Conheça seis das técnicas de engenharia social muito eficazes. |
David Geer (CSO/UEA)/Portal CIO - A engenharia social é o método mais forte de ataque contra a maior das vulnerabilidades das empresas, seu pessoal interno. Os cibercriminosos reconhecem esse fato. Sabem que elemento mais vulnerável de qualquer sistema de segurança da informação é o ser humano, que possui traços comportamentais e psicológicos que o torna suscetível a ataques, como vaidade pessoal e/ou profissional, autoconfirança, vontade de ser útil, vontade de fazer novas amizades, etc.
O hacker norte-americano Kevin Mitnick ficou famoso por, na década de 60, conseguir informações secretas de grandes empresas dos Estados Unidos apenas telefonando para alguns funcionários e, após conquistar a confiança deles, fazendo algumas perguntas.
Mitnick ensinou aos profissionais de segurança que o principal objetivo da engenharia social utilizando o telefone como mecanismo de atuação era convencer seu alvo que o atacante é (1) um colega de trabalho ou (2) algum tipo de autoridade externa (tal como um auditor ou oficial de justiça). A partir daí ficava fácil obter informações a respeito de determinados funcionários, mesmo que os primeiros telefonemas não fossem feitos diretamente para eles.
E se àquela época já era possível convencer os próprios usuários a fornecerem senhas, hoje com as redes sociais é ainda mais fácil enganar as pessoas para conseguir dados valiosos. Não por acaso, em 2015 a engenharia social tornou-se o método de ataque número 1, de acordo com o 2016 Human Factor Report, da Proofpoint.
Com as informações que as próprias vítimas colocam em sites como o Twitter e Facebook, por exemplo, é possível direcionar a elas e-mails muito específicos, os quais despertam a curiosidade e fazem com que cliquem em mensagens contaminadas, instalando assim softwares maliciosos em suas máquinas.
Geralmente, métodos bem-sucedidos de engenharia social na Internet usam phishing e malware. Mas esses são apenas dois dos métodos mais comuns usados pelos cibercriminosos.
Infelizmente, os assaltantes de informações enganosas têm um verdadeiro arsenal de ferramentas e abordagens ao seu dispor. Bem maior do que supomos.
Para combater essas ameaças as empresas devem investir no treinamento das pessoas, na criação de processos e em ferramentas de segurança. No entanto, para que esses investimentos sejam assertivos, é preciso que conheçam o ‘modus operandi’ dos criminosos contra os quais estão se protegendo. Ataques de engenharia social bem-sucedidos em geral exigem tempo, paciência e persistência. Normalmente são realizados com calma e de modo metódico.
Neste artigo, a CSO aborda seis das técnicas de engenharia social mais eficazes usadas pelos invasores, tanto na internet como fora dela, fornecendo informações sobre como cada uma delas funciona, o que faz e as tecnologias, métodos e políticas para detectar e responder aos sabotares sociais, mantendo-os longe.
Técnica um: Ativação de macros
Cybercrooks estão usando a engenharia social para enganar os usuários das organizações e permitir a execução de macros que ativam a instalação de malware.
Em ataques à infraestrutura crítica ucraniana, caixas de diálogo falsas apareceram em documentos do Microsoft Office informando aos usuários para permitir que as macros exibissem adequadamente o conteúdo criado em uma versão mais recente do produto Microsoft.
Os trapaceiros escreveram o texto do diálogo em russo e fizeram a imagem de diálogo parecer vir da Microsoft. Quando os usuários atenderam e ativaram as macros, o malware do documento infectou máquinas de usuário. "Essa tática de phishing usou uma interessante técnica de engenharia social para saber que a maioria dos usuáriosdesativavam as macros dos programas que compõem o Office", diz Phil Neray, vice-presidente de Cybersecurity Industrial da CyberX.
Técnica dois: Sextorção
Em ataques chamados catphishing, cibercriminosos posam como amantes em potencial para atrair vítimas para compartilhar vídeos comprometedores e fotos e depois chantageá-los. "Essas armadilhas evoluíram para atingir a empresa", diz James Maude, engenheiro de segurança da Avecto.
Direcionados aos funcionários sênior da empresa usando as mídias sociais, os sextorcionistas os chantageiam para revelar credenciais sensíveis, diz Maude.
Existem várias maneiras pelas quais os criminosos conseguem as imagens. A mais comum é a manipulação das mídias sociais, através da qual os autores dos crimes enganam a vítima a lhes enviar fotos comprometedoras. Depois, eles as extorquem para conseguir outras. Outro método possível é invadir webcams das pessoas e tirar fotos deles quando pensam que ninguém está olhando, algo possibilitado por software espião instalado na máquina da pessoa, quer local ou remotamente.
Mas os ataques também ocorrem pessoalmente em bares e hotéis durante confereências internacionais, diz Maude.
Técnica três: Por afinidade
A engenharia social por afinidade conta com atacantes formando um vínculo com um alvo com base em um interesse comum ou de alguma forma que eles se identifiquem uns com os outros. "O método é tornar-se amigo da vítima, levá-la a fazer-lhes um favor, lentamente pedir informações (inicialmente inócuo), em seguida, pedir informações mais sensíveis. Uma vez que a vítima esteja enredada, o atacante pode então chantageá-los ", diz Roger G. Johnston, Head da Right Brain Sekurity.
Os criminosos assumem uma postura amigável, mostram-se interessados pela vida das pessoas e em tudo que está relacionado a elas. Em pouco tempo, conseguem obter informações que não seriam obtidas de outra forma.
A técnica, nesse caso, é simples: os criminosos utilizam pessoas menos importantes e mais acessíveis dentro das empresas para obter informações sobre outras, mais bem posicionadas na hierarquia empresarial.
