Engenharia social (segurança)
Foram assinalados vários problemas nesta página ou se(c)ção: |
A engenharia social, no contexto de segurança da informação, refere-se à manipulação psicológica de pessoas para a execução de ações ou para a divulgação de informações confidenciais. Esse é um termo que descreve um tipo psicotécnico de intrusão que depende fortemente da interação humana e envolve enganar outras pessoas para a quebra de procedimentos de segurança. Um ataque clássico na engenharia social é quando uma pessoa se passa por profissional de alto nível dentro das organizações, dizendo possuir problemas urgentes de acesso ao sistema, conseguindo assim o acesso a locais restritos.[1]
Entendendo a engenharia social
[editar | editar código-fonte]A engenharia social é aplicada em diversos setores da segurança da informação, e independentemente de sistemas computacionais, software e/ou plataforma utilizada, o elemento mais vulnerável de qualquer sistema de segurança da informação é o ser humano, o qual possui traços comportamentais e psicológicos que o torna suscetível a ataques de engenharia social. Dentre essas características, pode-se destacar:
A engenharia social não é exclusivamente utilizada em informática. Ela também é uma ferramenta que permite explorar falhas humanas em organizações físicas ou jurídicas as quais operadores do sistema de segurança da informação possuem poder de decisão parcial ou total sobre o sistema, seja ele físico ou virtual. Porém, deve-se considerar que informações tais como pessoais, não documentadas, conhecimentos, saber, não são informações físicas ou virtuais, elas fazem parte de um sistema em que possuem características comportamentais e psicológicas nas quais a engenharia social passa a ser auxiliada por outras técnicas como: leitura a frio, linguagem corporal, leitura quente. Esses termos são usados no auxílio da engenharia social para obter informações que não são físicas ou virtuais, mas sim comportamentais e psicológicas.
Técnicas
[editar | editar código-fonte]A maioria das técnicas de engenharia social consiste em obter informações privilegiadas enganando os usuários de um determinado sistema através de identificações falsas, aquisição de carisma e confiança da vítima. Um ataque de engenharia social pode se dar através de qualquer meio de comunicação. Tendo-se destaque para telefonemas, conversas diretas com a vítima, e-mail e WWW. Algumas dessas técnicas são:
Vírus que se espalham por e-mail
[editar | editar código-fonte]Criadores de vírus geralmente usam e-mail para a propagar as suas criações. Na maioria dos casos, é necessário que o usuário ao receber o e-mail execute o arquivo em anexo para que seu computador seja contaminado. O criador do vírus pensa então em uma maneira de fazer com que o usuário clique no anexo. Um dos métodos mais usados é colocar um texto que desperte a curiosidade do usuário. O texto pode tratar de sexo, de amor, de notícias atuais ou até mesmo de um assunto particular do internauta. Um dos exemplos mais clássicos é o vírus I Love You, que chegava ao e-mail das pessoas usando este mesmo nome. Ao receber a mensagem, muitos pensavam que tinham um(a) admirador(a) secreto(a) e na expectativa de descobrir quem era, clicavam no anexo e contaminam o computador. Repare que neste caso, o autor explorou um assunto que mexe com qualquer pessoa. Alguns vírus possuem a característica de se espalhar muito facilmente e por isso recebem o nome de worms (vermes). Aqui, a engenharia social também pode ser aplicada. Imagine, por exemplo, que um worm se espalha por e-mail usando como tema cartões virtuais de amizade. O internauta que acreditar na mensagem vai contaminar seu computador e o worm, para se propagar, envia cópias da mesma mensagem para a lista de contatos da vítima e coloca o endereço de e-mail dela como remetente. Quando alguém da lista receber a mensagem, vai pensar que foi um conhecido que enviou aquele e-mail e como o assunto é amizade, pode acreditar que está mesmo recebendo um cartão virtual de seu amigo. A tática de engenharia social para este caso, explora um assunto cabível a qualquer pessoa: a amizade.
