Fale agora com nossa equipe
Inscreva-se em nossa news
[mc4wp_form id=451]
Os seres humanos são criaturas essencialmente sociais. Gostamos de ajudar uns aos outros. Geralmente preferimos pessoas em posições mais altas na hierarquia do que nós. Temos a tendência de confiar que as outras pessoas são honestas, querem dizer o que dizem e são quem dizem ser, porque questionar qualquer uma dessas coisas sem um bom motivo é rude.
Infelizmente, essas sutilezas sociais podem nos tornar o elo mais fraco em segurança da informação. Frequentemente, os hacks resultam não de falhas técnicas, mas do que é conhecido como engenharia social: seres humanos se deixando convencer a baixar a guarda. Muitas das técnicas são tão antigas quanto a própria arte, mas foram atualizadas para a era digital.
Considere os exemplos de ataques de engenharia social abaixo dos contos de advertência.
Kevin Mitnick foi um dos hackers mais notórios dos anos 80 e 90 da era da informática. Suas façanhas eram motivadas pela curiosidade, não pelo lucro, e a engenharia social era sua superpotência. Aqui está um truque clássico de Mitnick: em 1979, na idade avançada de 16, ele fez amizade com alguns hackers que encontraram o número de um modem dial-up para o sistema que a Digital Equipment Corporation (DEC) usava para desenvolvimento de SO, mas eles contaram ele que era inútil porque eles não tinham um nome de conta ou senha. Mitnick simplesmente ligou para o gerente de sistema da DEC, alegou ser Anton Chernoff, um dos principais desenvolvedores da empresa, e disse que estava tendo problemas para fazer login; ele recebeu imediatamente um login que fornecia acesso de alto nível ao sistema . (Mitnick, agora reformado,.)
Os hackers mais famosos do Oriente Médio na década de 1990 foram Muzher, Shadde e Ramy Badir, três irmãos árabes israelenses que eram cegos desde o nascimento. Os alvos favoritos dos Badirs eram as empresas de telefonia – a certa altura, eles operavam suas próprias telecomunicações contrabandeadas e cobravam uma estação de rádio do exército israelense por toda a largura de banda – e muitos de seus golpes foram alcançados por meio de técnicas de engenharia social, como ligar para HQs de empresas de telefonia alegando ser engenheiros em campo ou conversar com secretárias para obter detalhes sobre seus chefes que os ajudariam a adivinhar as senhas. Mas os Badirs tinham habilidades absolutamente únicas: eles podiam causar estragos imitando vozes perfeitamente (do investigador de fraude em seu encalço, por exemplo) e podiam identificar o PIN de um telefone apenas por ouvir alguém digitá-lo do outro lado da sala.
Em 2005 e 2006, a Hewlett-Packard (HP) foi atormentada por lutas internas corporativas e a administração estava convencida de que um membro do conselho estava vazando informações privilegiadas para a mídia. A HP contratou investigadores particulares para investigar a comunicação de seu próprio conselho, o que eles fizeram por meio de pretextos, um termo para uma forma de engenharia social que o escândalo que se seguiu trouxe à atenção nacional. Armados apenas com os nomes dos membros do conselho e os últimos quatro dígitos de seus números de previdência social, os PIs conseguiram ligar para a AT&T e convencê-los a fornecer acesso a registros de chamadas detalhados para as vítimas. Embora a liderança da HP afirmasse que não havia autorizado essas técnicas, a queda resultou em várias demissões; embora pretextos para obter registros financeiros fossem anteriormente ilegais, o escândalo também resultou em uma lei federal mais forte contra a prática.
E-mails de “príncipes nigerianos” pedindo ajuda para tirar grandes somas de dinheiro do país são um assunto comum nas piadas da internet – mas também são armadilhas de engenharia social que atraíram os incautos, mesmo aqueles que deveriam saber mais. Em 2007, o tesoureiro de um condado escassamente povoado de Michigan roubou até US $ 1,2 milhão em dinheiro público como parte de uma fraude de adiantamento da Nigéria, dizendo a amigos que se aposentaria confortavelmente em breve e estaria voando para Londres para receber o dinheiro que pensava ser. tinha “ganho”. Ele voltou para os EUA de mãos vazias e logo foi preso.
De 2009 a 2011, o cenário da mídia do Reino Unido foi agitado por revelações de que os tabloides britânicos haviam contratado investigadores durante anos para invadir o correio de voz do celular de vários alvos em busca de histórias; as vítimas variavam de estrelas de cinema a cortesãos reais. Particularmente chocante foi a revelação de que os investigadores podem ter apagado mensagens de voz deixadas para uma menina assassinada , dando aos pais falsas esperanças de que ela estava viva.
Embora as técnicas empregadas variassem, um dos métodos principais era o uso de pretextos, conhecido na gíria britânica como “blagging”; por exemplo, um investigador convenceu a equipe da Vodafone a redefinir o PIN do correio de voz da atriz Sienna Miller alegando ser ” John do controle de crédito “. (Em outros casos, os investigadores foram capazes de simplesmente adivinhar o PIN , que muitos usuários nunca alteram do padrão.)
