Engenharia Social: Informações simples que podem impactar na segurança da Informação
Constantes golpes de Engenharia social a empresas no mundo todo nos fazem questionar os investimentos pesados apenas em equipamentos de tecnologia, esquecendo-se das pessoas. Atualmente temos visto os grandes investimentos tecnológicos das empresas para mitigar riscos e garantir assim uma melhor segurança de suas informações e ativos de informação. O que as empresas têm esquecido é do investimento em pessoas e cultura.
Este investimento é infinitamente menor do que o investimento em tecnologia, pois os recursos mais importantes são as pessoas, e elas já estão na empresa.
A falta da cultura de segurança, e até mesmo o sentimento de:
“isso nunca vai acontecer comigo”
Esse é o grande culpado pela falta de investimento preventivo das empresas em Segurança da Informação. A informação hoje é o ativo de maior valor das organizações.
Uma das maiores vulnerabilidades explorada pelo Engenheiro Social é a velha máxima:
“Não tenho nada de confidencial ou importante em minha empresa”,
pois ele usa esse pensamento para extrair informações. Mal sabemos que às vezes uma informação isoladamente pode ser inofensiva, mas cinco ou seis juntas podem fazer uma empresa fechar, ou então ter um grande impacto negativo em seu negócio.
O Engenheiro Social:
O termo “Engenheiro Social” é uma forma mais simpática, e até profissional de chamar pessoas que usam habilidades de comunicação, análise e muita simpatia para, na maioria das vezes, atacar empresas e acessar informações importantes de forma enganosa, explorando a confiança das pessoas e causando danos ou obtendo lucro com isso. Algumas fontes citam os Engs. Sociais do “Bem”, que seriam pessoas que usam seus dons e técnicas para ações positivas como entrevistar pessoas, vender produtos e outros benefícios.
Bom, nós não vamos falar deles neste artigo, meu foco aqui são fraudadores, ladrões e aproveitadores. A engenharia social só é possível quando as pessoas não estão preparadas, pois a base dela é a desatualização das pessoas em relação a Segurança da Informação, o não entendimento sobre a importância das informações e ativos da empresa, assim como a ingenuidade e o instinto de ajuda em relação a pessoas desconhecidas, mas com grande simpatia.
Engenharia Social não é uma Profissão regulamentada, não existe, é apenas um termo.
Apesar do nome, a Engenharia Social não é ligada as ciências exatas ou sociologia. Na verdade, trata-se de uma antiga técnica para roubo de informações importantes de pessoas descuidadas, através da criação de laços e amizade e de uma boa conversa.
Case I “Uma das maiores brechas da segurança em pessoas é uma secretária extremamente prestativa” Há alguns anos atrás me encontrei em Curitiba com um cliente e amigo que estava realizando a venda de sua empresa para um grupo de São Paulo. Eu o encontrei no aeroporto e perguntei com qual grupo seria essa negociação. Ele me respondeu prontamente que a informação era confidencial, pois essa informação antes do fechamento poderia colocar em risco a negociação. Pedi a ele se poderia tentar descobrir e já que somos muito amigos e tínhamos um contrato de confidencialidade com a sua empresa, não teria problema se eu tivesse sucesso. Perguntei a ele se a secretária dele sabia os horários dos voos dele e se sabia da informação. Ele me disse que sim.
Liguei ao escritório dele e simplesmente disse: - Sra. Fulana, meu nome é João e estou com o Sr. Ciclano embarcando agora em nosso voo, ele me pediu em situação de emergência qual o endereço do local que ele vai visitar em São Paulo e o nome da pessoa, pois não está acessando a internet.
Mais rápida que um piscar de olhos ela me disse: - Ok, aguarde um segundo por favor. Me passando o endereço, o nome completo do contato e somando isso ao meu acesso ao Google foi muito rápido ter a informação. Falha da Secretária? Não, ela fez exatamente o que as secretárias são treinadas para fazer, resolver problemas de seus chefes e facilitar a vida. Ela não tinha ideia de que a informação era confidencial, e mesmo se tivesse que mal tem passar a informação para um operador da empresa aérea para ajudar seu chefe?
Bom, a brincadeira deu um grande susto em meu amigo, que não pensou duas vezes em treinar seu pessoal.
Case II O Golpe da Lista Telefônica Depois de ler tudo isso, tenho certeza que muitas pessoas ainda pensam que dificilmente as suas empresas cairiam em um golpe desses, mas só no ano de 2010 milhares de pequenas e médias empresas caíram no golpe da lista telefônica.
Como funciona: Tudo começa com uma ligação a pequenos empresários, comerciantes e profissionais liberais. Quem liga faz uma proposta tentadora: divulgar o nome da empresa gratuitamente numa lista telefônica. Foi assim com seu Jorge Conto, dono de uma imobiliária em Fortaleza. “Eles dizem que é um novo cadastro e citam o nome da Anatel”, conta. Ele acreditou que o serviço sairia de graça e recebeu por fax um contrato já preenchido com os dados da imobiliária dele. Os negociadores pediram que Jorge devolvesse o papel assinado e carimbado; daí para frente, o serviço gratuito virou uma dívida de mais de R$ 3.500.
A lista telefônica impressa nunca aparece; as empresas ganham apenas anúncios numa página na Internet. As cobranças começam a ser feitas em telefonemas ameaçadores, pouco depois de as vítimas assinarem o documento enviado por fax.
"Diariamente, eu recebo ligações de supostos cartórios de São Paulo e da empresa, exigindo que eu faça um depósito, reclama Jorge Conto (g1.globo.com)."