Outros conceitos
[editar | editar código-fonte]Pretexto
[editar | editar código-fonte]Pretexto é o ato de criar e usar um cenário inventado para envolver uma vítima visada de uma maneira que aumenta a chance de a vítima divulgar informações ou executar ações que seriam improváveis, em circunstâncias comuns.[2] Uma mentira elaborada, geralmente envolve algumas pesquisas ou configurações anteriores e o uso dessas informações para representação (por exemplo, data de nascimento, número do Seguro Social, valor da última conta) para estabelecer legitimidade na mente do alvo.[3]
Essa técnica pode ser usada para enganar uma empresa na divulgação de informações de clientes, bem como por investigadores particulares, para obter registros telefônicos, utilitários, bancários e outras informações diretamente dos representantes de serviços da empresa.[4] As informações podem ser usadas para estabelecer uma legitimidade ainda maior sob questionamentos mais difíceis com um gerente, por exemplo, para fazer alterações na conta, obter saldos específicos etc.
O pretexto também pode ser usado para representar colegas de trabalho, policiais, bancos, autoridades fiscais, clérigos, investigadores de seguros - ou qualquer outro indivíduo que possa ter percebido autoridade ou direito de saber na mente da vítima visada. O pretextador deve simplesmente preparar respostas para perguntas que possam ser feitas pela vítima. Em alguns casos, tudo o que é necessário é uma voz que soa autoritária, um tom sério e uma habilidade de pensar rápido para criar um cenário pré-textual.
Vishing
[editar | editar código-fonte]O phishing por telefone (ou vishing) usa um sistema de resposta de voz interativa (URA) não autorizada para recriar uma cópia com som legítimo de um banco ou sistema de IVR de outra instituição. A vítima é solicitada (normalmente por um e-mail de phishing) a ligar para o "banco" por meio de um número (idealmente gratuito) fornecido para "verificar" as informações. Um sistema típico de vishing rejeitará logins continuamente, garantindo que a vítima insira PINs ou senhas várias vezes, frequentemente divulgando várias senhas diferentes. Sistemas mais avançados transferem a vítima para o atacante/fraudador, que se apresenta como agente de atendimento ao cliente ou especialista em segurança para mais perguntas sobre a vítima.
Isca
[editar | editar código-fonte]A isca é como o cavalo de Troia do mundo real que usa mídia física e depende da curiosidade ou ganância da vítima.[5] Nesse ataque, os invasores deixam disquetes, CD-ROMs ou unidades flash USB infectadas por malware em locais onde as pessoas os encontram (banheiros, elevadores, calçadas, estacionamentos etc.), fornecem etiquetas legítimas e que despertam curiosidade e espera pelas vítimas.
Por exemplo, um invasor pode criar um disco com um logotipo corporativo, disponível no site do alvo, e rotulá-lo como "Resumo do salário executivo Q2 de 2012". O atacante então deixa o disco no chão de um elevador ou em algum lugar no corredor da empresa-alvo. Um funcionário que não conhece pode encontrá-lo e inserir o disco em um computador para satisfazer sua curiosidade, ou um bom samaritano pode encontrá-lo e devolvê-lo à empresa. De qualquer forma, apenas inserir o disco em um computador instala o malware, dando aos invasores acesso ao PC da vítima e, talvez, à rede interna de computadores da empresa alvo.
