A importância da prática da Engenharia Social

[kirk]

Impressiona-me como os ataques de Engenharia Social ainda são um dos maiores meios de acesso a informações utilizados pelos crackers.

Em pleno século XXI, pessoas que possuem grande nível de conhecimento nas mais diversas áreas da vida, ainda entregam-se a estes ataques, caindo nas armadilhas dos mais diversos tipos de salafrários virtuais.

Os ataques de Engenharia Social ocorrem de diversas maneiras, como por exemplo: através de apelos sentimentais, funcionários descontentes, redes de contatos e por incrível que pareça, até através do lixo. Isso mesmo, essa lixeira que está ae, do lado da sua mesa, pode conter informações valiosíssimas que podem cair nas mãos de mal intencionados, que com certeza, saberão como dar valor a esses papéis amassados.

A Engenharia Social é o que podemos chamar de “garimpagem de informações”. Através das técnicas desta engenharia, o cracker pode obter aquela informação tão preciosa que lhe dará o acesso ao que ele realmente precisa e busca.

As empresas, realizam grandes preparações para conter os mais diversos tipos de ataques, como vírus, worms, trojans, spywares, entre outras pragas virtuais. Porém, toda essa preparação deixa uma brecha que não existe software que possa conter. Esta brecha é dada justamente por aquele funcionário que está descontente e por esse motivo prefere ver a casa cair ou então por aquele funcionário exemplar, que ingenuamente, recebeu uma mensagem boba, que continha um link para um site que solicitava algumas informações cadastrais, inclusive para a criação de uma senha de forma manual.

E sabe qual a senha que o nosso funcionário exemplar cadastrou? Justamente, para facilitar a sua vida, ele cadastrou a mesma senha que ele usava para o acesso a rede interna da empresa e que ele não teria como esquecer.

Então, imaginemos o seguinte: o cracker agora possuia a senha de rede do nosso amigo funcionário exemplar. Um dos itens fornecidos no cadastro era o telefone comercial. O cracker em um momento posterior, então, contatou o nosso funcionário para confirmar alguns de seus dados cadastrais e realizar uma pequena pesquisa sobre hábitos de uso de softwares no trabalho.

A pesquisa do cracker começa com algo do tipo (fique tranquilo, é apenas uma perguntinha boba): “O Sr. utiliza softwares de que tipo (web, client)”? Agora o cracker começa a perguntar coisas mais interessantes, para ele, é claro): “Diga qual o software que o Sr. mais costuma utilizar dentro da empresa e qual o propósito deste software”?

Agora o cracker vai iludir o nosso funcionário, mostrando preocupação com a segurança das informações. “Claro que o Sr. sabe da necessidade de criar senhas para a segurança das suas informações. Ao mesmo tempo, o Sr. sabe das dificuldades de decorar estas senhas. O Sr. costuma sempre utilizar a mesma senha para acesso a todos os softwares da empresa”?

Agora, imaginemos que para esta pergunta, o nosso amigo funcionário tenha respondido sim. Eureka!!! Que prato cheio para o cracker. Agora ele sabe que para a maior parte dos sistemas utilizados na empresa, o nosso funcionário utiliza a mesma senha informada naquele “cadastrinho bobo” e sem nenhuma maldade naquele site “ingenuo” que o nosso funcionário acessou.

E se ele tivesse dito: “Não, costumo utilizar senhas diferentes”. Quem sabe, o cracker teria oferecido uma maneira fácil para que o funcionário pudesse armazenar estas senhas, como por exemplo, crie uma pasta em sua conta de email e coloque todas as suas senhas lá. Enfim, o cracker sugeriria uma maneira prática para o armazenamento das senhas ou tentaria outras táticas de Engenharia Social para que pudesse descobrí-las.

Com certeza, se o funcionário seguisse a dica, isso facilitaria a vida do cracker quando invadisse a conta de email da vítima, pois lá estariam as senhas para os demais acessos aos outros sistemas da empresa.

Claro que aqui foi um exemplo bastante exdrúxulo, mas podem ter certeza, a maneira de abordar as vítimas não é tão diferente disso. Ao mesmo tempo, fico em dúvida se podemos chamar este indivíduo salafrário de cracker, já que ele não está utilizando nenhum software para invadir uma máquina ou roubar alguma senha. Ele apenas está usando a esperteza e se aproveitando da ingenuidade de alguém.

