A engenharia para enganar pessoas

23 dez 2013

A engenharia social, às vezes chamada de a ciência e a arte de hackear a seres humanos, tornou-se bastante popular nos últimos anos graças ao crescimento exponencial das redes sociais, mensagens de e-mail e outras formas de comunicação online. No campo da segurança da informação, este termo é amplamente usado para fazer referência a um conjunto de técnicas usadas por cibercriminosos para manipular as suas vítimas com o objetivo de obter informações confidenciais ou convencê-las a executar ações que comprometam seu sistema.

social

Mesmo hoje em dia com tantos produtos de segurança disponíveis, o usuário é o único que pode se proteger. Seja com um conjunto de credenciais de login (nome de usuário e senha) ou um número de cartão de crédito ou conta bancária, na maioria das vezes o elo mais fraco na cadeia não é o tecnológico, mas sim o humano. Por isso, hoje em dia é necessário conhecer os truques que utilizam os cibercriminosos, tanto os técnicos quantos os psicológicos, para evitar qualquer ataque com estas características. A engenharia social não é uma ameaça nova e tem existido desde o início dos tempos. Graças aos engenheiros populares, como Kevin Mitnick ou Frank Abagnale, reconhecidos pelo trabalho no campo da segurança, sabemos que um cibercriminoso pode deixar de cometer ataques e passar a combater em nome do bem.

Frank Abagnale, por exemplo, foi um dos mais famosos vigaristas com a criação de várias identidades e a falsificação de cheques, pelos quais enganava as pessoas para que elas revelassem informações essenciais para continuar seus golpes. Se você já viu o filme “Prenda-me se puder” você tem uma imagem do que um engenheiro social é capaz de fazer quando tem um objetivo claro. Basta lembra que um engenheiro social não utiliza apenas de golpes técnicos ou de computador para obter as informações que precisa, assim que você precisa ser cauteloso. Por exemplo, nunca diga sua senha por telefone. Ainda que possa parecer um absurdo este conselho, imagine que você recebe um telefonema do suporte técnico da sua empresa na manhã de domingo de manhã dizendo que precisa realizar algumas pequenas atualizações técnicas no seu computador. Você vai dizer a senha para o “administrador da rede “, além disso, você vai dizer “obrigado” . Ou talvez você seja muito cauteloso para isso, mas muitos de seus colegas não são.

“Uma empresa pode gastar centenas de milhares de dólares em firewalls, sistemas de criptografia e outras tecnologias de segurança, mas se um cibercriminoso engana uma pessoa de confiança dentro da empresa, todo esse dinheiro investido não servirá para nada”, advertiu Kevin Mitnick.

A maioria dos cibercriminosos não gastam muito tempo em provar tecnologias complexas para seus ataques. Quando eles sabem que é muito mais fácil usar a engenharia social para os seus fins. Além disso, existem até mesmo sites com informações valiosas para aprender sobre esses tipos de técnicas e por que elas são tão bem sucedidas quando usadas para enganar as pessoas. Um deles é o SocialEngineer.org que fornece dados realmente úteis para aprender a teoria por trás de cada tipo de ataque, o funcionamento de cada ataque e exemplos de cada conceito.

Usamos a linguagem falada diariamente para influenciar uns aos outros, mesmo sem estar ciente de tal ação. Desde o ponto de vista da engenharia social, a linguagem tem algumas desvantagens já que está ligada à nossa experiência subjetiva de um fato que pode distorcer as coisas ou realizar generalizações. A programação neuro-linguística ou PNL, embora inventado para fins terapêuticos, é considerada hoje em dia como uma forma evoluída de hipnose usada por muitos engenheiros sociais como uma ferramenta para influenciar e manipular suas vítimas, a fim de levá-las a fazer as ações necessárias para um ataque bem-sucedido. Com esta t´´ecnica, os cibercriminosos podem compreender qualquer dados pessoal ou informações confidenciais para atingir seu objetivo.

Embora pareça que tem uma grande distância entre a psicologia e o cibercrime, a realidade é que ambos se baseiam nos mesmo príncipios. O desejo de cada pessoa por reciprocidade (se eu faço um favor espero que você faça outro para mim), por aprovação social (você acredita no julgamento da maioria), por autoridade (ou seja, confiar em um policial, um médico, um técnico, etc) e muitos outros são formas universais de começar a construir um relacionamento com alguém e assistir às nossas necessidades humanas básicas. Um engenheiro social sabe que botões apertar para obter a resposta desejada a partir de nós, criando um contexto (framing) que permite que uma história inventada para ser crível permita a ele controlar o sentido de urgência e de tempo de toda a interação com a vítima. Não podemos esquecer que somente pessoas realmente inteligentes em uma fração de segundo são capazes de conseguir o que buscam.

