Você já deve ter se deparado com o termo ”Engenharia Social”. Porém como ela funciona? Como ela é empregada em sistemas de informação? Onde surgiu? Vamos sanar algumas dúvidas para que você entenda de uma vez por todas.
Conceito da Engenharia Social
Engenharia Social pode se definir como a arte de trapacear, construir métodos e estratégias de enganar em cima de informações cedidas por pessoas ou ganhar a confiança para obter informações. São ações oriundas dos tempos mais remotos e que ganharam um novo termo: Engenharia Social.
Engenharia por que constrói em cima de informações táticas de acesso a sistemas e informações sigilosas de forma indevida. Social por que se utiliza de pessoas que trabalham e vivem em grupos organizados. Resumidamente, a Engenharia Social é a habilidade de manipulação da tendência humana de confiar.
Podemos dizer que a engenharia social é um tipo de ataque utilizado por hackers, onde a principal “arma” utilizada é a habilidade de lidar com pessoas, induzindo-as a fornecer informações, executar programas e muitas vezes, fornecer senhas de acesso.
Dentre as várias formas de furto de informações da engenharia social, em Mitnick (2003) destaca-se:
[…] Em vez de ficar se descabelando para encontrar uma falha no sistema, o hacker pode largar no banheiro um disquete infectado, com o logotipo da empresa e uma etiqueta bem sugestiva: ‘Informações Confidenciais. Histórico Salarial 2003’.
O “ataque” do engenheiro social pode ocorrer através de um bom papo, numa mesa de bar, ao telefone ou, em casos mais sofisticados, através da sedução. O sucesso deste “ataque” está no fato do usuário abordado nem sequer se dar conta do que acabou de acontecer.
Ataques comuns utilizando Engenharia Social
Phishing
Tipo de ataque de engenharia social extremamente comum. Consiste do envio de mensagens falsas para a vítima, buscando obter sem o conhecimento desta, informações sigilosas. Seu funcionamento baseia-se na exploração de um vínculo de confiança entre a vítima e por quem o atacante está se passando.
Nesse ataque ocorre com frequência a cópia do layout do site pelo qual o atacante tenta se passar, seja esse layout usado na mensagem enviada para a vítima ou em um site falso. Nesse segundo caso, também é necessário por parte do atacante mascarar a URL do site. Uma forma muito comum de fazer isso é usando encurtadores de endereços web, como o migre.me e o bit.ly, mas às vezes nem isso é necessário, como no exemplo a seguir:
http://www.paypal.com/
http://www.paypaI.com/
A forma em caixa-alta da letra ‘i’ se confunde facilmente com a letra ‘l’ em caixa-baixa, em algumas fontes isso se torna até imperceptível. Esse exemplo simples ilustra claramente a facilidade pela qual uma vítima desatenta pode cair em um ataque de phishing.
Podemos citar um famoso ataque que ocorreu em 2009, quando atacantes enviaram dezenas de e-mails para usuários do Facebook, rede social que informa seus usuários desta maneira com frequência. Os links contidos nessas mensagens levavam a páginas falsas, deliberadamente projetadas para parecer com as páginas legítimas do Facebook. Elas continham campos para que os usuários digitassem os dados de suas contas.A empresa não revelou os números exatos de contas invadidas.
Anexos Maliciosos
Um dos mais antigos e conhecidos ataques de Engenharia Social. Consiste no envio de mensagens contendo algum tipo de malware em anexo. O atacante busca atiçar a curiosidade da vítima para que esta execute o anexo, contaminando o seu sistema no processo.
Outro fator importante é a necessidade de se esconder a natureza do anexo, para isso emprega-se técnicas de esteganografia 2 e aproveita-se de uma falha computacional, como ocorreu no caso do worm ILOVEYOU.
Nesse famoso caso, que teve início no dia 4 de Maio de 2000, diversas mensagens foram enviadas via e-mail e canais de IRC contendo em anexo o arquivo “LOVE-LETTER-FOR-YOU.TXT.VBS”. Naquela época, diversos clientes de e-mail e IRC só mostravam até a primeira extensão do anexo, ocultando o “.VBS”, dessa forma o worm se passava por um arquivo de texto comum que aparentemente continha uma mensagem de amor.
Uma vez executado ele se instalava no computador da vítima e substituía diversos arquivos por cópias de si mesmo, incluindo a extensão “.VBS” escondida. Após isso, o malware se espalhava usando o livro de contatos do cliente de e-mail Microsoft Outlook.
A propagação do vírus foi impressionante: nove dias depois, de seu surgimento, 50 milhões de infecções já tinham sido reportadas no mundo todo. Apesar da falha que o worm explorava ter sido corrigida, ele ilustra muito bem o perigo desse tipo de ataque.
Rogueware (Falso Vírus)
Um tipo de ataque que surgiu recentemente é a criação de malwares disfarçados de programas antivírus. A eficiência dessa técnica reside no uso pelo atacante do medo do usuário de ter seu sistema comprometido.
Seu funcionamento é simples: o usuário é levado por um pop-up ou por uma busca na Internet para uma página contendo links para o download de um suposto software antivírus. É muito comum que nessas páginas exista uma enganosa busca online por malwares no computador da vítima, que alerta para a presença de programas maliciosos e sugere o download do software indicado na página.
Ao instalar o programa uma nova falsa busca é realizada mas o computador é desta vez dado como livre de ameaças. Assim o atacante consegue não só comprometer o computador da vítima como também, convencê-la de que seu computador não possui nenhum software mal-intencionado.
Um tipo de ataque que surgiu recentemente é a criação de malwares disfarçados de programas antivírus. A eficiência dessa técnica reside no uso pelo atacante do medo do usuário de ter seu sistema comprometido.
Seu funcionamento é simples: o usuário é levado por um pop-up ou por uma busca na Internet para uma página contendo links para o download de um suposto software antivírus. É muito comum que nessas páginas exista uma enganosa busca online por malwares no computador da vítima, que alerta para a presença de programas maliciosos e sugere o download do software indicado na página.
Ao instalar o programa uma nova falsa busca é realizada mas o computador é desta vez dado como livre de ameaças. Assim o atacante consegue não só comprometer o computador da vítima como também, convencê-la de que seu computador não possui nenhum software mal-intencionado.