A engenharia social, às vezes chamada de ciência e arte do hacking humano, tornou-se bastante popular nos últimos anos devido ao crescimento exponencial das redes sociais, e-mail e outras formas de comunicação eletrônica. No campo da segurança da informação, este termo é amplamente utilizado para fazer referência a uma série de técnicas usadas por criminosos que obtêm informações confidenciais ou para convencer alvos a realizar ações que podem comprometer seus sistemas.
Com tantos produtos de segurança disponíveis hoje, é o usuário final que tem o poder. Seja um conjunto de credenciais de login (nome de usuário e senha), um número de cartão de crédito ou conta bancária, na maioria das vezes o elo mais fraco da cadeia não é tecnológico, mas humano e quando ocorre a manipulação psicológica é extremamente importante saber quais tipos de truques estão sendo usados e como evitá-los.
A engenharia social não é nova. Ele existe desde o início dos tempos, com engenheiros populares como Kevin Mitnick ou Frank Abagnale, agora renomados consultores de segurança, podemos ver como a transformação de criminoso em guru de chapéu branco é possível.Frank Abagnale, por exemplo, foi um dos mais famosos vigaristas, criando múltiplas identidades, forjando cheques e enganando as pessoas para que revelassem as informações de que precisava para continuar com seus golpes.Se você já viu o filme “Catch Me If You Can”você terá uma ideia do que um engenheiro social é capaz de fazer quando tem um objetivo claro.
Lembre-se de que um engenheiro social pode não confiar apenas em golpes técnicos ou de computador para obter suas informações. Você precisa ter cuidado com as atividades cotidianas que podem parecer suspeitas. Por exemplo, sua senha pode ser revelada em uma chamada telefônica. Não parece sensato informar sua senha a alguém. No entanto, a perspectiva muda quando você recebe um telefonema do “suporte técnico” de sua empresa na manhã de domingo solicitando que você visite o escritório para realizar algumas pequenas atualizações técnicas em seu computador. Você vai dizer sua senha para o “administrador da rede”, além disso, você vai dizer “obrigado”! Ou talvez você seja muito cauteloso para isso, mas muitos de seus colegas não são.
“Uma empresa pode gastar centenas de milhares de dólares em firewalls, criptografia e outras tecnologias de segurança, mas se um hacker puder ligar para uma pessoa confiável dentro da empresa e essa pessoa fazer tudo o que o hacker dizer, ou se o hacker tiver acesso a empresa, todo esse dinheiro gasto em tecnologia é totalmente inútil. ” – Kevin Mitnick
A maioria dos cibercriminosos não gastaria muito tempo tentando hacks tecnológicos complexos quando sabem que é muito mais fácil usar a engenharia social para seus propósitos. Além disso, existem até sites que contêm informações valiosas para aprender sobre esses tipos de técnicas e porque eles têm tanto sucesso quando usados para enganar as pessoas. Um deles é SocialEngineer.org, que fornece uma estrutura para aprender a teoria por trás de por que cada tipo de ataque funciona e muitos exemplos do mundo real que suportam as definições e conceitos mencionados anteriormente.
Usamos a linguagem falada diariamente para influenciar uns aos outros, mesmo sem estarmos cientes de tais ações. A linguagem tem algumas desvantagens quando vista do ponto de vista de um engenheiro social, uma vez que está ligada à nossa experiência subjetiva. PNL ou programação neurolinguística, embora inventada para fins terapêuticos, é considerada uma forma evoluída de hipnose usada por muitos engenheiros sociais como uma ferramenta para influenciar e manipular suas vítimas a fim de levá-las a realizar as ações necessárias para realizar um ataque bem-sucedido. Isso pode incluir fornecer sua senha, revelar informações confidenciais, desativar uma medida de segurança ou praticamente qualquer coisa que você possa imaginar como um trampolim para desenvolver ainda mais uma intrusão.
Embora a ligação entre psicologia e hacking pareça muito esticada, a realidade chocante é que os ataques online são baseados nos mesmos princípios que seus equivalentes offline. O desejo de cada pessoa de reciprocidade (se eu lhe fizer um favor, provavelmente o fará por mim), prova social (você acredita no julgamento da maioria), autoridade (ou seja, confiar em um policial, um médico, um técnico cara de suporte, etc.) e muitos mais, são maneiras universais de construir relacionamento com alguém e atender às nossas necessidades humanas básicas. Um engenheiro social sabe quais botões apertar para obter a resposta desejada de nós, criando um contexto (enquadramento) que permite que uma história inventada seja verossímil. Contornando nosso processo de pensamento racional não é difícil para indivíduos altamente qualificados e leva apenas uma fração de segundo para lhes dar a vantagem de que precisam para conseguir o que desejam.