De acordo com os profissionais de segurança, podem existir até dez passos entre o alvo do criminoso e a pessoa primeiramente contatada dentro da organização.
Agora, esses trapaceiros estabelecem conexões em redes sociais usando como base pontos de vista políticos compartilhados, grupos de mídia social, hobbies, esportes, interesses em videogames, ativismo e situações de crowdsourcing ", explica Johnston.
Técnica quatro: Falso recrutador
Com tantos headhunters procurando candidatos a emprego, ninguém suspeita quando um falso recrutador vem inflar o ego de um funcionário e oferecer posições sedutoras só para obter informações.
"Isso pode não gerar senhas de computador diretamente, mas um invasor pode obter dados suficientes para descobrir informaçõpes sobre a empresa. O atacante também pode ameaçar dizer ao chefe do empregado que ele está planejando deixar a empresa e já compartilhou informações confidenciais para fazer a vítima informar suas senhas de acesso aos sistemas", explica Johnston.
Técnica cinco: Estagiário mais velho
Um agressor posando como um estagiário mais velho tem o conhecimento e a experiência necessários para cometer espionagem industrial, sabendo que perguntas fazer e onde e como encontrar informações confidenciais, explica Johnston.
Isso pode não gerar senhas de computador diretamente, mas um invasor pode obter dados suficientes para descobrir quem deve hackear para ter acesso às senhas dentro de sua empresa.
Outro interesse é conhecer bem a linguagem corporativa. Toda indústria possui seus próprios códigos e a engenharia social criminosa irá estudar tal linguagem para que possa tirar o máximo proveito disso. Se alguém fala com você utilizando uma linguagem e expressões que se reconheça, é mais fácil transmitir segurança. As pessoas tendem a apresentar menos resistência e baixar a guarda quando conversam com outra que utilize os mesmos acrônimos e expressões ela esteja habituada a ouvir.
Técnica seis: Bots
"Os robôs maliciosos são frequentemente responsáveis por ataques de engenharia social altamente sofisticados e prejudiciais", diz Inbar Raz, pesquisador principal da PerimeterX. Os robôs infectam navegadores web com extensões maliciosas que seqüestram sessões de navegação na web e usam credenciais de rede social salvas no navegador para enviar mensagens infectadas a amigos, explica Raz.
Os atacantes usam essas abordagens de bot para enganar os amigos da vítima em links inseridos em mensagens ou baixar e instalar malwares, o que permite que os criminosos cibernéticos construam grandes botnets que incluem seus computadores, explica Raz.
O que fazer?
No exemplo de ataque ucraniano, máquinas que não permitiam aos usuários habilitar macros teriam parado o ataque frio. As empresas também podem usar a inspeção profunda de pacotes, análise comportamental e inteligência de ameaças para monitorar a camada de rede para comportamento anômalo, como foi exibido pelo ataque ucraniano no Microsoft Office, diz Neray.
Para tentar barrar os outros métodos de ataque, as empresas devem aplicar segmentação de rede, autenticação multifatorial e técnica forense pós-ataque na rede e pontos de extremidade para evitar movimentos laterais, limitar danos causados por credenciais roubadas e compreender o escopo da violação para garantir a remoção de todos os malwares associados, de acordo com Neray.
E devem endereçar o sextorção usando uma combinação de confiança zero de menos privilégio, detecção comportamental e monitoramento para expor ataques e limitar o abuso de credenciais resultante dessa técnica de engenharia social.
Sextorção também requer manipulação sensível se tal ataque tiver comprometido um empregado. "As áreas Jurídica e de RH podem ter de desempenhar um papel relevante em todas as ações, e todos precisam estar prontos para o pior. Nos casos que conheço, a conscientização dos funcionários e a intervenção precoce limitaram o dano ", diz Maude.
Já em relação aos bots, ferramentas como produtos de monitoramento de comportamento anômalo e alguns softwares antivírus e antimalware podem detectar o comportamento do bot e mudanças no navegador. A empresa pode detectar alguns robôs mais fracos usando inteligência de ameaças e informações de reputação de endereço IP, de acordo com Johnston.
Treinamento de funcionário
Toda empresa deve atualizar continuamente o treinamento dos funcionários com todos os detalhes de como os criminosos estão usando engenharia social.
"Você deve conduzir treinamento de conscientização de engenharia social separadamente e especificamente, esboçando como esses ataques funcionam, fazendo-os parecer muito plausíveis", diz Johnston. Coloque em encenações (ao vivo ou em vídeo) todos os personagens, tanto as vítimas como os perpetradores, para demonstrar os pontos vividamente e pessoalmente, diz Johnston.
"Durante as sessões de treinamento, costumo dizer às pessoas que, de início, devem ser paranóicas ao extremo já que nunca é possível determinar o que um criminoso pode querer de você”, diz Sal Lifrieri, CEO da Protective Countermeasures, que trabalhou durante 20 anos no Departamento de Polícia de Nova York.
Segundo ele, não é incomum que os métodos de engenharia social tenham como alvo funcionários como a recepcionista ou o guarda que comanda a cancela do estacionamento. “É por isso que o treinamento tem que atingir a todos já que a secretária ou recepcionista está, em geral, a menos de dez movimentos da pessoa que se deseja atingir”.
Demonstrar como a engenharia social atinge todos, mostrar como alguém pode ser vulnerável e dar às pessoas as ferramentas para se protegerem e garantias de que elas são aceitas mesmo quando são vítimas, ahuda muito.
Além disso, permitir que os funcionários conheçam e usem palavras que alertem seus empregadores de que estão em apuros pode denunciar ataques em andamento que usem chantagem ou coerção, diz Johnston.
Combinando treinamento, políticas e tecnologias de segurança, as empresas podem resistir às manobras de engenharia social antigas e novas.