O que é Engenharia Social: artifícios utilizados para obter acesso a informações importantes ou sigilosas em corporações ou sistemas por meio da enganação ou exploração da confiança das pessoas.
Muitas empresas investem pesado na área técnica de segurança, firewalls, antivírus, portarias com monitoramentos avançados e muitos outros artifícios que as façam acreditar que estão seguras, todavia, ignoram o fator humano.
Como assim? Fator humano? Sim, a maior fragilidade da segurança, “ a exploração de vulnerabilidades envolvendo o fator humano”. Existe até uma frase que circula no submundo, “não existe patch para estupidez humana” é a pura realidade.
Não existe a preocupação com o descarte da informação, manuais, ficha de funcionários, folha de pagamentos e muito mais vão para o lixo. Tais atitudes possibilitam técnicas de “dumpster diving”, ou se preferir, mergulho no lixo. Muitos invasores recorrem à técnica para táticas de reconhecimento.
Funcionários desconhecem os perigos de dar um “clique” naquele link que só DEUS sabe o que é … Outros recebem um telefonema e passam informações sensíveis, nem se quer tem conhecimento que aquela informação pode ser utilizada em um futuro ataque, senhas, nomes de funcionários e outros dados críticos são passados ao invasor.
Para garantir segurança aceitável, o responsável deve ter conhecimento amplo dos tipos de fatores internos e externos que podem influenciar na quebra da segurança.
Ciclo da engenharia social:
Reconhecimento – Técnica de acumular o maior número de informações possíveis sobre o alvo. (lista de empregados, informações departamentais, localização, telefones, etc.).
Estabelecimento de confiança – O invasor começa a desenvolver relacionamentos de confiança com o alvo, geralmente com funcionários que poderão ser utilizados como ferramenta de extração de informações.
Manipulação psicológica – Uma vez que o invasor adquiriu a confiança de alguém na fase anterior, agora é só manipular e tentar extrair informações.
Saída – Depois de toda informação extraída, o engenheiro sai sem deixar suspeitas ou qualquer tipo de prova.
Alguns fatores que influenciam no sucesso do engenheiro social, geralmente explora a vítima nas seguintes situações:
- Medo da autoridade,
- Desejo de ser útil,
- Desejo de se mostrar gentil,
- Medo de perdas,
- Preguiça,
- Ego.
As principais armas de um engenheiro social:
- Surfar sobre os ombros , técnica de tentar descobrir a senha do usuário quando o mesmo está digitando,
- Mergulho no lixo, procura de informações sensíveis no lixo da empresa,
- Cavalos de troia, e-mail contendo links com cavalos de troia (phishing),
- Pesquisa web – pesquisa sobre o alvo em sites, redes sociais, etc,
- Engenharia reversa – o atacante convence o alvo que ele tem um problema e que somente ele o invasor pode ajudá-lo a resolver esse problema.
Bem, não existe uma correção para falha humana, mas existe um jeito de mitigar “diminuir” os riscos que envolvem vulnerabilidades do fator humano.
Algumas dicas:
- Treinamento e conscientização,
- Segurança física e lógica,
- Classificação das informações,
- Divulgação de políticas de segurança,
- “Treinamento , Treinamento, Treinamento e mais Treinamento das pessoas envolvidas na segurança direta ou indiretamente”
E nunca se esqueça que nosso ambiente sempre estará vulnerável, pois, “O FATOR HUMANO” é o elo mais fraco da segurança, pode até ser corrigido temporariamente, mas…. sempre virá uma nova fraqueza e cabe a todos os profissionais de segurança da informação saber lidar com tal situação e tentar aplicar correções que possam mitigar ataques.