Atenção! Engenharia Social – Part I

Até que ponto a Engenharia Social pode ser um risco para a Segurança da Informação? Pois a informação constitui um bem de suma importância para as organizações dos mais variados segmentos, cuja atenção tem se redobrado a cada dia. A Internet popularizada ao longo dos anos 90 permitiu a troca e disponibilidade de informações por meio do WWW (World Wide Web), outros mecanismos de comunicação e troca de informações como correio eletrônico e smartphones também têm proporcionado benefícios no uso profissional e pessoal.

Informação de forma bem sucinta, compreende qualquer conteúdo que possa ser armazenado ou transferido de algum modo, servindo a determinado propósito. Dentro do universo de informações, muitas delas têm valor organizacional ou até mesmo pessoal, porém na grande maioria das situações, usuários de informações desconhecem seu valor o que pode colocar a si ou uma instituição numa condição vulnerável, principalmente quando diante de um “cibercriminoso” como queiram, mas afinal, o que é a engenharia social tão comentada em segurança da informação?

Engenharia Social são as práticas utilizadas por “cibercriminosos” para obtenção e acesso as informações importantes ou sigilosas de empresas e sistemas por meio da enganação ou exploração da confiança das pessoas, para isso o golpista pode se passar por alguém da empresa, por vezes até assumindo outra personalidade ou fingindo ser um profissional de determinada área, prestador de serviços, etc. O termo engenharia social ficou mais conhecido nos anos 90, através do famoso hacker Kevin Mitnick, cuja história começa na adolescência em Los Angeles durante os anos 70, quando invadiu o computador de sua escola para alterar algumas notas, pouco tempo depois passou a interessar-se pela pirataria de sistemas telefônicos, para isso, chegou a invadir as instalações da Pacific Bell com a intenção de furtar manuais técnicos.

E como eles agem?

As formas são diversas e se refinam a cada dia, mas basicamente são ações que buscam explorar a maior das vulnerabilidades de um sistema ou empresa, o ser humano, através do ser humano que desconhece tal risco e muitas vezes desinsformado. Vejamos agora as principais formas de agir:

1- Coleta de informações; Aqui o cibercriminoso busca coletar dados relevantes que o ajudem a definir uma estratégia de ataque, por exemplo; entra em contato se fazendo passar por prestador de serviço interessado em divulgar seus produtos durante a conversa solicita um email para que possa enviar sua proposta, porém o anexo não passa de um software espião que vasculhará a rede em busca de vulnerabilidades na tentativa de desativar todo o sistema de defesa da empresa assumindo assim o controle da situação, no caso de usuários domésticos ocorre o mesmo só que o alvo são as informações pessoais como, CPF, data de nascimento, endereço, dados bancários, entre outros e quase sempre a arma de ataque são os sites de relacionamento ou comunidades sociais.

2- Explorando a desinformação; O maior problema que uma empresa pode enfrentar é a falta de orientação dos seus usuários, pois de nada adianta implantar sistemas de segurança se o usuário final não sabe como agir diante de uma situação de engenharia social, é semelhante a um presídio de segurança máxima que não revista os visitantes.

3- Persuasão; Compreende quase uma arte a capacidade de persuadir pessoas, onde se busca obter respostas específicas, isto ocorre porque as pessoas têm características comportamentais que as tornam vulneráveis à manipulação, desta forma ele ganha a confiança da pessoa e obtém êxito no ataque.

4- Spam; O velho e conhecido spam, trata-se de emails que normalmente oferecem algum tipo de produto. Representam algo em torno de 88% do tráfego de e-mails mundial, com um aumento de 2,5% em comparação ao primeiro trimestre de 2010 e de 7% em comparação com o quarto trimestre de 2009, segundo a empresa de segurança McAfee, sendo que o Brasil vem ganhando uma participação considerável no tráfego mundial de spams.

5- Phishing Scam; é uma forma de fraude eletrônica que difere do spam, pois o phishing scam chega ao internauta como se fosse um spam, a diferença é que o spam vai te oferecer um produto e não te levar a um site malicioso com um cavalo-de-tróia para tomar conta da máquina ou monitorar suas atividades para roubar sua identidade (números de cartões de crédito, senhas e dados bancários, etc.), os usuários devem ficar atentos a mensagens recebidas por e-mail ou via serviço de troca instantânea de mensagens, onde o texto procura atrair sua atenção, seja por curiosidade, por caridade, pela possibilidade de obter alguma vantagem (normalmente financeira), entre outras.

Como disse existem diversas formas de ataques, porém estas funcionam como base para as demais, basicamente a engenharia social explora a falha humana para conseguir informações sem uso da força, no próximo artigo falarei sobre como podemos nos proteger dessa forma de ataque tão eficaz e prejudicial. Então até a próxima!