 |
| Engenharia social é 99.5% eficiente, afirma hacker. |
Que a engenharia social é uma das principais
formas de invadir uma organização não é novidade para ninguém. Mas
quando Kevin Mitcnick demonstra ao vivo como os cibercriminosos agem
para conseguir informações privilegiadas de suas vítimas torna o cenário
ainda mais impressionante, para não dizer assustador. Mitnick fala de
social engineering com propriedade. Considerado o hacker mais famoso do
mundo, ele subiu ao palco da Dell Peak Performance 2015, em Las Vegas,
para mostrar ao público que a falha humana ainda é a principal causa de
tantas empresas serem prejudicadas.
Engenharia social, segundo o especialista, é uma forma de pirataria baseada na influência, mentira e manipulação da informação para convencer alguém a aceitar uma solicitação a fim de comprometer sua rede. Os motivos dessa prática ser tão popular entre os atacantes são várias, mas Mitnick destaca algumas: mais fácil que atacar o sistema operacional da vítima, engana todos os sistemas de detecção, utiliza-se de ferramentas de custo zero ou reduzido e não deixa rastros. “Como se tudo isso não fosse suficiente, há uma eficácia de 99.5%”, ironiza.
O pior de tudo isso é que as informações utilizadas pelos cibercriminosos são coletadas através de uma rápida pesquisa na internet ou fornecida pela própria vítima. “Há tanta informação disponível hoje na internet que facilita muito o trabalho dos hackers, principalmente por meio das redes sociais. Disponibilizar cargo e empresa no LinkedIn, por exemplo, torna-o alvo do atacante, que já possui seu nome completo, e-mail corporativo e cargo a fácil acesso”, explica.
Com essas informações em mãos, o atacante utiliza uma ferramenta chamada FOCA, capaz de analisar os metadados da companhia e descobrir quem são os usuários, quais os softwares padrões utilizados, o sistema operacional e de proteção existente.
Outro tipo de ação crescente, segundo Mitnick, é obter dados de suas vítimas por meio de call centers. Para isso, os atacantes utilizam os mesmos recursos para se prepararem muito bem antes de ligar para os atendentes, se passar por alguém e extrair alguma informação valiosa, como endereço ou o número de cartão de crédito. “É possível até ligar para companhias de segurança dizendo que você é novo na empresa e quer renovar ou adquirir novas licenças. É um tiro no escuro. Basta algumas ligações para descobrir qual a ferramenta de proteção de uma companhia”.
Invasões via USB e Wi-fi
Algumas práticas exigem um pouco mais de conhecimento técnico, mas nada tão aprofundado. Os ataques por meio de dispositivos externos, por exemplo, contam com a ingenuidade das vítimas para comprometer suas máquinas. Ao plugar um pen drive contaminado no computador, por exemplo, o usuário acredita que formatando ou passando um antivírus é suficiente para encontrar e eliminar alguma ameaça. “No entanto, há diversos malwares que precisam de poucos segundos para infectar o equipamento”, explica.
Já as invasões pelas redes wi-fi exigem uma tecnologia própria que simula a conexão local. Este aparelho pode ser carregado em uma mochila e o atacante pode estar sentado próximo de você em um café. “Uma vez conectado, o hacker tem o poder de colher as principais informações do sistema dele imediatamente. Outros dados mais sensíveis podem ser coletados conforme ele navega na internet, memorizando senhas e credenciais de seu banco”. O atacante pode ainda programar pop-ups para aparecer na tela do usuário ao abrir um site, oferecendo uma atualização necessária. No entanto, ao fazer o download e executar o arquivo, ele perde totalmente o controle da máquina.
Trabalhando hoje como consultor em sua própria empresa que testa os sistemas de proteção de grandes players do mercado, Mitnick também deu dicas de como as organizações podem se defender. Educação, claro, vem em primeiro lugar, mas é preciso desenvolver métodos para identificar quais os dados mais sensíveis da empresa e que exigem cuidados mais específicos. As políticas de segurança também devem ser atualizadas com frequência, além de ser recomendável que as empresas tenham um programa claro de resposta a incidentes.
