Opinion

Engenharia social: a arte de manipular

O tema da cibersegurança é algo que muitas vezes é visto como um problema de tecnologia, e isso é um engano. O sucesso de uma boa política de cibersegurança passa primeiro pelas pessoas e a utilização que fazem da tecnologia

Por Vítor Oliveira, Lead Pentester da Integrity part of Devoteam . 15/03/2022

Engenharia social: a arte de manipular

Assim, destaco aqui uma técnica que vem sendo cada vez mais utilizada, a Engenharia Social. A engenharia social é qualquer ato que influencia uma pessoa a tomar uma ação que pode ou não ser de seu interesse. Segundo Christopher Hadnagy, no seu livro Social Engineering: The Science of Human Hacking, a engenharia social utiliza a forma como o ser humano toma decisões e explora as vulnerabilidades nesses processos, que podem ser positivas ou negativas. O objetivo da engenharia social é que se tome decisões sem pensar. Quanto mais pensar, maior a probabilidade de perceber que está a ser manipulado, o que obviamente é mau para o invasor.

O que torna a engenharia social especialmente perigosa é que ela depende de erro humano, em vez de vulnerabilidades em software e sistemas operacionais. Erros cometidos por utilizadores legítimos são muito menos previsíveis, tornando-os mais difíceis de identificar e frustrar do que uma invasão baseada em malware.

Os ataques de engenharia social acontecem numa ou mais etapas. Um perpetrador primeiro investiga a vítima pretendida para recolher informações básicas necessárias, como pontos de entrada potenciais e protocolos de segurança fracos, necessários para prosseguir com o ataque. Em seguida, o invasor prepara-se para ganhar a confiança da vítima e fornecer estímulos para ações subsequentes que quebram as práticas de segurança, como revelar informações confidenciais ou conceder acesso a recursos críticos.

A engenharia social consiste em vários métodos. É mais um truque psicológico do que um ataque técnico de hackers. Tal deve-se ao facto da tendência natural das pessoas de confiarem, da noção de credibilidade e a falta de consciência. O objetivo geralmente é extrair dados confidenciais de empresas ou indivíduos. Para evitar a perda de dados de uma empresa, é crucial estar familiarizado com as técnicas de ataque de engenharia social e métodos de prevenção.

Existem muitas técnicas em engenharia social. Aqui destaco algumas:

Phishing: O objetivo é fazer com que o destinatário do e-mail acredite que é algo que precisa ou está a aguardar. O e-mail pode incluir links ou anexos perigosos contendo malware. Os tipos de phishing também incluem: spear phishing e whaling. Não confie em emails de remetentes desconhecidos e evite ao máximo clicar em links ou descarregar anexos.

Pretexto: Esta técnica utiliza um pretexto - uma justificação falsa para uma ação específica - para ganhar confiança e enganar a vítima. Por exemplo, o invasor afirma trabalhar no suporte de IT e solicita a password do alvo para fazer manutenção.
Processos, políticas e formação adequada de identificação e autenticação devem estar em vigor para contornar esses ataques.

Isco: O isco pretende atrair a vítima para realizar uma tarefa específica, fornecendo acesso fácil a algo que a vítima pode se sentir tentada a aceder. Por exemplo, uma unidade USB infetada com um keylogger e identificada como "Fotos privadas" ou “Salários”  deixada na secretária da vítima. 
Políticas de segurança, como bloqueio de software e hardware não autorizados, impedirão a maioria das tentativas, e convém relembrar as equipas para nunca confiar em fontes desconhecidas.

Quid pro Quo:  "algo por algo" em latim, envolve um pedido de informação em troca de uma compensação. É o caso de um invasor ligar para números de telefone aleatórios alegando ser do suporte técnico. Ocasionalmente, encontra uma vítima que por acaso precisava. Oferecem “ajuda”, obtendo acesso ao computador e podendo instalar software malicioso.

Shoulder surfing: Este método envolve o roubo de dados (ou seja, passwords ou códigos) olhando “por cima do ombro” quando a vítima está a utilizar o computador portátil ou outro dispositivo (um smartphone ou até mesmo num ATM). A consciencialização sobre a ameaça é particularmente importante para empresas com colaboradores em trabalho remoto, onde estes podem utilizar os seus dispositivos de trabalho em locais públicos.

Tailgating: Este método envolve a entrada física em áreas protegidas, como a sede de uma empresa. O atacante, pode se fazer passar por colaborador e convencer a vítima, que é um funcionário autorizado a entrar ao mesmo tempo, a abrir a porta do datacenter usando o cartão RFID da vítima.
O acesso a áreas não públicas deve ser controlado por políticas de acesso e/ou uso de tecnologias de controlo de acesso, quanto mais sensível a área, mais rigorosa a combinação. 

Para evitar tais ataques, há vários aspetos importantes a serem considerados:

Reforce a autenticação multifator: Mesmo uma password forte nem sempre é suficiente. É melhor não confiar na autenticação de fator único para dados importantes. Além de passwords, a verificação multifator pode incluir digitalização de impressões digitais, tokens de autenticação ou códigos SMS.

Formação dos colaboradores em engenharia social: um dos aspetos mais importantes da prevenção de engenharia social é a consciencialização dos riscos. Portanto, é essencial organizar workshops de cibersegurança para os colaboradores e passar a importância dos dados.

Testar a consciencialização dos colaboradores: É importante também colocar os colaboradores numa situação de simulação de ataque real. Bloqueiam os computadores quando saem? Há algum documento importante nas suas mesas? Credenciais escritas em post-its? O que farão se um número desconhecido ligar e se fizer passar por alguém a oferecer serviços que a empresa está à procura? Responder a estas perguntas ajudará a garantir que cada pessoa da equipa tem consciência do que pode e não deve fazer. Faça exercícios com a equipa de gestão e com os colaboradores-chave regularmente. Teste os controlos e faça engenharia reversa em áreas potenciais de vulnerabilidade.


RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº6 Junho 2022

IT SECURITY Nº6 Junho 2022

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.