Engenharia Social
Viver em um mundo conectado onde todas as nossas atividades cotidianas são permeadas pela tecnologia, apesar de trazer incríveis benefícios, como automatizações de processos, facilidades em acesso à informação de forma ágil e continuada, possibilidade de comprar e efetuar pagamentos sem sair de casa ou ainda ter que andar com dinheiro, dentre outros, também nos expõe a riscos que muitas vezes não concebemos.
Ao ouvir sobre golpes na internet, fraudes eletrônicas, roubo e vazamento de dados, imaginamos que os alvos destes tipos de ataques são, em sua maioria, empresas e instituições de governos que possuem dados valiosos ou segredos comerciais, porém esquecemos que toda organização, e aqui entenda uma Pessoa Jurídica, é constituída por pessoas que, assim como nós, tem seus dados expostos de forma displicente na internet. Outro fator preponderante nesse cenário, é que assim como pessoas precisam de outras pessoas para se relacionar e estabelecer relações dos mais diversos tipos, em um mundo conectado empresas também dependem de outras empresas para sobreviver, sejam elas fornecedores, parceiros comerciais, revendedores e até concorrentes.
Mas o que tudo isso tem a ver com Engenharia Social?
Chamam-se de Engenharia Social, as práticas para obter acesso a informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas. Ela utiliza-se de conhecimentos empíricos e científicos das relações humanas com o intuito de manipular uma vítima a fim de obter informações confidenciais e dados negados de forma explícita da vítima, bem como dos círculos sociais e corporativos em que a mesma esteja inserida.
Falando em números, a Verison, uma das grandes empresas no ramo de segurança digital, lançou recentemente um relatório anual sobre investigação de violação de dados, onde aponta que 93% dos dados vazados de empresas foram através de ataques de engenharia social; da lista dos 20 tipos de ataque mais utilizados no ano anterior, 3 se relacionavam com Engenharia Social; dentre as táticas mais utilizadas por atacantes para obter sucesso, 17% envolviam Engenharia Social; em relação as motivações dos atacantes, 59% foram para obter dados financeiros e em relação aos dados comprometidos, 47% eram dados pessoais.
Imaginemos uma empresa X que se preocupa com Segurança da Informação e investe pesado em ativos de segurança, Next Generation Firewall, DLP, EDR, sistemas de autenticação centralizada e etc. Esta empresa ainda contrata rotineiramente os serviços de segurança ofensiva para identificar vulnerabilidades e testar suas brechas com o intuito de uma melhoria contínua na maturidade de Segurança da Informação proteção dos seus dados. Será que mesmo assim poderíamos concluir que ela estaria segura contra ataques de Engenharia Social? Posso lhe afirmar seguramente que não!
Kevin Mitnik, um dos maiores criminosos digitais da história, preso em 1995 através de uma ação conjunta do FBI com a NSA e autor do Best Seller “A Arte de Enganar”, afirma em seu livro que “não existe tecnologia no mundo que evite o ataque de um Engenheiro Social”. Em sua obra, ele afirma que o elo mais fraco em qualquer ecossistema de segurança somos nós: os seres humanos.
Seu livro está recheado de histórias que contam como as pessoas exploradas não faziam ideia de que a informação que ela estava passando, para elas irrelevante naquele momento, era mais uma peça de um grande quebra-cabeças que o Engenheiro Social estava montando com o intuito de realizar uma ação ainda maior.
Mas como isso é possível? Simples: o sucesso de um ataque de Engenharia Social está diretamente ligado a capacidade do atacante em manipular o comportamento humano. Todos nós possuímos características psico comportamentais que nos tornariam suscetíveis a ataques de Engenharia Social. Abaixo citamos algumas destas características:
- Vaidade pessoal e/ou profissional: o ser humano costuma ser mais receptivo a avaliação positiva e favorável aos seus objetivos, aceitando basicamente argumentos favoráveis à sua avaliação pessoal ou profissional ligada diretamente ao benefício próprio ou coletivo de forma demonstrativa;
- Autoconfiança: o ser humano busca transmitir em diálogos individuais ou coletivos o ato de fazer algo bem, coletivamente ou individualmente, buscando transmitir segurança, conhecimento, saber e eficiência, buscando criar uma estrutura base para o início de uma comunicação ou ação favorável a uma organização ou indivíduo;
- Formação profissional: o ser humano busca valorizar sua formação e suas habilidades adquiridas nesta faculdade, buscando o controle em uma comunicação, execução ou apresentação, seja ela profissional ou pessoal buscando o reconhecimento pessoal inconscientemente em primeiro plano;
- Vontade de ser útil: o ser humano, comumente, procura agir com cortesia, bem como ajudar outros quando necessário;
- Busca por novas amizades: o ser humano costuma se agradar e sentir-se bem quando elogiado, ficando mais vulnerável e aberto a dar informações;
- Propagação de responsabilidade: trata-se da situação na qual o ser humano considera que ele não é o único responsável por um conjunto de atividades;
- Persuasão: compreende quase uma arte a capacidade de persuadir pessoas, onde se busca obter respostas específicas. Isto é possível porque as pessoas possuem características comportamentais que as tornam vulneráveis a manipulação.
