Engenharia social: como se proteger no setor corporativo

Como se proteger de ataques de engenharia social e qual o seu impacto no setor corporativo, vamos explicar o que significa esse termo. Engenharia social é utilizada para descrever um método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações.

Conhecida como a “arte de enganar”, a engenharia social é uma excelente vertente de ataque e está diretamente ligada ao sucesso de um teste de invasão, principalmente no setor corporativo, onde o nível de proteção é maior, com políticas de segurança bem definidas e várias camadas de proteção. De toda forma, não existe 100% de segurança, no entanto é possível dificultar tanto a vida de um possível atacante, de forma que os recursos empenhados na tentativa de invasão sejam muito maiores que a motivação do invasor.

Com o crescimento do sequestro de informações de empresas realizadas pela onda de ataques através de malware do tipo ransomware, as pequenas e médias empresas começaram a se preocupar um pouco mais com a segurança da informação do seu negócio, os gestores começaram a investir em proteção para elevar a maturidade da segurança da informação.

Mas, se a segurança é maior, por que os ataques de sucesso aumentam cada vez mais? Pois sabe-se que a melhor chance de burlar um sistema razoavelmente seguro é atacar o elo mais fraco da corrente, o usuário.

Como a engenharia social pode impactar na sua vida e no seu negócio?

Normalmente o foco dos hackers é atuar em pessoas físicas com o roubo de dados bancários, sequestros, golpes e no lado empresarial com vazamento de informações e roubo de dados bancários.

O impacto no ramo empresarial normalmente é elevado devido ao fator de risco mal calculado, mas diferente do que você pode estar pensando, a engenharia social não é apenas um método de ataque digital para obter acesso a computadores e dados computacionais, essa técnica pode ser aplicada através do telefone, internet ou até pessoalmente. Quando um funcionário mal intencionado faz uso da técnica de shoulder surfing, que nada mais é que olhar enquanto você digita uma senha, ele está utilizando uma vertente da engenharia social.

Quando um possível invasor verifica o lixo da sua empresa, atrás de alguma informação interessante para o processo de invasão, ele está utilizando uma vertente da engenharia social, esse item é conhecido como dumpster diving, e é incrível o que se pode encontrar no lixo, sabe aquele post it com o usuário e senha do funcionário novo? Ou alguma anotação sigilosa que você descarta no lixo comum? Sim, esse é o objetivo dessa técnica.

As aplicações são as mais variadas, por exemplo, o famoso golpe nigerian scams, é um caso que demonstra que a aplicação independe do meio, ela é amplamente utilizada através do telefone, carta, pessoalmente ou por meio digital. Para quem não está familiarizado com o nome, existe uma infinidade de variações desse golpe, no entanto, todas visam convencer a vítima de que ela está prestes a receber um grande benefício, normalmente financeiro, e que para conseguir isso, só falta realizar alguns pagamentos e como você pode imaginar após receber o pagamento os golpistas desaparecerem.

Exemplos de vetores de ataques com a engenharia social

Phishing

O phishing consiste em enviar e-mails atrativos e curiosos com links para programas maliciosos ou incitando atividade enganosa. Nesse ponto podemos utilizar e-mails como:

Parabéns você ganhou um vale compras! – Simulando ser uma empresa de renome.
Parabéns, você foi sorteado e ganhou um automóvel zero! – Simulando ser uma grande concessionária.
Ator famoso deixa dois mortos e um ferido em acidente com automóvel. – Simulando uma notícia.
Você é muito especial para mim, eu te amo! – Simulando ser um admirador secreto.
Essa foto sua é montagem? – Simulando ser um conhecido da vítima.
O sistema verificou a segurança do seu computador e encontrou nove falhas perigosas. – Simulando ser uma famosa empresa de segurança computacional.
Comunicamos que seu nome foi incluso no SPC/SERASA devido as seguintes pendências em aberto. – Simulando ser uma grande empresa de telefonia.

Como vocês podem ver as possibilidades são infinitas, e visam mexer com os sentimentos das vítimas para que elas realizem alguma ação, como baixar um arquivo infectado, passar alguma informação sigilosa, ou simplesmente realizar um pagamento.

Pharming

Essa técnica é um excelente caso de uso da combinação de técnicas avançadas de invasão com engenharia social, o pharming visa envenenar o servidor DNS da vítima que é responsável por redirecionar os sites acessados para o endereço correto, fazendo com que seja possível direcionar todo tráfego para sites falsos, por exemplo, utilizando essa técnica é possível fazer com que quando o usuário acessar o site itau.com.br, ele seja direcionado para um servidor falso, que tem uma cópia perfeita da tela do Itaú para conseguir roubar informações bancárias, essa técnica também pode ser utilizada para capturar usuário e senha de sistemas corporativos dentre várias outras possibilidades.

