Engenharia Social, o Perigo do Fator Humano

A luta contra o vazamento de informação e a necessidade de acompanhar os constantes avanços tecnológicos tem feito com que o mercado se preocupe cada vez mais, fazendo com que as empresas invistam em sofisticados aparatos de segurança, desenvolvimento de aplicações mais seguras e sistemas de segurança complexos.

O investimento por parte das empresas tem alterado o modo de agir dos criminosos cibernéticos, que estão investindo seus esforços no elo mais fraco do sistema de informação, as pessoas. O fator humano é hoje o maior risco à segurança da informação, e existe uma técnica muito utilizada para a manipulação das pessoas, com o objetivo de obter informações ou persuadi-las a fazer algo que facilite o seu trabalho, a esta técnica chamamos de engenharia social ou também conhecida como a arte de enganar, explorando dentre outras coisas a curiosidade, a carência e a confiança das pessoas ou até mesmo o desejo de ajudar ou de levar alguma vantagem.

Kevin Mitnik é até hoje o engenheiro social mais famoso da história, apesar de ser uma técnica antiga, foi com ele que o termo engenharia social se popularizou na área de segurança da informação. Aos doze anos já conquistava a amizade de um motorista de ônibus da região, o induzindo a explicar como funcionava o sistema de bilhetagem de cartões perfurados da época, e de posse da informação, vasculhava o lixo dos terminais de ônibus em busca de bilhetes sem uso, e com a utilização de um simples furador passou a andar de graça por toda a cidade, e não parou mais, utilizava desde a rede de telefonia e invasão de sistemas à disfarces em seus ataques e protagonizou uma das maiores caçadas do FBI, retratada no filme Caçada Virtual, até ser preso em 1995. Após 5 anos foi libertado e hoje aos 49 anos presta serviço de consultoria e palestras pelo mundo na área de segurança da informação, ensinando como se defender.

Outro famoso engenheiro social foi parar nas telas de cinema em Prenda-me Se for Capaz, com Leonardo di Caprio, seu nome era Frank Abagnale Jr. e utilizou várias técnicas de engenharia social para conseguir patrocinar suas aventuras, foi desde médico à piloto de avião da Panam.

No Brasil, Marcelo Nascimento também teve sua história contada no filme VIPs, com Wagner Moura, Marcelo se fazia passar pelo filho do dono de uma grande empresa aérea na alta sociedade, inclusive chegou a aparecer em um programa de entrevistas, mas foi descoberto, preso e nem por isso deixou de voltar a mídia, desta vez seis meses depois lá estava ele coordenando uma rebelião em um presídio carioca, negociando com as autoridades, enganando até os bandidos e se passando por um líder de uma facção criminosa.

Engenheiros sociais podem atacar seu alvo diretamente ou à distância, e podem utilizar diversas técnicas em seus ataques dependendo do objetivo final, o email é uma das táticas mais utilizadas, sendo alguns muito bem elaborados, criando uma situação que desperte algum sentimento na vítima. Bons exemplos são emails sugestivos contendo supostamente fotos de tragédias, alguma promoção, um admirador secreto querendo um contato ou informações sobre a traição de um cônjuge.

Outra tática é utilizar uma isca, imagine você passando pela rua, avista um pendrive perdido, fica todo feliz achando que se deu bem, mas na verdade ali pode conter um código malicioso, colocado propositalmente para a infecção do seu computador.

O telefone é outro meio muito utilizado, os irmãos Badir em Israel é um exemplo, eram cegos de nascença, mas ainda assim conseguiram dar um desfalque de milhões em companhias telefônicas, imitando vozes de outras pessoas e com um grande poder de persuasão. Muitos no Brasil também ou já foram vítimas ou conhecem alguém que sofreu com o golpe do falso sequestro de alguém próximo, este tipo de ataque utiliza a engenharia social tanto na coleta das informações do alvo em redes sociais, por exemplo, quanto na tentativa de persuadir o alvo pelo telefone.

Pode não parecer, mas outra fonte de informações é o lixo, muitos não se preocupam com o descarte de documentos ou papéis com informações importantes tanto em residências quanto nas empresas, e era uma das técnicas muito utilizadas para o início de um processo de ataque utilizado por Kevin Mitnick, que pode ser tratado nas empresas por uma boa política de mesa limpa.

Assim como a utilização de uma técnica simples de observação, tanto da informação digitada em tela ou de senhas no teclado. Um grande banco japonês foi vítima há alguns anos, e teve um prejuízo de milhões de dólares, por que esta simples técnica foi utilizada por engenheiros sociais.

Fingir ser simpático e amigo muitas vezes pode quebrar várias barreiras físicas ou lógicas e também é uma das técnicas de engenharia social, no bate papo com o segurança, o porteiro, o zelador, na roda de amigos em um happy hour ou o “amigo” que pede a senha ou o crachá emprestados, pedir carona na entrada de ambientes restritos, mas os prejuízos vem depois, muitas vezes para ambas as partes.

As técnicas de engenharia social podem ser utilizadas para objetivos diversos, mas sempre utilizando a informação como ponto de partida, recentemente uma pesquisa utilizando engenharia social realizada por um órgão nos EUA com 17 empresas de grande porte divulgou que 96% dos funcionários revelaram alguma informação sensível por telefone para supostos auditores ou consultores. A engenharia social representa uma ameaça, principalmente no mundo corporativo, e para mitigá-la é importante a adoção de uma política de segurança de informação sólida e que seja divulgada de forma a alcançar todos os níveis dentro da organização.

Enviado por Marcus Alves - Colunista do Ponto das Igrejas - Tecnologia e Internet

Retirado pelo Ponto das Igrejas- www.pontodasigrejas.com.br