Tags:

Conhecendo a Engenharia Social

Engenharia social é a prática de se obter informações através da manipulação de pessoas.

Para quem pensa que a engenharia social atinge apenas os mais ingênuos, esta definitivamente enganado. A cada dia os ataques com esta ferramenta se mostram mais eficientes e constantes.

Usando pessoas, o elo mais frágil de uma corporação, os ataques podem ser efetivos e até mesmo deixando de lado ataques mais técnicos e tradicionais. As causas para sofrer um ataque de engenharia social podem ser diversas:

  • Excesso de confiança – Subestimar qualquer atacante e confiar 100% nos mecanismos defesa.

  • Otimismo – Achar simplesmente que não podemos ser atacados.

  • Percepção tardia do ataque – Não possuir mecanismos de detecção do ataque.

  • Busca de padrão – Criar padrões para tudo nem sempre é o melhor caminho para se proteger .

  • Supercompensação – Observar que já existem recursos demais para segurança da informação e achar que um ataque de engenharia social pode ser mitigado rapidamente

  • Miopia – O simples ato de não visualizar um risco

  • Fanatismo – Focar em um modelo de defesa que se julga seguro e impede de ser melhorado ou reformulado.

Sabendo disso um atacante pode usar qualquer destes vetores em seu ataque. Porem muitos atacantes são inexperientes e por não possuírem controle sobre a técnica acabam desistindo nos primeiros obstáculos, mas quando falamos de um atacante experiente e com conhecimento para concluir o seu objetivo temos um grande perigo. Ele não apenas vai tentar enganar o alvo mas manipular sua mente até mesmo assumindo o controle de sua mente temporariamente. O alvo pode simplesmente parar de pensar e usar os comandos do atacante como diretriz primaria para realizar alguma atividade, assim como acessamos remotamente um sistema podemos acessar a mente de uma pessoa.

Inúmeras técnicas para criar uma conexão podem ser usadas variando o seu alvo;

  • Confiança – O atacante pode ter habilidade suficiente para transmitir confiança do alvo e criar uma conexão estável.

  • Roupas – As vestimentas são muito importantes para que o atacante se passe pelo papel desejado.

  • Aparência – Ter boa aparência ajuda no momento de abordagem. Temos um preconceito natural contra pessoas com aparência “ruim”.

  • Voz – Ter um tom de voz agradável ao alvo fará o atacante ter a atenção necessária.

  • Linguagem corporal – Alguns atacantes fingem ser um espelho de seu alvo “copiando” hábitos e movimentos. Num primeiro momento parece ser brincadeira de criança, mas isso ajuda aumentar o laço de confiança.

  • Espelhamento da respiração – Acompanhar o alvo no ritmo da respiração ajuda o atacante a estabelecer uma conexão de empatia, esta técnica é muito utilizada pelos atacantes mais experientes

  • Ouvinte – Simplesmente ouvir o que o alvo esta dizendo e confirmar que o atacante escutou e entendeu o que foi dito.

  • Pausa – Saber o momento correto de parar de falar e deixar o alvo processar todos os comandos dados pelo atacante. Desconfie de alguém que deseje fazer amizade com você de qualquer maneira, pois este não é o instinto normal do ser humano.

  • Roteiro Mental – Simplesmente imitar o comportamento de alguém para se passar por um papel ou uma pessoa. Pense como o diretor da sua empresa fala ao telefone e se ele não for realmente quem você pensa que é ao telefone?

  • Concordar – Concordar com alguém ajuda é fortalecer a conexão entre o atacante é o alvo.

Além das técnicas de conexão, assim como um sistema também possuímos técnicas para controle remoto, com elas o atacante pode enviar comandos remotamente ao cérebro do alvo sem que ele note que esta sendo manipulado. O atacante pode usar varias técnicas para enviar estes “comandos”, na maioria é utilizado PNL (programação neurolinguística) o ataque, alguns exemplos são:

  • Leitura ocular – Os olhos podem entregar sentimentos e pensamentos.

  • Leitura de Mente – É possível notar padrões de comportamento com um simples jogo de perguntas durante uma conversa. Sendo assim um atacante consegue facilmente prever respostas, fazer as perguntas corretas e criar um papel para que o ataque funcione.

