Engenharia Social: as técnicas de ataques mais utilizadas

O artigo tem o propósito de apresentar de forma breve e clara as técnicas mais utilizadas em Engenharia Social.

A Engenharia Social é uma das técnicas utilizadas por Crackers para obter acesso não autorizado a sistemas, redes ou informações com grande valor estratégico para as organizações. Os Crackers que utilizam desta técnica são conhecidos como Engenheiros Sociais.

Quando abordamos Engenharia Social, Hacker, Cracker, temos que evidenciar Kevin D. Mitnick que foi um dos mais famosos crackers de todos os tempos, e boa parte dos seus ataques foram originados das técnicas de Engenharia Social. Quem tiver interesse em conhecer um pouco mais sobre a história do Mitnick existe o livro “A Arte de Enganar” escrito por ele, e um filme que retrata muitas técnicas que ele utilizou chamado “Operação Takedown”.

A seguir serão apresentadas 6 técnicas mais utilizadas pelos Engenheiros Sociais:

Analise do Lixo

Provavelmente poucas organizações tem o cuidado de verificar o que está sendo descartado da empresa e de que forma é realizado este descarte. O lixo é uma das fontes mais ricas de informações para os Engenheiros Sociais. Existem muitos relatos e matérias publicadas na Internet abordando este tipo de ataque, visto que através das informações coletadas no lixo podem conter nome de funcionários, telefone, e-mail, senhas, contato de clientes, fornecedores, transações efetuadas, entre outros, ou seja, este é um dos primeiros passos para que se inicie um ataque direcionado à empresa.

Internet e Redes Sociais

Atualmente muitas informações podem ser coletadas através da Internet e Redes Sociais sobre o alvo. Quando um Engenheiro Social precisa conhecer melhor seu alvo, esta técnica é utilizada, iniciando um estudo no site da empresa para melhor entendimento, pesquisas na Internet e uma boa consulta nas redes sociais na qual é possível encontrar informações interessantes de funcionários da empresa, cargos, amizades, perfil pessoal, entre outros.

Contato Telefônico

Com as informações coletadas nas duas técnicas acima, o Engenheiro Social pode utilizar uma abordagem via telefone para obter acesso não autorizado, seja se passando por um funcionário da empresa, fornecedor ou terceiros. Com certeza neste ponto o Engenheiro Social já conhece o nome da secretária, nome e e-mail de algum gestor, até colaboradores envolvidos na TI. Com um simples telefonema e técnicas de Engenharia Social se passando por outra pessoa, de preferência do elo de confiança da vítima, fica mais fácil conseguir um acesso ou coletar informações necessárias da organização.

Abordagem Pessoal

Está técnica consiste do Engenheiro Social realizar uma visita na empresa alvo, podendo se passar por um fornecedor, terceiro, amigo do diretor, prestador de serviço, entre outros, no qual através do poder de persuasão e falta de treinamento dos funcionários, consegue sem muita dificuldade convencer um segurança, secretária, recepcionista a liberar acesso ao datacenter onde possivelmente conseguirá as informações que procura. Apesar desta abordagem ser arriscada, muitos Crackers já utilizaram e a utilizam até hoje.

Phishing

Sem dúvidas esta é a técnica mais utilizada para conseguir um acesso na rede alvo. O Phishing pode ser traduzido como “pescaria” ou “e-mail falso”, que são e-mails manipulados e enviados a organizações e pessoas com o intuito de aguçar algum sentimento que faça com que o usuário aceite o e-mail e realize as operações solicitadas.

Os casos mais comuns de Phishing são e-mails recebidos de supostos bancos, nos quais afirmam que sua conta está irregular, seu cartão ultrapassou o limite, ou que existe um novo software de segurança do banco que precisa ser instalado senão irá bloquear o acesso.

Outro exemplo de phishing pode ser da Receita Federal informando que seu CPF está irregular ou que o Imposto de Renda apresentou erros e para regularizar consta um link, até as situações mais absurdas que muitas pessoas ainda caem por falta de conhecimento, tais como, e-mail informando que você está sendo traído(a) e para ver as fotos consta um link ou anexo, ou que as fotos do churrasco já estão disponíveis no link, entre outros. A maioria dos Phishings possuem algum anexo ou links dentro do e-mail que direcionam para a situação que o Cracker deseja.

Saiba mais em Engenharia Social: entendendo a técnica “Phishing”

Falhas Humano

O Ser Humano possui várias vulnerabilidades que são exploradas pelos Engenheiros Sociais, tais como, confiança, medo, curiosidade, instinto de querer ajudar, culpa, ingenuidade, entre outros.  

