Oito táticas de engenharia social que ameaçam sua segurança

Joan Goodchild, da CSO

Conheça a maneira como agem e fique atento para que não seja você (ou sua empresa) a próxima vítima.

engenharia_social_150.jpgKevin
Mitnick, hacker famoso, ajudou a tornar popular nos anos 1990 a
expressão ‘engenharia social’. A idéia é simples e já existe há muito
tempo: enganar alguém para que ela faça ou divulgue alguma informação
sensível sem saber. Especialistas dizem que os hackers continuam a
roubar senhas, instalar malware em busca de algum lucro empregando uma
combinação de táticas novas e antigas.

Listamos a seguir uma série das mais importantes táticas de
engenharia social utilizada, que chegam pelo telefone, por e-mail ou
pela web.

Dez graus de separação
O objetivo número da engenharia
social que utiliza o telefone como mecanismo de atuação é convencer seu
alvo que ele é ou (1) um colega de trabalho ou (2) algum tipo de
autoridade externa (tal como um auditor ou oficial de justiça). Caso o
objetivo do criminoso seja obter informações a respeito de um
determinado funcionário, é muito provável que os primeiros telefonemas
ou e-mails sejam direcionados a uma pessoa diferente.O velho jogo dos seis graus de separação ganha algumas novas camadas
quando se torna um crime. De acordo com Sal Lifrieri, podem existir até
dez passos entre o alvo do criminoso e a pessoa primeiramente contatada
dentro da organização.

Lifrieri trabalhou durante 20 anos no Departamento de Polícia da
Cidade de Nova York e agora atua em uma organização denominada
Protective Operations, treinando funcionários de empresas para que não
sejam vítimas das táticas de engenharia social.

"Durante as sessões de treinamento, costumo dizer às pessoas que, de
início, devem ser paranóicas ao extremo já que nunca é possível
determinar o que um criminoso pode querer de você", diz Lifrieri.

Segundo ele, a tática que tem como alvo funcionários em geral tem
início com a recepcionista ou o guarda que comanda a cancela do
estacionamento. "É por isso que o treinamento tem que atingir a todos
já que a secretária ou recepcionista está, em geral, a menos de dez
movimentos da pessoa que se deseja atingir".

O especialista diz que a técnica dos criminosos é simples: eles
utilizam pessoas menos importantes e mais acessíveis dentro das
empresas para obter informações sobre outras, mais bem posicionadas na
hierarquia empresarial.

"Eles [os criminosos] assumem uma postura amigável, mostram-se
interessados pela vida das pessoas e em tudo que está relacionado a
elas. Em pouco tempo, eles conseguem obter informações que não seriam
obtidas de outra forma algumas semanas antes", explica Lifrieri.

Linguagem corporativa
Toda indústria possui seus próprios
códigos e a engenharia social criminosa irá estudar tal linguagem para
que possa tirar o máximo proveito disso. Lifrieri diz: "Se alguém fala
com você utilizando uma linguagem e expressões que se reconheça, é mais
fácil transmitir segurança. As pessoas tendem a apresentar menos
resistência e baixar a guarda quando conversam com outra que utilize os
mesmos acrônimos e expressões ela esteja habituada a ouvir".

O truque de música de espera
Lifrieri ressalta que ataques
bem-sucedidos em geral exigem tempo, paciência e persistência. Segundo
ele, os ataques normalmente são realizados com calma e de modo
metódico.

A técnica consiste não só em coletar informações pessoais sobre as
pessoas envolvidas, em incorporar hábitos sociais delas. O objetivo dos
criminosos e transmitir confiança e, por vezes, conseguem até fazer-se
passar por empregados também.

engenharia_social_300.jpg

Engenharia social: o alvo é você

Outra técnica bem-sucedida envolve gravar a música que as empresas
utilizam para deixar as pessoas esperando ao telefone. Lifrieri diz
que, então, os criminosos ligam para uma vítima potencial e quando são
atendidas dizem: "Podem esperar um momento, por favor, tenho outra
linha para atender".

Lifrieri diz que colocam a pessoa na espera, que então ouve a
música. "Ao ouvir uma música a que estão habituados, tendem a concluir
que a pessoa que está do outro lado da linha trabalha na mesma empresa
que elas, e acaba por baixar a guarda. Esta é só mais uma pista
tecnológica", diz.

Spoofing do número telefônico
Uma técnica diferente e que
começa a ser usada pelos criminosos é a que simula o número telefônico
de uma determinada empresa. Denominada spoofing do número telefônico
ele faz com que o identificador de chamadas da pessoa que recebe a
ligação veja um número diferente daquele que realmente originou a
ligação.

"O criminoso pode estar confortavelmente sentado em seu apartamento
ligando para você, mas o número que aparece no identificador sugere que
a ligação provém de dentro da própria empresa", diz o especialista.

