A engenharia social, Como os criminosos exploram o comportamento humano

Engenharia social é a arte de explorar a psicologia humana, ao invés de técnicas de hacking, para obter acesso a edifícios, sistemas ou dados.

Técnicas de engenharia social

A engenharia social provou ser uma maneira muito bem-sucedida de um criminoso “entrar” em sua organização. Depois que um engenheiro social tem a senha de um funcionário confiável, ele pode simplesmente fazer login e bisbilhotar em busca de dados confidenciais. Com um cartão ou código de acesso para entrar fisicamente em uma instalação, o criminoso pode acessar dados, roubar bens ou até mesmo ferir pessoas.

Um Pentester explica como ele usou eventos atuais, informações públicas disponíveis em sites de redes sociais e uma camisa Cisco de R$ 200 que ele comprou em um brechó para se preparar para sua entrada ilegal no prédio. A camisa o ajudou a convencer a recepção do prédio e outros funcionários de que ele era um funcionário da Cisco em uma visita de suporte técnico. Uma vez lá dentro, ele também foi capaz de permitir a entrada ilegal de seus outros membros da equipe. Ele também conseguiu inserir vários USBs carregados de malware e invadir a rede da empresa, tudo à vista de outros funcionários.

No entanto, você não precisa ir às compras em um brechó para realizar um ataque de engenharia social. Eles funcionam tão bem por e-mail, telefone ou mídia social. O que todos os ataques têm em comum é que eles usam a natureza humana em seu benefício, atacando nossa ganância, medo, curiosidade e até mesmo nosso desejo de ajudar os outros.

Exemplos de engenharia social

Os criminosos costumam levar semanas e meses para conhecer um lugar antes mesmo de entrar em sua casa ou fazer um telefonema. A preparação pode incluir encontrar uma lista de telefones ou organograma da empresa e pesquisar funcionários em sites de redes sociais como LinkedIn ou Facebook.

1. Ao telefone

• Um engenheiro social pode ligar e fingir ser um colega de trabalho ou uma autoridade externa confiável (como uma autoridade policial ou um auditor).

2. No escritório

• “Você pode segurar a porta para mim? Não tenho minha chave / cartão de acesso comigo.” Quantas vezes você já ouviu isso em seu prédio? Embora a pessoa que está perguntando possa não parecer suspeita, essa é uma tática muito comum usada por engenheiros sociais.

3. Rede Sociais

• Os sites de redes sociais online tornaram os ataques de engenharia social mais fáceis de conduzir. Os atacantes de hoje podem ir a sites como o LinkedIn e encontrar todos os usuários que trabalham em uma empresa e reunir muitas informações detalhadas que podem ser usadas para promover um ataque.

Os engenheiros sociais também aproveitam eventos de notícias de última hora, feriados, cultura pop e outros dispositivos para atrair as vítimas. mulher perde $ 1.825 para um golpe de compras misteriosas se passando por BestMark, Inc., você vê como os criminosos aproveitaram o nome de uma conhecida empresa de compras misteriosas para conduzir seu golpe. Os golpistas costumam usar instituições de caridade falsas para promover seus objetivos escusos nas festas de fim de ano.

Os invasores também personalizam os ataques de phishing para atingir interesses conhecidos (por exemplo, artistas favoritos, atores, música, política, filantropia) que podem ser aproveitados para estimular os usuários a clicar em anexos com malware.

Ataques de engenharia social famosos

Uma boa maneira de ter uma noção de quais táticas de engenharia social você deve procurar é saber o que foi usado no passado. Temos todos os detalhes em um extenso artigo sobre o assunto , mas, por enquanto, vamos nos concentrar em três técnicas de engenharia social – independentes de plataformas tecnológicas – que têm obtido grande sucesso para os golpistas.

1º Ofereça algo Atrativo. 

Como qualquer vigarista lhe dirá, a maneira mais fácil de enganar uma marca é explorar sua própria ganância. Essa é a base do clássico golpe 419 da Nigéria, no qual o golpista tenta convencer a vítima a ajudar a obter dinheiro supostamente obtido de maneira ilícita de seu próprio país para um banco seguro, oferecendo uma parte dos fundos em troca. Esses e-mails do “príncipe nigeriano” têm sido uma piada recorrente por décadas, mas ainda são uma técnica de engenharia social eficaz pela qual as pessoas se apaixonam: em 2007, o tesoureiro de um condado escassamente povoado de Michigan doou US $ 1,2 milhão em fundos públicos para um golpista em as esperanças de lucrar pessoalmente. Outra atração comum é a perspectiva de um emprego novo e melhor, o que aparentemente é algo que muitos de nós desejam: em uma violação extremamente embaraçosa em 2011,

2º Finja até você conseguir. 

Uma das mais simples – e surpreendentemente mais bem-sucedidas – técnicas de engenharia social é simplesmente fingir ser sua vítima. Em um dos primeiros golpes lendários de Kevin Mitnick, ele teve acesso aos servidores de desenvolvimento de SO da Digital Equipment Corporation simplesmente ligando para a empresa, alegando ser um de seus principais desenvolvedores e dizendo que estava tendo problemas para fazer login; ele foi imediatamente recompensado com um novo login e senha. Tudo isso aconteceu em 1979, e você pensaria que as coisas teriam melhorado desde então, mas você está errado: em 2016, um hacker obteve o controle de um endereço de e-mail do Departamento de Justiça dos EUA e o usou para se passar por um funcionário, persuadindo um help desk para entregar um token de acesso para a intranet DoJ, dizendo que era sua primeira semana no trabalho e ele não

Muitas organizações têm barreiras destinadas a evitar esses tipos de personificações descaradas, mas muitas vezes elas podem ser contornadas com bastante facilidade. Quando a Hewlett-Packard contratou investigadores particulares para descobrir quais membros do conselho da HP estavam vazando informações para a imprensa em 2005, eles foram capazes de fornecer aos PIs os últimos quatro dígitos do número do seguro social de seus alvos – que o suporte técnico da AT&T aceitou como prova de identificação antes de entregar registros de chamadas detalhados.

