Engenharia social em ação

Ludibriar, enganar, fraudar...

Engenharia social em ação

10/ago/2022

 

Em linhas gerais, a engenharia social está relacionada com ludibriar, enganar, fraudar. É o ato de manipular as pessoas para realizar ações não desejadas. A engenharia social pode chegar em formato físico (uma carta, por exemplo) ou digital (um email de um criminoso tentando se passar por outra pessoa). Contando com isso, hackers não precisam realmente hackear os sistemas, mas simplesmente ludibriar o fator humano para que as pessoas forneçam as informações necessárias e assim atingir seus objetivos.

 

Métodos.

Existem diversos métodos que um atacante pode utilizar para iniciar um ataque de engenharia social. Alguns listados aqui:

 

  • Pretexting (pretexto ou representação): uma situação inventada pelo atacante para envolver a vítima e ganhar mais confiança sobre ela. Normalmente utilizando-se de dados reais da vítima como números de contas, CPF, ou dados históricos que podem obtidos facilmente nas redes sociais.
  • Diversion Theft  (desvio de endereço e roubo): método normalmente utilizado contra empresas de logística e transporte para manipular o processo/procedimento e tem como objetivo e fazer com que a mercadoria ou informação seja entregue no endereço errado.
  • Phishing: Email malicioso utilizado por criminosos para tentar induzir uma vítima a fornecer informações confidenciais ou realizar uma ação potencialmente perigosa: como, por exemplo, clicar em um link ou baixar um anexo infectado com malware.
  • Spear Phishing: similar ao phishing, mas é tratado de uma forma mais direcionada. Tem como característica uma fase de descoberta (footprint) muito mais elaborada.
  • Whaling: é outra é outra variação de phishing que visa atacar executivos de alto nível hierárquico. Este método geralmente falsifica os endereços de e-mail dos executivos e direcionam mensagens urgentes para colaboradores individuais da corporação. Este tipo de ataque contém mensagens que solicitam pagamento de boletos, transferências de somas em dinheiro ou envio de informações confidenciais.
  • Water-Holing: é um método que inicia com o atacante observando os principais sites utilizados pelos alvos. Na sequência, explora vulnerabilidades deste mesmo site com a intenção de infectá-lo e consequentemente infectar as vítimas.
  • Baiting (isca): assim como o nome nos sugere, consiste em uma "isca" colocada em frente à vitima para atraí-la para o golpe. O ataque pode acontecer por telefone, rede social, ou até mesmo um pendrive “esquecido” em lugar público (USB Drop).
  • Quid Pro Quo: do latim significa “uma coisa por outra”. Normalmente o atacante oferece algum tipo de benefício em troca de alguma ação ou informação. Podemos imaginar um criminoso que se passa pela equipe de suporte técnico e de uma grande empresa. Para corrigir o "suposto problema" o criminoso solicita ao usuário que desabilite o antivírus. Isso deixa a máquina do usuário fragilizada e aberta para ataques de malware ou ransomware.

  • Tailgating (carona): técnica utilizada quando alguém se infiltra em uma área restrita e “entra grudado ou de carona” com outra pessoa. Por exemplo, passar por uma porta enquanto ela ainda está fechando, sem utilizar o crachá que permite a entrada de pessoas autorizadas.
  • Honeytrap: é uma armadilha utilizada quando o atacante finge estar romanticamente interessado na vítima. Na maioria das vezes este golpe envolve o pagamento/transferência de informações confidenciais ou valores em dinheiro.
  • Rogue: é uma forma de software malicioso que se faz passar por softwares legítimos. Este softwares fraudulentos são encontrados em diversas formas como falsos anti-vírus ou falsos anti-malwares.

Exemplo 1: Vídeo da CNN mostrando a atuação de um hacker desempenhando uma atividade de engenharia social. Aqui um "trote" por telefone para conseguir acesso ao sistema do funcionário.

Exemplo 2: Tailgating. Vídeo do sistema de alerta da OpenpathDensity. Situação clássica com a entrada do invasor "na cola" do funcionário autorizado.

Exemplo 3: Kevin Mitnick: My First Social Engineering Hack. Kevin é um dos hackers mais famosos do mundo. Hoje em dia trabalha como Chief Hacking Officer na KnowBe4 e ajuda empresas a entenderem melhor os problemas e impactos da engenharia social.

A grande maioria dos ataques começa onde a engenharia social é protagonista. Por não terem conhecimento, grande parte dos usuários podem se tornar a porta de entrada para um ataque. Portando, educar os usuários e implementar programas profissionais de conscientização pode ser o caminho certo para criar o real impacto na proteção das informações corporativas.

 

Pense antes de clicar. Na dúvida, não clique.