Através da exploração destas características, Engenheiros Sociais conseguem obter informações de interesse de instituições sem precisar invadir sistemas de segurança, roubar dados ou implantar malwares. Em outras palavras, um Engenheiro Social não necessita utilizar de meios tecnológicos para deferir um ataque, por mais que o uso da tecnologia possa potencializar determinados tipos de ataques, tais como Phishing, Pharming, Baiting etc.
Como proteger minha organização contra ataques de Engenharia Social?
O ser humano é um dos elementos mais importantes ao se tratar sobre a segurança da informação. As pessoas se relacionam diretamente com a informação visto que estão envolvidas com os processos de negócio, de modo que cada indivíduo é peça chave para manter a segurança da informação. Todos os dias, colaboradores de organizações precisam lidar com informações, além disso, os meios que armazenam ou trafegam dados também são manipulados por pessoas. Com isso, para que a segurança da informação se torne possível, é necessário que as pessoas façam a sua parte com responsabilidade.
As organizações devem procurar garantir que os colaboradores envolvidos compreendem suas responsabilidades no que concerne à segurança da informação, de modo a garantir a confidencialidade, integridade e disponibilidade da informação, visto que, de modo geral, as pessoas não apresentam um bom entendimento do funcionamento das normas de segurança da informação ou das ameaças a que estão vulneráveis.
Grande parte das informações aparentemente inócuas de uma empresa podem ser úteis a um engenheiro social, pois elas podem ter um papel vital em seu esforço de se revestir de credibilidade.
Sua organização possui políticas para tratar os casos de colaboradores desligados? Por acaso, ela se restringe a bloquear os acessos destes colaboradores assim que são desligados? Só isso mesmo? Você sabia que estes colaboradores podem representar uma forte ameaça à segurança da informação, uma vez que conhecem processos e tecnologias da empresa, os quais poderiam divulgar informações sensíveis ao público por vários tipos de motivação, tais como ganho financeiro, insatisfação, entre outros?
Por mais que pareça clichê, a Segurança da Informação precisa sempre cuidar de pessoas, processos e tecnologias – na mesma medida. Se sua organização investe em tecnologia e processos de segurança, mas não conscientiza as pessoas, você é um potencial alvo de ataques. Da mesma forma, a organização que investe em processos e pessoas e deixa de lado os investimentos em tecnologia para Segurança da Informação.
Uma política de segurança bem desenvolvida, combinada a educação e treinamentos adequados, aumenta bastante a consciência do colaborador sobre o tratamento correto das informações comerciais corporativas. Uma política de classificação de dados ajuda a implementar os controles adequados para divulgação de informações. Sem essa política, todas as informações internas devem ser consideradas confidenciais, a menos que seja especificado o contrário. E esta política precisa prever treinamentos de segurança a todos os que trabalham na empresa, e não apenas aos colaboradores que tem acesso eletrônico ou físico aos ativos de TI da empresa.
O nível de detalhe em um ataque bem sucedido de Engenharia Social pode ser tão grande que o atacante pode-se valer de “jargões” que são comumente utilizados pela sua organização, logo, não é só porque o interlocutor, visitante, remetente do e-mail e etc, conhece os nomes de algumas pessoas da empresa e/ou conhece jargões ou procedimentos corporativos, que ele é quem alega ser. E isso definitivamente não o estabelece com alguém autorizado a receber informações internas, nem acessar os sistema e/ou informações da empresa.
É preciso entender também que o acesso a informação vem sofrendo gradativas mudanças com o avanço tecnológico. Em tempos antigos, a grande maioria dos funcionários não tinham acesso a informação como um todo, necessitando apenas saber da sua parte dentro do escopo completo. Por exemplo, em uma montadora de automóveis, determinado funcionário sabia que precisava colocar a peça X na posição Y e apertar os parafusos 307 e 309, e nada mais. Com o avanço dos sistemas de informação, os funcionários precisaram ter acesso aos sistemas da empresa e entender mais a fundo do funcionamento da mesma. Por este motivo, a política de segurança de uma empresa precisa ser estendida a toda empresa, independentemente da posição. Todos devem entender que não são apenas os executivos e gestores que tem as informações que um atacante pode estar procurando. Hoje em dia, os colaboradores do todos os níveis, até mesmo aqueles que não usam computadores podem ser alvos deste tipo de ataque.