3º Aja como se você estivesse no comando.

A maioria de nós é orientada a respeitar a autoridade – ou, ao que parece, a respeitar as pessoas que agem como se eles tivessem autoridade para fazer o que estão fazendo. Você pode explorar diversos graus de conhecimento dos processos internos de uma empresa para convencer as pessoas de que você tem o direito de estar em lugares ou de ver coisas que não deveria, ou de que uma comunicação vinda de você realmente vem de alguém que eles respeitam. Por exemplo, em 2015, os funcionários financeiros da Ubiquiti Networks transferiram milhões de dólares em dinheiro da empresa para golpistas que estavam se passando por executivos da empresa, provavelmente usando uma URL semelhante em seus endereços de e-mail. No lado da baixa tecnologia, os investigadores que trabalhavam para tablóides britânicos no final dos anos 2000 e início dos anos 10 muitas vezes encontravam maneiras de obter acesso às contas de correio de voz das vítimas fingindo ser outros funcionários da companhia telefônica por meio de um blefe; por exemplo,

Às vezes, são as autoridades externas cujas demandas atendemos sem pensar muito. O chefe da campanha de Hillary Clinton, John Podesta, teve seu e-mail hackeado por espiões russos em 2016, quando eles lhe enviaram um e-mail de phishing disfarçado como uma nota do Google pedindo que ele redefinisse sua senha. Ao tomar medidas que pensava que protegeria sua conta, ele realmente forneceu suas credenciais de login.

Prevenção de engenharia social

O treinamento de conscientização sobre segurança é a forma número um de prevenir a engenharia social. Os funcionários devem estar cientes de que existe engenharia social e estar familiarizados com as táticas mais comumente usadas.

Felizmente, a consciência da engenharia social se presta à narrativa. E histórias são muito mais fáceis de entender e muito mais interessantes do que explicações de falhas técnicas. Questionários e pôsteres interessantes ou engraçados também são lembretes eficazes sobre não presumir que todos são quem dizem ser.

Mas não é apenas o funcionário médio que precisa estar ciente da engenharia social. Liderança sênior e executivos são os principais alvos da empresa.

5 dicas para se defender contra a engenharia social

Alliances oferece os seguinte conselho:

1. Treine e treine novamente quando se trata de conscientização de segurança.
Certifique-se de ter um programa de treinamento de conscientização de segurança abrangente em vigor que seja atualizado regularmente para lidar com as ameaças gerais de phishing e as novas ameaças cibernéticas direcionadas. Lembre-se de que não se trata apenas de clicar em links.

2. Forneça um briefing detalhado “roadshow” sobre as mais recentes técnicas de fraude online para funcionários-chave.
Sim, inclua executivos seniores, mas não se esqueça de quem tem autoridade para fazer transferências eletrônicas ou outras transações financeiras. Lembre-se de que muitas das histórias verdadeiras envolvendo fraude ocorrem com funcionários de nível inferior que são levados a acreditar que um executivo está pedindo a eles para realizar uma ação urgente – geralmente contornando os procedimentos e / ou controles normais.

3. Revisar os processos, procedimentos e separação de funções existentes para transferências financeiras e outras transações importantes.
Adicione controles extras, se necessário. Lembre-se de que a separação de funções e outras proteções podem ser comprometidas em algum ponto por ameaças internas, portanto, as revisões de risco podem precisar ser reavaliadas devido ao aumento das ameaças.

4. Considere novas políticas relacionadas a transações “fora da banda” ou solicitações urgentes de executivos.
Um e-mail da conta do Gmail do CEO deve automaticamente levantar uma bandeira vermelha para a equipe, mas eles precisam entender as técnicas mais recentes implantadas pelo lado negro. Você precisa de procedimentos de emergência autorizados que sejam bem compreendidos por todos.

5. Revise, refine e teste seus sistemas de gerenciamento de incidentes e relatórios de phishing.
Faça regularmente um exercício de mesa com a gerência e o pessoal-chave. Teste os controles e faça engenharia reversa em áreas potenciais de vulnerabilidade.

Kit de ferramentas de engenharia social

Vários fornecedores oferecem ferramentas ou serviços para ajudar a conduzir exercícios de engenharia social e / ou para conscientizar os funcionários por meio de pôsteres e boletins informativos.

Também vale a pena conferir o Social Engineering Toolkit do social-engineer.org  , que pode ser baixado gratuitamente. O kit de ferramentas ajuda a automatizar o teste de penetração por meio de engenharia social, incluindo  ataques de spear phishing , criação de sites de aparência legítima, ataques baseados em unidade USB e muito mais.

Outro bom recurso é The Social Engineering Framework .

Atualmente, a melhor defesa contra ataques de engenharia social é a educação do usuário e camadas de defesas tecnológicas para detectar e responder melhor aos ataques. A detecção de palavras-chave em e-mails ou telefonemas pode ser usada para eliminar ataques em potencial, mas mesmo essas tecnologias provavelmente serão ineficazes para impedir engenheiros sociais qualificados.

FONTES: CSO ONLINE