Engenharia social: a arte de manipular

Assim, destaco aqui uma técnica que vem sendo cada vez mais utilizada, a Engenharia Social. A engenharia social é qualquer ato que influencia uma pessoa a tomar uma ação que pode ou não ser de seu interesse. Segundo Christopher Hadnagy, no seu livro Social Engineering: The Science of Human Hacking, a engenharia social utiliza a forma como o ser humano toma decisões e explora as vulnerabilidades nesses processos, que podem ser positivas ou negativas. O objetivo da engenharia social é que se tome decisões sem pensar. Quanto mais pensar, maior a probabilidade de perceber que está a ser manipulado, o que obviamente é mau para o invasor.

O que torna a engenharia social especialmente perigosa é que ela depende de erro humano, em vez de vulnerabilidades em software e sistemas operacionais. Erros cometidos por utilizadores legítimos são muito menos previsíveis, tornando-os mais difíceis de identificar e frustrar do que uma invasão baseada em malware.

Os ataques de engenharia social acontecem numa ou mais etapas. Um perpetrador primeiro investiga a vítima pretendida para recolher informações básicas necessárias, como pontos de entrada potenciais e protocolos de segurança fracos, necessários para prosseguir com o ataque. Em seguida, o invasor prepara-se para ganhar a confiança da vítima e fornecer estímulos para ações subsequentes que quebram as práticas de segurança, como revelar informações confidenciais ou conceder acesso a recursos críticos.

A engenharia social consiste em vários métodos. É mais um truque psicológico do que um ataque técnico de hackers. Tal deve-se ao facto da tendência natural das pessoas de confiarem, da noção de credibilidade e a falta de consciência. O objetivo geralmente é extrair dados confidenciais de empresas ou indivíduos. Para evitar a perda de dados de uma empresa, é crucial estar familiarizado com as técnicas de ataque de engenharia social e métodos de prevenção.

Existem muitas técnicas em engenharia social. Aqui destaco algumas:

Phishing: O objetivo é fazer com que o destinatário do e-mail acredite que é algo que precisa ou está a aguardar. O e-mail pode incluir links ou anexos perigosos contendo malware. Os tipos de phishing também incluem: spear phishing e whaling. Não confie em emails de remetentes desconhecidos e evite ao máximo clicar em links ou descarregar anexos.

Pretexto: Esta técnica utiliza um pretexto - uma justificação falsa para uma ação específica - para ganhar confiança e enganar a vítima. Por exemplo, o invasor afirma trabalhar no suporte de IT e solicita a password do alvo para fazer manutenção.
Processos, políticas e formação adequada de identificação e autenticação devem estar em vigor para contornar esses ataques.

Isco: O isco pretende atrair a vítima para realizar uma tarefa específica, fornecendo acesso fácil a algo que a vítima pode se sentir tentada a aceder. Por exemplo, uma unidade USB infetada com um keylogger e identificada como "Fotos privadas" ou “Salários”  deixada na secretária da vítima. 
Políticas de segurança, como bloqueio de software e hardware não autorizados, impedirão a maioria das tentativas, e convém relembrar as equipas para nunca confiar em fontes desconhecidas.

Quid pro Quo:  "algo por algo" em latim, envolve um pedido de informação em troca de uma compensação. É o caso de um invasor ligar para números de telefone aleatórios alegando ser do suporte técnico. Ocasionalmente, encontra uma vítima que por acaso precisava. Oferecem “ajuda”, obtendo acesso ao computador e podendo instalar software malicioso.

Shoulder surfing: Este método envolve o roubo de dados (ou seja, passwords ou códigos) olhando “por cima do ombro” quando a vítima está a utilizar o computador portátil ou outro dispositivo (um smartphone ou até mesmo num ATM). A consciencialização sobre a ameaça é particularmente importante para empresas com colaboradores em trabalho remoto, onde estes podem utilizar os seus dispositivos de trabalho em locais públicos.

Tailgating: Este método envolve a entrada física em áreas protegidas, como a sede de uma empresa. O atacante, pode se fazer passar por colaborador e convencer a vítima, que é um funcionário autorizado a entrar ao mesmo tempo, a abrir a porta do datacenter usando o cartão RFID da vítima.
O acesso a áreas não públicas deve ser controlado por políticas de acesso e/ou uso de tecnologias de controlo de acesso, quanto mais sensível a área, mais rigorosa a combinação. 

Para evitar tais ataques, há vários aspetos importantes a serem considerados:

Reforce a autenticação multifator: Mesmo uma password forte nem sempre é suficiente. É melhor não confiar na autenticação de fator único para dados importantes. Além de passwords, a verificação multifator pode incluir digitalização de impressões digitais, tokens de autenticação ou códigos SMS.

Formação dos colaboradores em engenharia social: um dos aspetos mais importantes da prevenção de engenharia social é a consciencialização dos riscos. Portanto, é essencial organizar workshops de cibersegurança para os colaboradores e passar a importância dos dados.

Testar a consciencialização dos colaboradores: É importante também colocar os colaboradores numa situação de simulação de ataque real. Bloqueiam os computadores quando saem? Há algum documento importante nas suas mesas? Credenciais escritas em post-its? O que farão se um número desconhecido ligar e se fizer passar por alguém a oferecer serviços que a empresa está à procura? Responder a estas perguntas ajudará a garantir que cada pessoa da equipa tem consciência do que pode e não deve fazer. Faça exercícios com a equipa de gestão e com os colaboradores-chave regularmente. Teste os controlos e faça engenharia reversa em áreas potenciais de vulnerabilidade.