A menos que os controles do computador bloqueiem infecções, a inserção compromete a mídia de "execução automática" dos PCs. Dispositivos hostis também podem ser usados.[6] Por exemplo, um "vencedor sortudo" recebe um reprodutor de áudio digital gratuito comprometendo qualquer computador ao qual esteja conectado. Uma "maçã da estrada" (o termo coloquial para esterco de cavalo, sugerindo a natureza indesejável do dispositivo) é qualquer mídia removível com software malicioso deixado em locais oportunistas ou conspícuos. Pode ser uma unidade flash CD, DVD ou USB, entre outras mídias. Pessoas curiosas o pegam e conectam a um computador, infectando o host e todas as redes conectadas. Novamente, os hackers podem dar a eles rótulos atraentes, como "Salários dos funcionários" ou "Confidencial".[7]
Em um estudo realizado em 2016, os pesquisadores espalharam 297 unidades USB em todo o campus da Universidade de Illinois. As unidades continham arquivos que possuíam links para páginas de propriedade dos pesquisadores. Os pesquisadores conseguiram ver quantas das unidades tiveram seus arquivos abertos, mas não quantas foram inseridas em um computador sem ter um arquivo aberto. Das 297 unidades que foram espalhadas, 290 (98%) delas foram acionadas e 135 (45%) delas foram "acionadas de casa".[8]
Quid pro quo
[editar | editar código-fonte]Quid pro quo significa "algo para algo":
- Um invasor liga para números aleatórios em uma empresa, alegando estar ligando de volta do suporte técnico. Eventualmente, essa pessoa atingirá alguém com um problema legítimo, agradecida por alguém estar ligando de volta para ajudá-la. O invasor "ajudará" a resolver o problema e, no processo, terá os comandos de tipo de usuário que dão acesso ao invasor ou iniciam um malware.
- Em uma pesquisa de segurança da informação de 2003, 91% dos trabalhadores de escritório deram aos pesquisadores o que eles reivindicaram ser sua senha em resposta a uma pergunta da pesquisa em troca de uma caneta barata.[9] Pesquisas semelhantes em anos posteriores obtiveram resultados semelhantes usando chocolates e outras iscas baratas, embora não fizessem nenhuma tentativa de validar as senhas.[10]
Utilização não autorizada (tailgating)
[editar | editar código-fonte]Um invasor, buscando entrada em uma área restrita protegida por controle de acesso eletrônico autônomo, por exemplo por cartão RFID, simplesmente entra atrás de uma pessoa que tem acesso legítimo. Após uma cortesia comum, a pessoa legítima geralmente mantém a porta aberta para o atacante ou os próprios atacantes podem pedir ao funcionário que a mantenha aberta para eles. A pessoa legítima pode deixar de solicitar identificação por qualquer um dos vários motivos ou aceitar uma afirmação de que o atacante esqueceu ou perdeu o token de identidade apropriado. O invasor também pode fingir a ação de apresentar um token de identidade.
Ver também
[editar | editar código-fonte]Referências
- ↑ Nakamura, Emilio Tissato; Paulo Licio de Geus. Novatec, ed. Segurança em redes cooperativos. 2007 1 ed. São Paulo: [s.n.] 9788575221365
- ↑ The story of HP pretexting scandal with discussion is available at Davani, Faraz (14 de agosto de 2011). «HP Pretexting Scandal by Faraz Davani». Scribd. Consultado em 15 de agosto de 2011
- ↑ "Pretexting: Your Personal Information Revealed", Federal Trade Commission
- ↑ Fagone, Jason (24 de novembro de 2015). «The Serial Swatter». New York Times. Consultado em 25 de novembro de 2015
- ↑ «Social Engineering, the USB Way». Light Reading Inc. 7 de junho de 2006. Consultado em 23 de abril de 2014. Arquivado do original em 13 de julho de 2006
- ↑ «Archived copy» (PDF). Consultado em 2 de março de 2012. Arquivado do original (PDF) em 11 de outubro de 2007
- ↑ Conklin, Wm. Arthur; White, Greg; Cothren, Chuck; Davis, Roger; Williams, Dwayne (2015). Principles of Computer Security, Fourth Edition (Official Comptia Guide). New York: McGraw-Hill Education. pp. 193–194. ISBN 978-0071835978
- ↑ Raywood, Dan (4 de agosto de 2016). «#BHUSA Dropped USB Experiment Detailed». info security. Consultado em 28 de julho de 2017
- ↑ Leyden, John (18 de abril de 2003). «Office workers give away passwords». Theregister.co.uk. Consultado em 11 de abril de 2012
- ↑ «Passwords revealed by sweet deal». BBC News. 20 de abril de 2004. Consultado em 11 de abril de 2012