, hoje em dia não basta a utilização de recursos tecnológicos modernos para coibir ataques cibernéticos, pois existem também possibilidades de ações invasivas e apropriação das informações contidas em nossas redes corporativas e servidores a partir do recurso humano. A engenharia social utiliza-se de brechas e falhas psicológicas de certos indivíduos e de situações para conseguir as informações de que precisam.
Tais indivíduos, na maioria das vezes, são colaboradores internos que têm acesso a informações úteis das mais variadas formas para os atacantes. A engenharia social pode ser definida como qualquer ação que leve uma pessoa a fornecer uma informação que fuja de seus próprios interesses, até mesmo sem perceber.
Um caso clássico para exemplificar essa explicação, é um suposto colaborador entrando em contato com a equipe de TI, alegando ter esquecido a senha de seu login. Se a ação do criminoso for bem sucedida, a senha será zerada com uma senha padrão, dando o acesso ao sistema a uma pessoa desconhecida e com intenções questionáveis para com a empresa vítima da engenharia.
Ela tem esse nome pois usa de elementos da psicologia e da sociologia para alcançar seus objetivos. Existem alguns princípios-chave nessas áreas que são muito conhecidos por profissionais do marketing ou de vendas diretas ao consumidor, mas que podem passar despercebidos pelos mais afastados dessa noção sociopsicológica praticada durante as ações.
Infelizmente o desconhecimento dessas possibilidades representam uma falha grave para todo o sistema de segurança interno da empresa. Para ajudar você a evitar e até mesmo reconhecer essas práticas, trazemos alguns princípios chaves para os piratas informáticos garantirem o sucesso sobre suas vítimas. São eles:
- urgência e escassez — dar um sentido de urgência ou de escassez de algo, para um problema ou uma tarefa, com a intenção de fazer a vítima comportar-se de maneira desatenta (por culpa da pressão), para fornecer informações confidenciais, é uma boa maneira de se aplicar a engenharia social. Por exemplo, alguém liga para o RH com um ar de desespero procurando certo colaborador responsável pela área de TI, pois está com alguns problemas graves que precisa resolver com ele. A assistente, ao atender ao telefone, dá uma informação confidencial, dizendo o horário que aquele colaborador deixou o serviço ou os dias em que não trabalha. Isso poderá ser o início de outra ação, em que o hacker utiliza dos dias em que o gestor não está presente para promover outros planos e assim ganhar acesso às áreas restritas da empresa pouco a pouco;
- prova social, autoridade e intimidação — nessas situações, o hacker utiliza-se desses fatores sociais e psicológicos para obter as informações que precisam. Suponha que nosso hacker do exemplo anterior utilize da informação que recebeu da atendente e liga em uma hora em que o supervisor da área de TI não esteja. Com isso, ele consegue falar com um de seus assistentes, pedindo para resetar determinado login do sistema. O assistente, preocupado com a segurança, dificilmente faria a ação se o hacker não se passasse por um prestador que o ameaçasse com reclamações para seu supervisor (intimidação) — e que o que está sendo pedido já teria sido feito pelo mesmo supervisor várias vezes (prova social e autoridade). Pronto, login liberado;
- amizade e familiaridade — esse é um dos princípios psicológicos mais difíceis de serem utilizados, pois, dependem de pesquisas aprofundadas sobre a vítima. Seja o uso de um discurso de um antigo amigo do colégio ou da faculdade que acabou de entrar na mesma empresa e precisa muito de ajuda para resolver um problema — seja até mesmo a partir de aspectos físicos, como um flerte sobre algum profissional da segurança que se encontre fragilizado. A ação pode ser feita para obtenção de um pedido de informação que normalmente seria confidencial ou para garantir o acesso de alguma pasta ou equipamento do servidor, por exemplo, em que a pessoa abordada acaba por ceder por simpatia daquela pessoa ou situação.
Quais são os 3 principais tipos de ataque de engenharia social?
Além dessas fraquezas emocionais, que a maioria das pessoas têm, existem diversas técnicas que os engenheiros sociais utilizam para garantir o sucesso de suas ações — as mais conhecidas são produzidas e enviadas por e-mails, outras são realizadas por telefone ou presencialmente. Trazemos para você três dos principais a seguir.
1. O baiting
É o ato de usar elementos considerados interessantes pela vítima com o adendo de um elemento surpresa — e muitas vezes indetectável — dentro dele. Um cavalo de troia, de maneira resumida. Imagine se um hacker precisa acessar um servidor que o setor de RH tenha acesso.
O engenheiro social envia um PDF infectado com um keylogger — como um currículo para uma vaga de baixíssima procura por candidatos — e mapeia todas as senhas e logins digitados nos computadores em que o malware foi instalado.
2. O phishing
É uma fraude cujo objetivo é conseguir informações, como números de cartões de crédito entre outros dados confidenciais. Ela acontece com a vítima recebendo um e-mail ou clicando em um link malicioso, que abre uma cópia exata do ambiente em que o hacker quer obter a informação. Páginas de bancos e sites de compras falsos estão no topo da lista desse tipo de fraude,
3. O Quid Pro Quo
Expressão latina, significa “alguma coisa por alguma coisa”. O invasor liga aleatoriamente para diversos setores da empresa, dizendo-se um fornecedor com problemas ou que é de um suporte técnico retornando uma ligação anterior. Eventualmente ele alcança alguém aliviado com a ajuda, e, através de leituras frias e deduções, o hacker acaba conseguindo acesso a áreas protegidas ou instalando algum malware no computador da vítima.
Certamente pode não ser muito fácil a proteção desse tipo de ataque por uma boa parte das pessoas, portanto, nos resta sempre ficar atentos a qualquer situação anormal que exija muita urgência e obedecer aos protocolos de segurança internos estabelecidos pela empresa. Lembre-se de que eles existem por algum motivo.
Além disso, o conhecimento das fraquezas psicológicas humanas e a atenção aos últimos golpes constantemente mostrados pela mídia pode facilitar na identificação de um possível ataque e ajudará aos colaboradores a se protegerem quando necessário. Hoje em dia devemos saber o valor das informações que carregamos.
Gostou de entender mais sobre um ataque de engenharia social? Ajude mais pessoas a se protegerem — este artigo é o tipo de informação que precisamos espalhar para todos os cantos da Internet! Então, compartilhe com seus amigos e familiares em suas redes sociais e promova uma maior segurança para todos divulgando conteúdo de qualidade!