No livro “Segredos do H4CK3R Ético”, escrito por Marcos Flávio Araújo Assunção, é abordada uma passagem interessante no capitulo “Manipulando Sentimentos” no qual, através do sentimento de Curiosidade, um Cracker instalou um outdoor na frente da empesa alvo com as palavras “Compre seu celular de última geração de modo fácil: entregue seu aparelho antigo e, com mais um real, escolha aquele que você quiser ter” e, abaixo, o link do site.

Claro que este site estava com códigos maliciosos no qual foi possível acessar vários computadores da organização através de vulnerabilidade de softwares e sistemas operacionais.

Este é somente um exemplo de como o Engenheiro Social consegue obter êxito no ataque através da falhas humanas. A maioria dos ataques por Phishing visam explorar alguma falha humana para obter sucesso.

Para finalizar este artigo e gerar um melhor entendimento, seguem algumas frases retiradas do livro de Mitnick sobre engenharia social.

“Engenharia social usa a influência e a persuasão para enganar as pessoas e convence-las de que o engenheiro social é alguém que ele não é, ou pela manipulação. Como resultado, o engenheiro social pode aproveitar-se das pessoas para obter as informações com ou sem uso da tecnologia.” (MITNICK, 2003, p.6)

“Os engenheiros sociais habilidosos são adeptos do desenvolvimento de um truque que estimula emoções tais como medo, agitação, ou culpa. Eles fazem isso usando os gatilhos psicológicos – os mecanismos automáticos que levam as pessoas a responderem as solicitações sem uma análise cuidadosa das informações disponíveis.” (MITNICK, 2003, p.85)

“A proteção para os ataques envolve o treinamento nas políticas e procedimentos, mas também – e provavelmente mais importante – um programa constante de conscientização. Algumas autoridades recomendam que 40% do orçamento geral para segurança da empresa seja aplicado no treinamento da conscientização.” (MITNICK, 2003, p.195).

Em um próximo artigo será melhor detalhado os ataques através de Phishing e exemplos reais destes e-mails falsos que estão cada vez mais sofisticados e elaborados.

Gustavo de Castro Rafael

Mais artigos deste autor »

Fundador da PDCA TI - Consultoria & Treinamentos.
Site: www.pdcati.com.br
Consultor com mais de 7 anos de experiência nas áreas de Tecnologia da Informação e Segurança da Informação.
Palestrante em diversos fóruns, empresas e universidades.
Professor dos cursos online e presenciais promovidos pela PDCA TI.


10 Comentários

Fabiano
1

Boa matéria, mas achei a expressão “engenheiro social” meio fora de contexto, porque um fraudador sofisticado, um estelionatário de alto nível deve ser chamado de “engenheiro social” ?
Não sei, não etiquetou bem, engenheiro é alguém que cria, desenvolve,projeta, elabora… não acho legal dar a um vigarista um nome como esse

Charles
2

Fabiano, engenharia social não é o nome ao qual o autor do artigo empregou e sim é o nome do método usado para adquirir informações sigilosas. Para quem trabalha com segurança da informação sabe disso. Este termo foi criado a anos, não foi uma invenção do autor do artigo…

Schubert
3

Caro Fabiano, creio que você está meio equivocado no seu conceito de engenharia, não desmerecendo os engenheiros de carreira como os engenheiros civis, mecatronicos, da computação… a engenharia também é arte e também aplicada no contexto social, inclusive com o propósito de enganar e trapacear, veja como a wikipédia define engenharia, e esta definição está muito aderente. Nem todos que se formam em engenharia são realmente engenheiros na essência, mais todos capazes de desenvolver artifícios sociais para atingir seus objetivos, estes sim são na essência engenheiros!

Jackson Santana
5

Primeiramente! “Dar a Cesar o que, é de Cesar…”
Meus parabéns belíssimo post, se poder postar mais artigos sobre Segurança da Informação. Vou lhe ser bastante grato, sempre acompanho os post aqui do portal, todos são excelentes inclusive o seu.
Adorei belíssimo artigo.

Daniel Benazzi
6

Excelente artigo, parabenizo o autor pela pesquisa e disposição das informações.
A todos sempre fica a dica de que “engenheiros sociais” estão a todo momento criando novas técnicas para “gerar” novas vitimas.
Como sitado no artigo, a falha humana e uma das principais causas e com ela vem a falta de informação e instrução as pessoas menos entendidas da área de TI.

Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!