Naturalmente, as pessoas que menos esperam ser vítimas de golpes são
as que mais facilmente fornecem informações privilegiadas como senhas,
caso o número do telefone que aparece no identificador seja o de um
telefone conhecido. E, claro, o crime passa indetectável porque,
depois, se você fizer uma chamada para o número, ela será encaminhada
para o número falso, ou seja, um provável ramal da própria empresa.

Uso das notícias contra você
"Não importa o que digam as
manchetes, os caras maus irão usar tal informação com iscas de
engenharia social em spam, phishing e outros tipos de ataques", avalia
Dave Marcus, diretor de pesquisas em segurança e comunicações da McAfee
Aver Labs.

Segundo ele, recentemente foi detectado um aumento significativo no número de spams relacionados às eleições presidenciais nos Estados Unidos e também com relação os problemas econômico globais.

"Constatamos um enorme volume de phishings relacionados a bancos que
estariam sendo comprados por outros", diz o pesquisador, afirmando que
em geral as mensagens dizem algo como: ‘Seu banco está sendo comprado
por esta instituição financeira. Clique aqui para atualizar suas
informações antes que a negociação se concretize’.

Marcus diz tratar-se de caso típico de tentativa de fazer os
usuários mais desavisados fornecer informações para que os criminosos
possam, então, entrar na conta corrente, efetuar saques ou vender tais
informações para outros criminosos.

Abuso da fé em sites de redes sociais
Orkut, Facebook,
Myspace e Linked In são redes sociais extremamente populares. E muitas
pessoas confiam cegamente nas informações que encontram nelas, diz
Marcus, da McAfee Aver Labs. Recentemente, lembra, um ataque de
phishing tinha como alvo usuários do Linked In e surpreendeu um grande
número de pessoas.

Marcus diz está aumentando significativamente o número de adeptos de
redes sociais que são enganados por e-mails que supostamente vêm de
sites como o Facebook, mas que não realidade vêm de scammers.

"As mensagens trazem algo como ‘Este site está em manutenção; clique
aqui para atualizar suas informações’. Ao clicar em tais links, você é
levado a sites mal intencionados".

O pesquisador do Aver Laber recomenda que se advirta os funcionários
para que digitem os endereços das páginas que desejam visitar em vez de
aceitar links que recebam pelo correio eletrônico. "Também é importante
lembrar que é muito difícil tais sites enviarem mensagens solicitando
mudanças de senhas ou atualizações cadastrais", completa

Erros de digitação
Na Internet, os caras maus de
aproveitam de qualquer deslize do usuário para tirar proveito. E Marcus
chama a atenção para uma prática muito comum: o erro de digitação no
endereço de sites; uma única letra errada ou faltando e, de repente,
você vai parar em um lugar com conseqüências imprevisíveis.

"Criminosos preparam sites muito parecidos com os que você costuma
visitar e cujas URLs são ligeiramente diferentes do endereço
verdadeiro. Fazem isso para que você pense estar onde queria estar",
explica Marcus.

Caso o usuário não perceba que está em um lugar errado, nada impede
que digite, por exemplo, o nome de usuário e senha, que tentem vender
algo ou roubar alguma informação sua ou instalar um malware em seu
computador.

Dispersão de boatos para atingir empresas
A segurança e a
vulnerabilidade de produtos, ou mesmo empresas inteiras podem impactar
pesquisas de mercado, segundo levantamento realizado pelo Avert Labs.

Os pesquisadores avaliaram o impacto de eventos tais como o Patch
Tuesday da Microsoft sobre as ações da empresa e descobriram que o
preço dos papéis costuma cair cada vez que uma vulnerabilidade é
anunciada.

"Outro exemplo recente foi a circulação – semanas atrás – da suposta morte de Steve Jobs
As ações da Apple sofreram. Este é um claro exemplo do que um boato
[cuja sigla em inglês é FUD – Fear, Uncertainty and Doubt] pode
acarretar no mercado financeiro", analisa Marcus. Acredita-se que os
responsáveis por essa ação tenham conseguido lucrar algum dinheiro com
este boato.

Tal método é conhecido no mercado financeiro como "pump-and-dump". O
scammer adquire um grande volume de ações baratas de uma determinada
empresa. Depois, espalha e-mails com informações que sugerem que tal
empresa tem um grande potencial (é o chamado ‘pump’).
Caso a tática surta efeito, com muitas pessoas correndo atrás dos
papéis dessa empresa com o objetivo de se aproveitar dessa suposta
barbada, o preço dos papéis tende a subir. Então o scammer rapidamente
se desfaz (‘dump’) das ações que comprou, obtendo um grande lucro.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s