No entanto, neste artigo vamos nos concentrar principalmente sobre as variações de técnicas usadas por cibercriminosos para realizar suas atividades de modo a obter informações ilegais e lucrar com suas vítimas. Como mencionado, os princípios usados ​​para fraudes on-line são os mesmos que os apresentados na vida real, mas sendo a Internet um meio tão grande para a distribuição de informações, um e-mail de phishing , por exemplo, pode ser enviado para milhões de beneficiários em uma só vez, tornando este tipo de ataque um jogo de números. Mesmo que apenas uma pequena quantidade de pessoas caía na a ainda vai colher um benefício enorme para o grupo criminoso.

” O que eu fiz na minha juventude é centenas de vezes mais fácil hoje. A tecnologia alimenta o crime”, disse Frank William Abagnale.

Hoje, um dos métodos mais comuns utilizados para obter informações confidenciais é o phishing. Esta técnica pode ser caracterizada como um tipo de abuso ou fraude de computador que utiliza princípios da engenharia social com o objetivo de obter informações pessoais da vítima. O cibercriminoso geralmente se baseia em um e-mail, mensagens instantâneas ou SMS para entregar a mensagem de phishing que irá convencer a vítima a revelar certa informação diretamente ou executar uma atividade (entrar em um site falso, clicar em um link para download de malware, etc), que permitirá ao cibercriminoso continuar seu plano de mal-intencionado.

 

Temos visto uma evolução em malware que anda de mãos dadas com a engenharia social. No passado, qualquer infecção seria muito óbvio para o usuário e exibiria caixas de fantasia de mensagens, ícones, imagens e praticamente qualquer coisa que desse crédito ao autor por sua criação. Atualmente, não é raro encontrar malware que ganha acesso ao sistema da vítima através de truques de engenharia social e permanece oculto até que ele precise entrar em ação.  Assim, os cibercriminosos e as empresas de segurança que fazem da educação um dos mecanismos de defesa fundamentais para que todos os usuários mantenham-se atualizados com as últimas tendências e ameaças que estão sendo usadas ​​atualmente na rede.

Muitas amostras de malware utilizam a engenharia social para colocar a carga maliciosa no sistema da vítima. Entre os truques mais populares podemos citar as falsas atualizações do Flash Player, os arquivos executáveis ​​embutidos em documentos do Word, cópias de navegadores legítimos, como o Internet Explorer, entre outros.

flash-update

Página web de distribuição de malware que usa uma falsa atualização do Flash Player para enganar os usuários a instalar o software malicioso no sistema da vítima.

A maioria dos ataques listados são direcionados para o público latino-americano. O motivo deve-se, principalmente, porque estes tipos de ameaças tecnológicas não são bem conhecidos ou compreendidos na região e se somarmos o fator que a maioria dos sistemas de computadores estão desatualizados. Isso é uma grande oportunidade de negócio para os cibercriminosos. Foi recentemente que algumas das medidas de segurança on-line bancárias foram reforçadas, mas ainda há muitas lacunas que podem permitir que um bem sucedido ataque de engenharia social no território sul-americano.

Na América Latina, além disso, existem outros tipos de ataques que pouco têm haver com fraude informática. Um golpe conhecido como “seqüestro virtual” usa táticas de telemarketing da engenharia social; Eles afirmam que um membro da família da vítima foi raptada e um resgate deve ser pago para garantir sua segurança e liberdade. Na maioria das vezes, mesmo sem a confirmação do sequestro, a vítima termina pagando o resgate. Na região, onde estes tipos de crimes são comuns, os cibercriminosos exploram as fraquezas humana (urgência e medo) para obter lucro.

Além disso, é importante ter em mente que qualquer informação que você publicamos na rede (Facebook, Twitter, Foursquare, etc ) pode ser uma pista fantástica para os cibercriminosos, fornecendo informações valiosas e tornando a vida deles mais fácil. Até mesmo uma lista de favoritos na Amazon poderia ser a porta de entrada para um épico truque de engenharia social.

Como mencionamos anteriormente, é imprescindível instalar uma boa solução de segurança para qualquer tipo de atividade on-line. Além disso, aconselhamos que você se mantenha atualizado com as últimas ameaças e truques de engenharia social para que você esteja atento aos tipos de ataques e não seja uma vítima. Lembre-se que todos os dispositivos tecnológicos e mecanismos de defesa são inúteis se não sabemos utilizá-los e não somos conscientes do que os bandidos estão fazendo. O crime evolui constantemente e devemos estar precavidos.

“A polícia não pode proteger os consumidores. As pessoas deveriam ser mais conscientes e informadas sobre o roubo de identidade. Necessitamos ser mais sábios e não há nada de errado em ser cético. Vivemos em um tempo em que se colocamos as coisas fáceis, alguém virá roubá-las antes ou depois”, concluiu Frank William Abagnale.