Roubo de identidade

Esse processo contempla duas etapas, primeiramente alguém rouba suas informações pessoais, em segundo lugar o engenheiro social utiliza essas informações para fazer se passar por você e cometer outras fraudes e demais atos ilícitos.

Burlar autenticação

É bastante comum utilizar para acessar áreas restritas, uma maneira clássica de empenhar a quebra de autenticação, é utilizando a engenharia social de forma presencial, com a frase: “Olá, esqueci minha credencial.”, esse caso foi demonstrado no filme Takedown que conta a história de um dos maiores engenheiros sociais da história, Kevin Mitnick.

Citamos algumas técnicas utilizadas dentro da engenharia social, no entanto não há limites, a sua imaginação é o que vai fazer você obter resultados satisfatórios, existem várias outras técnicas simples e eficazes, por exemplo, infectar um pendrive e deixá-lo ser encontrado pela possível vítima, possivelmente a curiosidade fará com que ela execute o conteúdo do pendrive, outro caso interessante seria simplesmente seguir uma pessoa com autorização até uma zona restrita que seja o seu objetivo dentro da empresa, da mesma forma existem vários outros métodos de ataque utilizando a engenharia social, também é possível sofisticar os métodos tradicionais, por exemplo, é possível melhorar a técnica de phishing simulando ser um funcionário com um alto nível de hierarquia dentro do negócio e assim solicitar informações sigilosas.

Como caímos nos golpes utilizados por engenheiros sociais?

A arte de enganar tem como foco o elo mais fraco da corrente e tem como uma poderosa arma a manipulação de sentimentos, conquistar o sentimento da possível vítima é fundamental para realizar um ataque de sucesso.

Curiosidade

Podemos utilizar e-mails curiosos, promoções tentadoras, para aguçar a curiosidade do nosso alvo.

Confiança

Quando há confiança, o engenheiro social atua com mais facilidade, é possível utilizar técnicas de invasão para simular ser um diretor e forjar uma autenticação prévia através de um e-mail falso, fazendo com que você se passe por uma pessoa de grande autoridade dentro da empresa.

Simpatia

Adoramos pessoas simpáticas, a dificuldade de dizer “não” quando alguém é simpático, faz com que os engenheiros sociais sejam bajuladores profissionais.

Culpa

A culpa é um excelente argumento para obter informações, o desespero de alguém que é, ou se sente culpado é um excelente ponto para ser trabalhado por engenheiros sociais.

Intimidação

Gerar medo, usando uma voz firme, incluir ameaças à negação dando a entender ser um superior, com frases como “faça isso agora”.

Esses são alguns pontos que engenheiros sociais atuam, mas como caímos nesses truques? Normalmente é devido ao baixo desconfiômetro, a não destruir documentos, revelar dados sem consulta, acessar sistemas duvidosos, curiosidade em excesso ou até mesmo falar sobre dados confidenciais da empresa fora do ambiente da empresa.

Como se proteger de ataques

Ataques de engenharia social são focados no usuário, e a única forma de proteger o seu negócio é qualificar seus funcionários, trazendo treinamentos, workshops, estudos de caso.

Outro ponto que é fundamental, é ter uma rígida política de segurança, realizar testes de invasão periodicamente para testar como a segurança do negócio está se comportando com um ataque simulado.

Invadir para proteger, esse é o ponto para conseguir evoluir a maturidade da segurança da informação da sua empresa, fazendo com que você e sua equipe conheçam o seu inimigo e a vocês mesmo, para que seja possível conseguir vencer a guerra contra o cibercrime.

Nós da Inove Dados, sabemos como é complexa essa guerra diária e estamos disponíveis para auxiliar o seu negócio com testes de invasão, auditorias e treinamentos na área de segurança da informação.

Compartilhe!

Mais Postagens

DevOPS realizando a migração de infraestrutura física para a nuvem

Migração de infraestrutura física para a nuvem: O guia completo

Na era da transformação digital, a capacidade de adaptar e inovar tornou-se vital para o sucesso dos negócios. À medida que as empresas buscam soluções

Desenvolvimento de sistemas para blockchain: Mercado Cripto

O blockchain é mais do que apenas uma palavra da moda no universo tecnológico; é uma revolução que está redefinindo o modo como as transações