  • Leitura Fria – Basicamente o Atacante usa um perfil genérico algo que todas as pessoas tem em comum.

  • Médiuns – Notar que o alvo tem algo que ele goste muito e usar isso ao seu favor praticamente adivinhando o pensamento do alvo. Exemplo: “cachorros”, saber que o alvo tem uma foto de um cachorro na sua mesa mostra que ele tem carrinho especial por animais, o atacante certamente usará isso em algum momento para proteger a sua conexão mental.

  • Hipnose – Muita utilizada por vendedores, utilizando certas palavras chaves e induzindo o alvo a fazer o que atacante quer.

  • Desafio – A maioria das pessoas que eu conheço adoram realizar algum tipo de desafio, esta técnica simplesmente é impor um desafio ao alvo de forma subliminar.

Com observação o atacante consegue construir um mapa da mente de seus obstáculos para conseguir o chegar ao objetivo. Uma vez que o atacante consegue mapear as mentes ele poderá escolher qual são os papeis ideais para usar em seu ataque.

Estes papéis podem ser escolhidos de acordo com a ocasião se o ataque for presencial ele raramente mudará o seu papel, porém, caso for ao telefone, ele pode mudar a voz ao falar se passar por vários papeis. O atacante pode ser:

  • Gerente

  • Novos técnicos

  • Consultor de segurança

  • Cliente em potencial

  • Possível parceiro de negócios

  • Colaborador novo

  • Autoridade

  • Colaborador em emergência

Estes são alguns papeis que o engenheiro social pode assumir.O ataque pode ser limitado apenas pela criatividade do atacante. Quanto mais criativo o atacante, mais perigos pode apresentar a corporação.

Vamos pensar em um caso a onde a engenharia social pode ser usada.

Alvo: ACME S/A

Atacante: AtacanteX (usarei um apelido para identificar o atacante).

Objeto: colocar dispositivos que permitam o ataque remotamente de dentro da DMZ da corporação.

O AtacanteX, precisa obter dados sobre contratos e clientes da ACME S/A, como ele não localiza vulnerabilidades realizando o acesso totalmente externo, resolve acessar os servidores fisicamente e instalar um dispositivos que permita o seu acesso posteriormente, para isso ele vai usar a engenharia social.

Ele inicia com uma busca simples por funcionários e por possíveis alvos, vê que o domínio esta registrado no nome de Jorge Mario da Silva, continua a busca e descobre que Jorge é o CTO da ACME. Em uma rede social ele descobre outros funcionários incluindo CEO, um dos funcionários, um analista de infraestrutura costuma fazer check-in nas redes sociais quando chega para trabalhar, desta maneira ele consegue o endereço de onde possivelmente fica o CPD da ACME S/A.

Agora sim ele tem dados suficientes para um primeiro contato para conseguir informações mais consolidadas.

No primeiro contato ele conversou com a telefonista e se identificou como alguém do setor comercial de uma empresa de vigilância patrimonial, ele falou que precisava enviar alguns brindes, para o gerente da segurança patrimonial e ela passou o nome dele confirmando outras informações como: Onde ele geralmente se encontrava e aproveitando que a sua conexão estava estável, ele confirmou o endereço do CPD e o nome do gerente de ativo fixo.

Ele precisa de um e-mail de exemplo do CEO para usar como amostra, então ele envia um e-mail, falando que eles se conheceram em um evento e esta interessado nos serviços que a ACME S/A pode oferecer. O CEO na sequência o responde passando o contato de alguém do departamento comercial dizendo que apenas alguém do comercial pode ajudá-lo com preços e prazos. Pronto, ele possui a assinatura do CEO.

Neste momento ele possui todas as informações que vai precisar usar em mãos. No dia anterior a sua futura ida ele dispara um e-mail ao gerente de ativo e ao gerente de segurança patrimonial se passando pelo CEO usando um servidor de e-mail falso porem com o domínio correto. Ele sabe que pode enviar o e-mail e que nenhum dos 2 podem responder esse e-mail.