“Você pode investir centenas de milhões de dólares em proteção, mas os atacantes precisam de apenas um pequeno erro do funcionário para comprometer a companhia toda. Segurança é a combinação entre pessoas, processos e tecnologias e os cibercriminosos sempre vão explorar alguma falha desses elementos para invadir sua empresa”, finaliza.
Engenharia social, segundo o especialista, é uma forma de pirataria baseada na influência, mentira e manipulação da informação para convencer alguém a aceitar uma solicitação a fim de comprometer sua rede. Os motivos dessa prática ser tão popular entre os atacantes são várias, mas Mitnick destaca algumas: mais fácil que atacar o sistema operacional da vítima, engana todos os sistemas de detecção, utiliza-se de ferramentas de custo zero ou reduzido e não deixa rastros. “Como se tudo isso não fosse suficiente, há uma eficácia de 99.5%”, ironiza.
O pior de tudo isso é que as informações utilizadas pelos cibercriminosos são coletadas através de uma rápida pesquisa na internet ou fornecida pela própria vítima. “Há tanta informação disponível hoje na internet que facilita muito o trabalho dos hackers, principalmente por meio das redes sociais. Disponibilizar cargo e empresa no LinkedIn, por exemplo, torna-o alvo do atacante, que já possui seu nome completo, e-mail corporativo e cargo a fácil acesso”, explica.
Com essas informações em mãos, o atacante utiliza uma ferramenta chamada FOCA, capaz de analisar os metadados da companhia e descobrir quem são os usuários, quais os softwares padrões utilizados, o sistema operacional e de proteção existente.
Outro tipo de ação crescente, segundo Mitnick, é obter dados de suas vítimas por meio de call centers. Para isso, os atacantes utilizam os mesmos recursos para se prepararem muito bem antes de ligar para os atendentes, se passar por alguém e extrair alguma informação valiosa, como endereço ou o número de cartão de crédito. “É possível até ligar para companhias de segurança dizendo que você é novo na empresa e quer renovar ou adquirir novas licenças. É um tiro no escuro. Basta algumas ligações para descobrir qual a ferramenta de proteção de uma companhia”.
Invasões via USB e Wi-fi
Algumas práticas exigem um pouco mais de conhecimento técnico, mas nada tão aprofundado. Os ataques por meio de dispositivos externos, por exemplo, contam com a ingenuidade das vítimas para comprometer suas máquinas. Ao plugar um pen drive contaminado no computador, por exemplo, o usuário acredita que formatando ou passando um antivírus é suficiente para encontrar e eliminar alguma ameaça. “No entanto, há diversos malwares que precisam de poucos segundos para infectar o equipamento”, explica.
Já as invasões pelas redes wi-fi exigem uma tecnologia própria que simula a conexão local. Este aparelho pode ser carregado em uma mochila e o atacante pode estar sentado próximo de você em um café. “Uma vez conectado, o hacker tem o poder de colher as principais informações do sistema dele imediatamente. Outros dados mais sensíveis podem ser coletados conforme ele navega na internet, memorizando senhas e credenciais de seu banco”. O atacante pode ainda programar pop-ups para aparecer na tela do usuário ao abrir um site, oferecendo uma atualização necessária. No entanto, ao fazer o download e executar o arquivo, ele perde totalmente o controle da máquina.
Trabalhando hoje como consultor em sua própria empresa que testa os sistemas de proteção de grandes players do mercado, Mitnick também deu dicas de como as organizações podem se defender. Educação, claro, vem em primeiro lugar, mas é preciso desenvolver métodos para identificar quais os dados mais sensíveis da empresa e que exigem cuidados mais específicos. As políticas de segurança também devem ser atualizadas com frequência, além de ser recomendável que as empresas tenham um programa claro de resposta a incidentes.
“Você pode investir centenas de milhões de dólares em proteção, mas os atacantes precisam de apenas um pequeno erro do funcionário para comprometer a companhia toda. Segurança é a combinação entre pessoas, processos e tecnologias e os cibercriminosos sempre vão explorar alguma falha desses elementos para invadir sua empresa”, finaliza.