Phishing , embora um tanto impessoal, definitivamente é um tipo de engenharia social, pois se concentra em tentar persuadir a vítima a abrir um arquivo ou executar um aplicativo que não deveria por meio de algum tipo de isca tentadora. Em 2011, em uma violação extremamente embaraçosa para a potência da infosec RSA, pelo menos dois funcionários de baixo escalão abriram um arquivo chamado ” Plano de recrutamento 2011.xls ” de um remetente desconhecido (a perspectiva de uma oferta de emprego é uma isca comum de phishing). A planilha continha uma macro que instalou um backdoor em seus computadores, um compromisso que reduziu a eficácia do produto principal SecurID da RSA e custou à empresa US $ 66 milhões.
A engenharia social funciona em parte ao compreender os comportamentos das vítimas, como onde gostam de passar o tempo – e isso também pode incluir o tempo online. Os ataques watering hole são considerados um ataque de engenharia social no sentido de que os hackers comprometem sites onde eles sabem que seus alvos permanecem. Em 2013, os hackers conseguiram inserir JavaScript malicioso na página Site Exposure Matrices (SEM) do Departamento do Trabalho dos EUA, que contém dados sobre substâncias tóxicas presentes nas instalações do Departamento de Energia. Obviamente, a página era frequentemente visitada por funcionários do Departamento de Energia – e os invasores conseguiram infectar alguns de seus computadores com Poison Ivy, um cavalo de Troia de acesso remoto .
Em 2015, a Ubiquiti Networks, fabricante de equipamentos de rede, foi vítima do que é conhecido como “comprometimento do e-mail comercial” – ou, mais comumente, um ” golpe de CEO “. Os agressores enviaram e-mails aos funcionários do departamento financeiro da subsidiária da Ubiquiti em Hong Kong, alegando ser um alto executivo, e solicitaram transferências eletrônicas para “terceiros” – contas sob o controle dos criminosos. A Ubiquiti não quis saber exatamente como o pessoal das finanças foi enganado; como a empresa disse que não havia “nenhuma evidência de que nossos sistemas foram invadidos”, é provável que os hackers tenham usado uma técnica como um URL semelhante para fazer o truque.
Em 2015 e 2016, o adolescente britânico Kane Camble conseguiu obter acesso a contas de Internet em casa e no trabalho para importantes figuras da inteligência dos EUA usando a engenharia social como ponto de entrada . Por exemplo, ele ligou para a Verizon e os convenceu a conceder acesso à conta de e-mail do Diretor da CIA John Brennan, apesar de não ser capaz de responder à pergunta de segurança de Brennan (seu primeiro animal de estimação); ele ligou para um help desk do FBI alegando ser o vice-diretor Mark Giuliano e os convenceu a conceder acesso à conta de Giuliano, embora a agência soubesse que um hack estava em andamento. Uma vez instalado nos computadores de seu alvo, ele vazou informações confidenciais e causou outros estragos; por exemplo, ele encaminhava os telefonemas do Diretor de Inteligência Nacional, Dan Coats, para o Movimento Palestina Livre.
Spear phishing é uma variante especializada de phishing em que os invasores tentam enganar um alvo de alto valor para revelar informações confidenciais e, para hackers patrocinados pela Rússia em 2016, não havia alvo de maior valor do que o gerente de campanha de Hillary Clinton, John Podesta. Podesta recebeu um e-mail falso de “redefinição de conta” que parecia ser do Google, pedindo-lhe para fazer login e alterar sua senha; o domínio real do link fornecido, escondido atrás de um encurtador de link bit.ly, era myaccount.google.com-securitysettingpage.ml.
Podesta estava desconfiado, mas um dos assessores que ele consultou cometeu o erro de digitação mais importante da história em um e-mail, dizendo “este é um e-mail legítimo” quando queria digitar “ilegítimo”. Podesta inseriu as informações de sua conta e os hackers russos conseguiram acessar e vazar seus e-mails, o que ajudou a afundar a campanha de Clinton.
Em 2016, um hacker anônimo invadiu uma rede interna do Departamento de Justiça dos EUA e divulgou online milhares de registros pessoais de agentes do FBI e do DHS. O ataque começou quando o hacker de alguma forma obteve o controle de um endereço de e-mail do DoJ, mas foi capaz de fazer o movimento mais importante por meio da engenharia social, enquanto se regozijava com o Motherboard . Quando ele não conseguiu entrar no portal do DoJ para funcionários, “liguei, disse a eles que era novo e não entendia como superar [isso]”, disse ele. “Eles perguntaram se eu tinha um código de token, eu disse não, eles disseram que tudo bem – use apenas o nosso.” Ele imediatamente teve acesso à intranet do DoJ.
Nesse ponto, estamos todos acostumados com as caixas de diálogo que aparecem em nosso computador pedindo para confirmarmos algum curso de ação potencialmente arriscado – e elas podem ser adaptadas para nos manipular no decorrer de um ataque de engenharia social. Em 2017, uma onda de e-mails de phishing atingiu alvos ucranianos que incluíam um documento do Microsoft Word anexado com código de macro malicioso. Se as macros foram desabilitadas, os usuários viram uma caixa de diálogo especialmente criada , projetada para se parecer especificamente com uma da Microsoft, para persuadi-los a permitir a execução do código da macro. (Se executado, o código instalou um backdoor no computador que permitiu que os invasores ouvissem pelo microfone do usuário.) A lição, como em todos esses incidentes: sempre olhe duas vezes antes de clicar ou dizer sim.
FONTES; CSO ONLINE