ENGENHARIA SOCIAL
Dentro da segurança da informação, a engenharia social está associada à manipulação e influência do usuário para que ele faça algo que normalmente não faria, a fim de se obter informações privilegiadas. Esse método busca explorar as vulnerabilidades do fator humano para se obter vantagens.
Existe um estereótipo de que os hackers são pessoas encapuzadas que digitam mais de 100 palavras por minuto, que quebram códigos de segurança a partir do nada ou criam softwares que decodificam senhas e etc. De fato, pessoas assim podem até existir, mas os golpes aplicados exigem técnicas mais simples do que você pensa.
Para exemplificar, assista o vídeo abaixo em que a Cisco traz um de ataque de Ransomware através do phishing, que foi totalmente baseado em técnicas de engenharia social:
Fonte: Canal Cisco no YouTube https://www.youtube.com/channel/UCEWiIE6Htd8mvlOR6YQez1g
Agora façamos um exercício de estudo deste caso. Note que dentro da sua pesquisa, a hacker procurou:
CEO da empresa: ela aprendeu sobre seus hábitos, sua família, seus amigos, seus gostos e até mesmo sua forma de escrever, afinal de contas, tudo isso está disponível nas redes sociais;
Rede de funcionários: Assim como com o CEO, ela captou detalhes sobre a vida e o cotidiano dos colaboradores da empresa, além de seus endereços de email corporativos;
Empresa: aqui ela buscou informações sobre a empresa com a equipe de vendas, que é o departamento que mais lida com o ambiente externo.
Depois de conseguir essas informações, ela criou um email falso com o domínio parecido com o da própria Qualicart, onde apenas uma letra foi trocada, o “i” pelo “l”. No conteúdo do texto uma mensagem simples de agradecimento pelo trabalho duro de todos no último trimestre e um anexo com o planejamento e estratégias para o futuro. No final, a assinatura do CEO da empresa.
Perceba que para que as pessoas “mordessem a isca” foram utilizados alguns gatilhos mentais que fizeram toda a diferença para o sucesso do ataque:
Credibilidade: o email parece legítimo, afinal de contas está no “domínio da empresa”, a forma de escrever remete ao CEO e no final a assinatura é igual a original;
Autoridade: É um email do CEO da empresa, a maioria das pessoas vai abrir os anexos confiando na autoridade imposta por ele;
Reciprocidade: há uma troca no texto, o CEO agradece o trabalho de todos, ou seja, o sucesso da empresa se deve ao esforço de todos;
Demanda: por último ele pede para olharem os planos para o futuro no documento anexo, algo que todos fariam se recebessem um email dele.
Existem vários outros gatilhos que são utilizados para manipular as pessoas nesses tipos de ataque. Nesse exemplo foram utilizadas coisas simples para ludibriar os colaboradores e encontrar uma brecha. O ransomware escondido no anexo era apenas mais uma armadilha, ao fazerem o resgate que foi exigido, um outro malware invadiu o sistema deles e teve acesso a todas as informações da empresa.
O ransomware e o segundo malware utilizado nem foram escritos pela hacker responsável pelo ataque, ela apenas os utilizou como ferramentas, o verdadeiro trabalho dela era fazer com que as pessoas clicassem no anexo do email.
Esse exemplo mostra como as pessoas estão vulneráveis a ataques e a manipulação, por isso a maioria dos golpes é baseado nos erros de fator humano. Termos uma infraestrutura de TI com camadas de segurança e soluções de ponta é extremamente importante para mantermos nossas empresas seguras contra invasões. Por outro lado, precisamos manter nossos colaboradores atentos e informados, para que eles não caiam nos ataques de engenharia social, que como vimos, podem ser mascarados como algo simples.