E-mail:

ASSUNTO: [CONFIDENCIAL] – Auditoria servidores CPD.

Boa noite,

Amanhã por volta das 8:00, irá o auditor Luiz Antônio da Silva da empresa AuditaMAX, que irá registrar alguns dos nossos servidores, preciso que vocês ofereçam o acesso ao CDP para ele.

Esta atividade tem prioridade, pois as 10:00 teremos uma reunião com ele, quando eu explicarei o que esta acontecendo.

Grato.

José Alfredo Siqueira.

CEO – ACME S/A

O e-mail foi enviado por volta das 21:00 um horário tarde porem não para um CEO que tem longas horas de trabalho e horários não convencionais. O AtacanteX marca um horário bem cedo, possivelmente o CEO ainda não chegou na empresa neste horário para ser procurado fisicamente, como a atividade tem prioridade eles não devem demorar para atender o AtacanteX e como haverá uma reunião as 10:00 eles terão uma explicação, basta eles esperarem até a reunião.

No próximo dia ele chega as 8:00 na filial que possui o CPD e vai até a recepção se identificando como Auditor da AuditaMAX. Inclusive usando um crachá com a identificação. A recepcionista pergunta com quem ele quer falar então ele passa o nome do gerente de segurança patrimonial ou gerente de ativo fixo. O único que estava no momento na empresa era Sebastião o gerente de segurança patrimonial, que vem até a recepção sem entender muita coisa e questiona o AtacanteX:

  • Quem é o senhor?, não estou informando sobre a sua visita.

Tranquilamente o AtacanteX responde.

  • Estou aqui a pedido do José Alfredo CEO da ACME S/A, estou realizando alguns levantamentos  e preciso apenas anotar o numero de alguns ativos no dentro de CPD e tirar fotos, para que a auditoria seja finalizada, além disso tenho uma reunião com ele as 10:00 para apresentar os resultados, ele pessoalmente falou para mim que enviou um e-mail para você autorizando a minha entrada, poderia verificar ?

Sebastião lê o e-mail, porém continua sem entender, com seu otimismo permite que o AtacanteX  entre no prédio com uma condição, Sebastião acompanha o AtacanteX internamente, um pouco desconfiado.

Ao entrar no CPD o AtacanteX começa a anotar os números dos ativos e a tirar fotos como se fosse um auditor trabalhando, em certo momento ele identifica a onde se localiza o switch da DMZ, e em uma das portas ele coloca o seu equipamento que esta devidamente pré-configurado. Em 20 minutos ele sai da sala deixando o dispositivo la instalado. Sebastião continua sem entender porém para ele o AtacanteX apenas anotou e tirou fotos.

O AtacanteX, vai realizar o acesso remoto, concluir o seu objetivo e venderá a informação no mercado negro. Mais tarde os gerentes irão descobrir que isso foi uma invasão. Só que como não ocorreram nenhum tipo prejuízo material o acontecido será ignorado ficando o alerta.

Existem varias formas de se proteger contra engenharia social. Treinamentos e conscientização ainda são umas das melhores opções, porem não as únicas;

  • Classificação das informações

  • Modelos de proteção sistêmicos

  • Controle da divulgação das informações

  • Controles de acesso e categorização de funcionários

  • Pessoas como sistemas de detecção de intrusão.

Em treinamentos e conscientização é uma das melhores formas de proteção;

  • Treinamentos presenciais

  • Boletins via e-mail

  • Postagens de intranet

  • Pôsteres

  • Testes e atividades relacionadas.

  • Usar pessoas como sistemas de detecção de intrusos.

Por JOSE RAFAEL ELOY CAPUCHO

Postado em: 25 de setembro de 2015

Confira outros artigos do nosso blog

REST não é JSON

21 de agosto de 2017

Bruno Sofiato

[Webinar] Profile de aplicações Java com Oracle Mission Control e Flight Recorder

24 de julho de 2017

Danival Calegari

Criando Mocks de serviços REST com SoapUI

27 de junho de 2017

Monise Costa

JavaScript 6: diferença entre var, let e const

09 de maio de 2017

Otávio Felipe do Prado

Deixe seu comentário