Case III Fishing Scan
Outro exemplo com uma mistura de Eng. Social e Tecnologia são os Fishing Scan. Basta sair algum escândalo na mídia e nossas caixas de correio enchem com e-mails do tipo: -
“Vejam as fotos do Acidente na cidade de X” bobagem, certo?
Não, infelizmente o número de pessoas que clicam para ver as fotos ainda é muito grande. Mas o grande impacto é quando o Eng. Social estuda a empresa, as pessoas que ela se relaciona, e acessa informações como: Quem são os fornecedores da empresa, seus gerentes, funcionários, datas de aniversário, informações das redes sociais e outros.
Quando se tem acesso a essa gama de informações direcionadas, a capacidade de um ataque de sucesso é muito grande, por isso é muito importante que pessoas e empresas entendam que a exposição de números de celular, datas de aniversário e outras informações aparentemente inocentes ao grande público, podem ser utilizadas para um ataque.
Ações mais comuns de Engenharia Social:
1 - A EMERGÊNCIA Quem não vai ajudar um conhecido que está em uma emergência? Essa é uma das situações mais difíceis de discernir o certo do errado, e aqui entra a secretária prestativa, ou o colega de trabalho que não quer deixar o amigo em uma situação ruim. O atacante liga dizendo que alguém conhecido está em algum tipo de emergência, e assim coleta informações repassadas para ajudar o suposto amigo. A pessoa liga para você dizendo ser da Policia Rodoviária, e seu amigo que saiu de férias, sofreu um acidente, para isso precisa do telefone dos pais e do endereço dele. Essas informações podem ser usadas para simulação de sequestro e diversas outras.
2 - AUTORIDADE INQUESTIONÁVEL Uma pergunta que eu faço frequentemente às Auditorias de Segurança quando alguém me diz que tal informação é restrita ou confidencial, como por exemplo o No. de CPF, celular ou salário: - Se o vice-presidente da empresa ligar pedindo, você revela a informação? Normalmente a resposta é: Pois é, se ele pedir tem que passar! Mas a questão é, quem disse que a pessoa que ligou é o Vice-presidente da empresa? Em grandes corporações as pessoas não se conhecem, basta o engenheiro social conhecer as pessoas da empresa e ameaçar a entregar para o Sr. Gerente Fulano de Tal se ela não falar, assim como colocar uma secretária a ligar antes e fazer demorar a ligação para criar expectativa e medo.
3 - AJUDA Aqui é utilizado o seu lado humano para ajudar um colega, um parente de amigo, namorado(a) ou alguém que possa ter um mínimo de laços de amizade e que você não gostaria de ver passando por problemas.
As pessoas tendem a se sensibilizar com as outras quando estas são educadas, amáveis, agradáveis. Da mesma forma, quando se identificam com estas mesmas qualidades.
4 - PRESENTE OU PRÊMIO Por mais comum que possa parecer o atacante liga para você armando que você ganhou algo em uma loja, ou shopping ou qualquer lugar que você frequente ou tenha relação. Neste caso os atacantes mais preparados não falam de grandes prêmios, mas sim de pequenos prêmios que você também não deixaria de querer, como duas revisões do seu carro, ou 4 tanques de gasolina ou ainda uma camisa de marca X.
Esses pequenos prêmios fazem com que a gente queira retirar eles, e como não são expressivos, como “ Você Ganhou uma Mercedes”, são mais críveis e, sendo assim você passa informações necessárias para retirar o prêmio.
5 - FALSO IDEALISMO Muito usado em pessoas que aderem a causas sociais, ambientais ou outras (basta procurar no Facebook, Twitter ou qualquer outra rede social que a vítima possa estar participando).
Neste caso são feitas ligações que validam as informações e, após esta ação podem então ser enviados alguns e-mails inofensivos onde a vítima cria confiança para acessar então o e-mail com o link falso.
6 - TESTE As pessoas têm a tendência de atender a solicitação de alguém após ter se comprometido publicamente ou de ter adotado uma causa. Tentamos demonstrar que somos confiáveis. Neste caso o atacante liga se passando por alguém da segurança ou auditoria, ai faz algumas perguntas sobre segurança para saber se a pessoa conhece realmente do assunto. Após isso usa-se o elogio e até se ouve a opinião, criando assim um laço para novas ligações e posteriormente perguntar informações. Poderia, sem muita dificuldade, escrever mais vinte ou trinta páginas sobre tipos e formas de ataque, mas credito que não seja necessário, pois com os exemplos acima já temos ideia da quantidade e tipos de ataques possíveis hoje.
Resolvendo a equação
Para reduzirmos os riscos de fraudes aplicadas por engenharia social, devemos focar em três ações: Conscientizar, treinar e avaliar.
As pessoas precisam entender o que são informações confidenciais e restritas, o que pode ser comunicado, o que fazer no caso do chefe ou presidente ligar pedindo algo e quais as formas de validação para saber se a pessoas são legítimas ou não. O foco deve ser treinar e conscientizar, esse processo deve ser contínuo, atualizado e sempre com uso de cases reais. Aqui em nossa empresa é costume sempre que algum golpe sai na mídia, escrever e repassar a informação a todas as áreas dizendo que tipo de golpe é, e como se prevenir.
A avaliação de tudo que é ensinado é muito importante também, para manter vivas as informações passadas, aconselho testes escritos e reais, sendo eles bem preparados e organizados com toda a empresa antes.
Pessoas críticas na organização como secretárias, estagiários, vigias, terceiros e outros, muitas vezes não tem acesso a treinamentos e qualificação. Não esqueçam que muitas vezes cargos e funções que parecem não ter impacto no negócio tem acesso a informações, pessoas e locais críticos.
Para finalizar, não se esqueçam de informar sempre as pessoas, e deixar claras as políticas da empresa sobre a segurança da informação.
Comments