No entanto, neste artigo iremos nos concentrar principalmente nas várias técnicas utilizadas por criminosos online para realizar suas atividades a fim de obter informações ilegais e lucrar com suas vítimas. Conforme mencionado anteriormente, os princípios usados para golpes online são os mesmos apresentados na vida real. Mas, como a Internet é um meio tão massivo de distribuição de informações, um e-mail de phishing, por exemplo, pode ser enviado a milhões de destinatários em um breve lapso de tempo, tornando esse tipo de ataque um jogo de números. Mesmo que um pequeno número de alvos pretendidos acredite nesse ardil, ainda assim colherá um enorme benefício para o grupo criminoso ou indivíduo responsável por ele.
“O que eu fiz na minha juventude é centenas de vezes mais fácil hoje. Tecnologia gera crime. ” – Frank William Abagnale
Hoje, um dos métodos mais comuns usados para obter informações confidenciais é conhecido como Phishing (uma contração dos termos password harvesting fishing). O phishing pode ser caracterizado como um tipo de abuso ou fraude de computador que utiliza os princípios da engenharia social com o objetivo de obter informações privadas da vítima. O cibercriminoso geralmente depende de e-mail, mensagem instantânea ou SMS para entregar a mensagem de phishing que persuadirá a vítima a revelar informações diretamente ou realizar uma ação (entrar em um site falso, clicar em um link de download de malware, etc.) que permitirá, sem saber, o invasor para continuar seu plano mal-intencionado.
Vimos uma evolução no malware que anda de mãos dadas com a engenharia social. Antigamente, qualquer vírus de computador era bastante óbvio para o usuário e exibia caixas de mensagens extravagantes, ícones, imagens e praticamente qualquer coisa que desse crédito ao autor por sua criação. No presente, não é incomum encontrar malware que obtém acesso ao sistema da vítima por meio de truques de engenharia social e permanece oculto até que precise executar a carga maliciosa. Um jogo de gato e rato sem fim é jogado entre criminosos e empresas de segurança, tornando a educação um dos mecanismos de defesa fundamentais para cada usuário.
Muitos exemplos interessantes de malware podem ser encontrados, que contam com a engenharia social para entregar eficazmente seu ataque à vítima. Entre os mais populares que podemos citar estão as atualizações falsas do Flash Player, arquivos executáveis incorporados em documentos do Word , cópias de baixa qualidade de navegadores legítimos como o Internet Explorer e muitos mais.
Um site de distribuição de malware que usa uma atualização falsa do Flash Player para induzir os usuários a instalar o software.
A maioria dos exemplos de ataques listados são direcionados ao público latino-americano, principalmente porque esses tipos de ameaças tecnológicas não são bem conhecidos ou compreendidos na região. Além disso, a maioria dos sistemas de computador da região está executando software desatualizado que oferece aos criminosos cibernéticos uma grande oportunidade de negócios. Não foi até recentemente que algumas medidas de segurança de banco on-line foram reforçadas, mas ainda existem muitas brechas que podem permitir um ataque de engenharia social bem-sucedido na América do Sul.
Outros ataques são mais populares na região, mesmo que não se enquadrem totalmente na categoria de fraude de computador. Um golpe conhecido como “sequestro virtual” usa táticas de telemarketing de engenharia social, alegando que um membro da família da vítima foi sequestrado e um resgate deve ser pago sem demora para garantir sua segurança e liberdade. Aproveitando o senso de urgência e medo da vítima, as demandas do agressor são atendidas sem nem mesmo saber se houve alguém sequestrado. Na América Latina, onde esses tipos de crimes são criminosos comuns, têm obtido grandes lucros com esquemas como esse, que exploram traços característicos do comportamento humano.
“A polícia não pode proteger os consumidores. As pessoas precisam estar mais conscientes e educadas sobre o roubo de identidade. Você precisa ser um pouco mais sábio, um pouco mais inteligente e não há nada de errado em ser cético. Vivemos em uma época em que, se você tornar mais fácil para alguém roubar de você, alguém o fará. ” – Frank William Abagnale
Além disso, é importante ter em mente que qualquer informação que você poste publicamente online (Facebook, Twitter, Foursquare, etc.) pode dar aos criminosos uma pista sobre como conectar os pontos sobre onde você está e sua verdadeira identidade. Um ataque direcionado (spear-phishing) não é comum, mas se você fornecer informações valiosas sem pensar duas vezes, poderá facilitar a vida dos cibercriminosos. Até mesmo uma lista de desejos da Amazon pode ser a porta de entrada para um hack épico de engenharia social.
Como mencionado anteriormente, um pacote de segurança completo instalado é obrigatório hoje em dia se você estiver fazendo qualquer tipo de atividade online (e provavelmente está). Além disso, manter-se atualizado com as ameaças e truques de engenharia social mais recentes pode fornecer a vantagem necessária para evitar se tornar uma vítima desses tipos de ataques (online ou offline). Lembre-se de que todos os dispositivos tecnológicos e mecanismos de defesa significam quase nada se você não souber como usá-los e estiver ciente do que os bandidos estão fazendo atualmente. O crime evolui, você também deveria.