Obviamente como citei no inicio do artigo, as táticas de Engenharia Social são bem diversificadas, o que dificulta ainda mais o controle por parte das empresas. Pode ser que seja muito complicado para que a empresa consiga controlar o que os seus funcionários acessam ou o que conversam no telefone, mas seria bem mais fácil se houvesse alguma dica, enfim, que os funcionários fossem ao menos apresentados para a matéria Engenharia Social. Talvez, citar alguns exemplos, já serviria para uma diminuição nas invasões realizadas através desta prática.

Infelizmente, apesar de tantos exemplos de diferentes táticas utilizadas para a obtenção de senhas através da ludibriação dos colaboradores, as empresas ainda não estão dando a devida atenção a este tipo de ataque. Pelo menos, essa é a visão que até o momento eu tenho visto pelo mundo da www afora.

Adquirir softwares caros, investir nos melhores equipamentos, pagar os maiores salários, fazer backups instantâneos e diários de todas as informações. Tudo isso é formidável, mas imaginem, o seguinte: aquela informação da senha de rede foi passada ingenuamente por aquele funcionário exemplar, como falamos anteriormente. Aquele funcionário exemplar, que ganha um bom salário, casualmente trabalha no setor financeiro, tendo acesso, por exemplo, as contas da empresa. Com certeza, o meu melhor equipamento e o meu melhor software não vão conseguir barrar o acesso de um cracker que tenha obtido esta informação tão preciosa.

Pode levar alguns dias ou até algumas horas para que com essa pequena informação, o cracker obtenha o acesso as contas da empresa e leve parte do seu capital.

Obviamente, aqui eu quis apenas explicar e tentar demonstrar, mesmo que de forma grotesca, o que é, o que pode acontecer e como é importante praticar a Engenharia Social.

Portanto, sempre que possível, tentem, com o perdão da redundância, “Socializar a Engenharia Social”.
Passem adiante, a importância de praticar Engenharia Social. Não deixem de pecar pela falta de informação dos colaboradores da sua empresa. Dêem o valor e a atenção que este tema realmente merece.

Abraço a Todos e Sucesso.

Autor: Evaldo Tatsch Junior
Site: InfoAux - Segurança da Informação
Data: 16/03/2009

[Guzpido Krush]

Gostei do ponto de vista, vejo que cada vez mais a CONTRA-ENGENHARIA-SOCIAL pode ajudar a proteger ativos se aliada a uma política de conscientização do usuário.

[kirk]

Sem dúvida nenhuma. Mas parece, que de um modo geral, as empresas ainda não estão dando a ênfase que o assunto merece. Seus colaboradores parecem não estar suficientemente preparados para saber rebater a tentativa de um ataque de Engenharia Social e mal sabem o que isto pode realmente causar. Eu vejo um investimento grande em ferramentas de proteção, porém, não vejo a mesma preocupação e investimentos na orientação sobre o que é e o que pode causar a Engenharia Social.

[Guzpido Krush]

Exatamente, e como sempre, como tudo neste país (e no mundo talvez), o grande problema sempre se inicia com a questão da educação. O acesso ao conhecimento e os meios materiais para tanto. Se a empresa tem $ para investir em ferramentas ela tem o meio material de treinar seus usuários. Empresas de sucesso sempre visam criar um ambiente de trabalho que proporcione o crescimento profissional de seus funcionários. É questão de diferencial na adm, só que do ponto de vista de segurança da informação isto que é um diferencial deveria ser a regra geral.

[Mface]

Existem historias que comprovam, prestar serviços de desenvolvedor de software nao é engenharia social! E 100 reais nao é salario! Fato. Bem, engenharia social é muito importante sim, por exemplo, enquanto tem caras que gaguejam e mentem pra caramba, voce esta com uma bela senhorita "BRASILEIRA" desfrutanto um praia.

[s]

[Tharkhan]

Tópico muito bom,

Uma grande verdade, já que qualquer (qualquer mesmo!) empresa pode ser invadida ou acabar com algum problema somente por causa daquele "funcionário insatisfeito".

O bom é treinar as pessoas de uma empresa para não deixar aquele engenheiro social fazer alguma coisa ou pelo menos dar "mais trabalho" a ele. Concerteza isso valerá a pena.

[]'s Tharkhan