Engenharia Social – Ataques de natureza humana
- Atualizado em
- Por Naty Santos
- Malwares
Não é nenhum segredo que o elo mais frágil na cadeia de segurança é o elemento humano. Usá-lo como trampolim para uma invasão é o principal alvo dos cibercriminosos.
Segundo dados de um relatório de segurança de 2017, considerando os últimos três meses do ano, os brasileiros acessaram, em média, oito links maliciosos por segundo. O WhatsApp foi o meio preferido para disseminar os links infectados, correspondendo a 66% do total registrado (29 milhões de casos), com destaque para fraudes por SMS (3,1 milhões), cópias maliciosas (755 mil) e ataques bancários (6 mil). No segundo e terceiro lugar dos ataques por links maliciosos, está, respectivamente, a publicidade maliciosa (6,3 milhões de casos) e o phishing bancário (4,5 milhões de casos). Todas estas ações são estratégias da engenharia social.
O que você vai ver neste post
Definição
A Engenharia social é um tipo de ataque que tem como objetivo manipular indivíduos, enganando-os para realizar ações ou divulgar informações confidenciais, como senhas e dados bancários, ou persuadi-los para permitir que o invasor, secretamente, acesse seus dispositivos e instale softwares maliciosos.
Uma das razões para o crescimento deste tipo de abordagem criminosa é o fato de ser mais fácil enganar alguém abusando de sua boa vontade em ajudar e explorando seus pontos fracos para revelar suas informações, do que, propriamente, hackear seu dispositivo. A ingenuidade e falta de conhecimento em segurança, muitas vezes, são vilões.
Tipo de ataques
Os ataques de engenharia social possuem dois tipos de natureza. Eles podem ser:
- Baseados em humanos (no-tech hacking) – utilizam táticas que requerem uma interação pessoal para alcançar o alvo, não usando recursos tecnológicos.
- Baseados em tecnologia – utilizam equipamentos eletrônicos para se chegar ao alvo (e-mail, telefone, redes sociais, sites, mensagens instantâneas etc.).
Ataques de engenharia social baseados em humanos
Dumpster Diving
(Mergulhando na lixeira, em português): refere-se ao ato de vasculhar o lixo alheio com o objetivo de recuperar algo de valor para consumo próprio.
No dia a dia, é muito comum encontrar pessoas que vasculham o lixo alheio para localizar algo útil. No âmbito corporativo, isso também pode ocorrer; entretanto, a falta de atenção no processo de descarte de documentos pelas empresas, podem trazer informações sensíveis ou sigilosas para as mãos de pessoas mal-intencionadas.
Utilizando-se deste método, o cibercriminoso pode localizar dados sigilosos em documentos (telefones, e-mails, endereços, dados de reuniões, investimentos etc).
Além de recuperar as informações dos papéis, também é possível reaver dados de discos rígidos (HDs), pendrives e cartões de memória, mesmo após serem formatados, através de softwares específicos para esta finalidade. Em poder destas informações, o atacante pode evoluir para outras investidas, como: phishing, vishing etc.
A principal medida recomendada para evitar esse tipo de delito é a criação de uma política de descarte, que assegure que todos os papéis passem sejam triturados antes de serem descartados. No caso dos hardwares que armazenam dados, é essencial que estes passem por um processo de limpeza que garanta que os arquivos sejam apagados em definitivo.
Shoulder surfing
(Espiar sobre os ombros, em português): é o tipo de investida na qual o atacante ‘’olha sob o ombro da vítima’’, espionando sua tela, em busca de informações sigilosas ou senhas.
É comum em caixas eletrônicos e dispositivos que acessam contas de e-mail, internet banking ou redes sociais em locais públicos, como shoppings ou aeroportos.
A recomendação para evitar esse tipo de ataque é utilizar nos dispositivos um filtro de privacidade, uma película fumê que permite eu apenas quem o vê de frente e com proximidade, enxergue a tela. Além disso, é importante evitar digitar senhas ou ler informações sigilosas, perto de outras pessoas.
Tailgating
(Porta dos fundos, em português): fisicamente, é o método, no qual um indivíduo não autorizado ‘’segue’’ a vítima, que detém o acesso autorizado aos dados, até as localizações de acesso restrito, explorando sua boa vontade ou distração para obter informações valiosas. Podemos citar três situações práticas desta abordagem:
- Exemplo 1, atacante toma emprestado um crachá de outro, sob o argumento de ter esquecido, e acessa salas que não tem autorização de entrada.
- Exemplo 2, atacante toma emprestado um dispositivo, instala nele malwares e rouba dados da máquina.
- Exemplo 3, atacante manipula uma pessoa que possui login e senha para fornecê-la, e em posse deles, acessa informações que não tem privilégios.
Como prevenir
A melhor maneira de evitar a engenharia social é não permitir que você seja enganado, adotando uma postura preventiva e atenta. A segurança deve ser um hábito incorporado ao cotidiano das pessoas.
Os cuidados e preocupações que um usuário deve ter com relação ao uso da internet devem ser os mesmos que teria no dia a dia, como visitar apenas lojas confiáveis, atentar-se quando ir ao banco, não passar informações para estranhos etc. Os riscos e golpes aplicados na internet são similares aos que ocorrem na rua ou por telefone.
Práticas de comportamento e uso da Internet recomendadas para trazer mais segurança ao usuário e para a Organização
- Bloquear o computador ao se ausentar do posto de trabalho, para que ninguém acesse seus dados;
- Não disponibilizar logins e senhas com outros colegas de trabalho;
- Não comentar assuntos corporativos em locais públicos;
- Não postar informações sigilosas nas redes sociais;
- Reportar ao Time de qualquer comportamento suspeito na internet;
- Seguir as políticas de segurança de informação da empresa;
- Não fotografar telas de computador, documentos e o ambiente de trabalho, sem autorização prévia;
- Ter cuidado com os e-mails recebidos, remetentes e links suspeitos.