Skip to main content
search
Artigos

Engenharia Social

Por 8 de setembro de 2022Sem comentários

São Paulo/SP – 08 de setembro de 2022. A engenharia social pode ser aplicada de diversas formas, sejam elas através de interações feitas pessoalmente ou há quilômetros de distância, a partir de um computador ou telefone.

*Por Bruno Batista

O termo engenharia social é amplamente utilizado para definir uma série de ações ou atividades maliciosas que são alcançadas através da interação humana, onde um agente de ameaça faz uso de vetores psicológicos para manipular usuários e influenciar/induzir um comportamento desejado, obtendo assim informações sensíveis ou pequenos erros de segurança que podem ser aproveitados para uma ação maior que se desenrola em muitas etapas.

Segundo Joe Gray, em seu livro “Practical Social Engineering: A Primer for the Ethical Hacker” (No Starch Press, 2011), ao contrário de outras áreas dentro da Segurança da Informação, que fazem uso de conceitos da Ciência da Computação, Administração de Sistemas, Programação e Administração de Banco de Dados, a Engenharia Social pega emprestado a maioria dos seus principais conceitos diretamente da Psicologia e portanto, os engenheiros sociais devem estar sempre atualizados com relação ao desenvolvimento da psicologia e do comportamento humano. Tendo esses conceitos em mente e sabendo aplicá-los na prática para fins maliciosos coloca o Engenheiro Social em uma posição de vantagem sobre Soluções de Segurança do mercado, por mais tecnológicas e inovadoras que elas possam ser.

Um ambiente interno que passou por um intenso processo de hardening ainda pode ser comprometido através de falhas da chamada “Camada 8 do Modelo OSI”, que é a camada hipotética utilizada para fazer referência ao erro do usuário, ao erro humano. Ou seja, por mais que exista um ambiente maduro, um único erro de algum funcionário pode ameaçar toda a estrutura do negócio, servindo de porta de entrada para uma ameaça ainda maior.

A engenharia social pode ser aplicada de diversas formas, sejam elas através de interações feitas pessoalmente ou há quilômetros de distância, a partir de um computador ou telefone. Os principais tipos de técnicas de engenharia social são:

  • Phishing – O tipo mais comum, barato e escalável devido a possibilidade de atingir um número altíssimo de usuários de uma só vez. Faz uso de técnicas que visam provocar uma reação imediata da vítima, utilizando um pretexto convincente e de urgência.
  • Spear Phishing – Similar ao Phishing, porém focado em uma única instituição ou pessoa. É uma técnica que pode receber muitos benefícios da aplicação do OSINT ou de interações simples com funcionários, visando entender o negócio e a estrutura da empresa, sua hierarquia e processos. A partir disso, é possível criar um cenário que se adeque muito bem a um contexto específico e então manipular alguém a executar uma ação que trará alguma vantagem para o atacante. Um único funcionário do departamento alvo que execute a ação desejada pode ser suficiente para o comprometimento do ambiente.
  • Vishing e Smishing – Ambos são variações do Phishing, porém cada um utiliza uma mídia específica. O Vishing (Voz + Phishing) – que inclusive é uma das técnicas mais aplicadas no Brasil – é feito através de chamadas de telefone ou serviços VoIP, onde a vítima é induzida a realizar ações rapidamente devido a dinâmica da conversa ou compartilhar informações sensíveis e sigilosas sem perceber. Já o Smishing (SMS + Phishing), faz uso aplicativos de troca de mensagens, como o WhatsApp e Telegram, ou o próprio serviço de SMS do celular, buscando novamente induzir alguém a executar uma ação ou a clicar em um link malicioso que foi compartilhado durante o decorrer da conversa.
  • Baiting – Essa técnica faz uso da curiosidade humana, onde uma mídia física de armazenamento com conteúdo malicioso pode ser deixada em um local estratégico, como por exemplo em um restaurante frequentado pelos funcionários durante o horário de almoço, que é então encontrada por algum desses funcionários, que acaba intrigado para saber o que está armazenado ali e então usa o dispositivo em ambiente corporativo ou em casa e acaba assim permitindo a execução do conteúdo malicioso armazenado, que pode dar início a uma série de novos eventos.
  • Dumpster Diving – É uma técnica que consiste em buscar no lixo corporativo possíveis informações, peças e dispositivos que possam ser sensíveis para a empresa de alguma forma. Faz se necessário a aplicação de uma política de descarte seguro para evitar tais vetores.
  • Shoulder Surfing – É basicamente observar as ações de alguém que está utilizando um celular ou computador, visando descobrir e memorizar informações e senhas que possam ser uteis posteriormente.
  • Tailgating – Essa técnica requer a ação presencial de um engenheiro social visando adentrar um ambiente restrito, faz uso da compaixão e boas intenções da vítima, que busca ajudar em alguma situação complicada, como quando alguém está carregando algo pesado com as duas mãos e não consegue utilizar seu cartão de acesso para a sala do servidor, por exemplo, onde então a vítima usa o seu próprio cartão para abrir a porta e dá passagem, recebendo um agradecimento em seguida sem saber do problema que criou.

Conclusão

É possível concluir que os ataques de engenharia social são definitivamente um problema preocupante, e para impedir que os funcionários sejam vítimas de ações parecidas, é importante criar planos e campanhas de conscientização, além de deixar claro as possíveis consequências que esse tipo de ataque pode causar para a empresa e para cada indivíduo. Além disso, é recomendado que testes periódicos sejam aplicados para testar a maturidade da empresa e dos funcionários na resposta a essas atividades.

— Bruno Batista é Trainee – Red Team na [SAFEWAY]

Como podemos Ajudar?

SAFEWAY é uma empresa de consultoria em Segurança da Informação reconhecida pelos seus clientes por oferecer soluções de alto valor agregado por meio de projetos que atendam integralmente às necessidades do negócio. Em 14 anos de experiência, acumulamos diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte as 100 maiores empresas do Brasil.

Hoje por meio de 25 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas. Possuímos tanto a habilidade técnica quanto a experiência necessária para auxiliar sua empresa no processo de estruturação de controles e preparação do ambiente para implantação de SGSI, SGS ou SGCN e, consequentemente, certificação de operações, serviços ou empresas as normas ISO27001, ISO20000 ou ISO22301.

Com o intuito de apoiar as empresas nesse processo de avaliação e adequação aos requisitos da LGPD, a [SAFEWAY] possui em seu portfólio de serviços, o Cybersecurity Health Check cujo objetivo é executar um diagnóstico dos controles de CyberSecurity, Segurança da Informação e Privacidade de Dados implementados na sua empresa, contemplando os pilares de ProcessosPessoas e Tecnologia.

Por meio do Cybersecurity Health Check, são identificados os riscos associados a segurança da informação e privacidade dos processos e atividades internas, os controles existentes e avaliados novos controles de acordo com o porte de sua organização para aumentar o nível de maturidade e compliance, de acordo com as boas práticas de segurança da informação. Caso deseje mais informações, entre em contato com um de nossos especialistas!

Tags:

Close Menu