Uma notícia recente me fez perceber como emoções e pensamentos humanos podem ser (ou são) usados para o benefício de outros. Quase todos vocês conhecem Edward Snowden, o denunciante da NSA bisbilhotando o mundo todo. Reuters informou que ele conseguiu cerca de 20-25 pessoas da NSA para entregar suas senhas para ele por recuperar alguns dados que ele vazou mais tarde [1]. Imagine o quão frágil sua rede corporativa pode ser, mesmo com o software de segurança mais forte e melhor!
O que é engenharia social?
A fraqueza humana, a curiosidade, as emoções e outras características têm sido freqüentemente usadas para extrair dados ilegalmente - seja em qualquer setor. A indústria de TI, no entanto, deu-lhe o nome de engenharia social. Eu defino engenharia social como:
“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”
Aqui está outra linha da mesma reportagem [1] que eu quero citar - “Agências de segurança estão tendo dificuldades com a idéia de que o cara no cubículo ao lado pode não ser confiável“. Eu modifiquei a declaração um pouco para ajustá-la ao contexto aqui. Você pode ler a notícia completa usando o link na seção Referências.
Em outras palavras, você não tem controle total sobre a segurança de suas organizações, com a engenharia social evoluindo muito mais rapidamente do que as técnicas para lidar com isso. Engenharia social pode ser qualquer coisa como chamar alguém dizendo que você é suporte técnico e pedir-lhe suas credenciais de login. Você deve ter recebido e-mails de phishing sobre loterias, pessoas ricas no Oriente Médio e na África que querem parceiros de negócios e ofertas de emprego para lhe perguntar seus detalhes.
Ao contrário dos ataques de phishing, a engenharia social é uma interação direta de pessoa para pessoa. O primeiro (phishing) emprega uma isca - isto é, as pessoas que “pescam” estão lhe oferecendo algo esperando que você se apaixone por ele. A engenharia social é mais uma questão de ganhar a confiança dos funcionários internos para que eles divulguem os detalhes da empresa que você precisa.
Ler: Métodos populares de engenharia social.
Técnicas de engenharia social conhecidas
Existem muitos, e todos eles usam tendências humanas básicas para entrar no banco de dados de qualquer organização. A técnica de engenharia social mais usada (provavelmente desatualizada) é chamar e conhecer pessoas e fazê-las acreditar que elas são de suporte técnico e precisam verificar seu computador. Eles também podem criar cartões de identificação falsos para estabelecer confiança. Em alguns casos, os culpados se apresentam como funcionários do Estado.
Outra técnica famosa é empregar sua pessoa como empregado na organização-alvo. Agora, desde que este trapaceiro é seu colega, você pode confiar nele com detalhes da empresa. O funcionário externo pode ajudá-lo com alguma coisa, então você se sente obrigado, e é nesse momento que ele consegue perceber o máximo.
Eu também li alguns relatórios sobre pessoas que usam presentes eletrônicos. Um pendrive extravagante entregue a você no endereço de sua empresa ou em um pen drive em seu carro pode ser um desastre. Em um caso, alguém deixou algumas unidades USB deliberadamente no estacionamento como iscas [2].
Se a rede da sua empresa tiver boas medidas de segurança em cada nó, você será abençoado. Caso contrário, esses nós fornecem uma passagem fácil para malwares - no presente ou pen drives "esquecidos" - para os sistemas centrais.
Como tal, não podemos fornecer uma lista abrangente de métodos de engenharia social. É uma ciência no centro, combinada com a arte no topo. E você sabe que nenhum deles tem limites. Os engenheiros de engenharia social continuam sendo criativos enquanto desenvolvem software que também pode usar mal os dispositivos sem fio que ganham acesso à rede Wi-Fi da empresa.
Ler: O que é malware mal-intencionado?
Impedir a engenharia social
Pessoalmente, não acho que haja algum teorema que os administradores possam usar para impedir invasões de engenharia social. As técnicas de engenharia social continuam mudando e, portanto, torna-se difícil para os administradores de TI acompanharem o que acontece.
É claro que há necessidade de manter um registro nas notícias de engenharia social, de modo que alguém seja informado o suficiente para tomar as medidas de segurança apropriadas. Por exemplo, no caso de dispositivos USB, os administradores podem bloquear unidades USB em nós individuais, permitindo-lhes apenas o servidor com um sistema de segurança melhor. Da mesma forma, o Wi-Fi precisaria de uma criptografia melhor do que a maioria dos ISPs locais fornece.
Treinar funcionários e conduzir testes aleatórios em diferentes grupos de funcionários pode ajudar a identificar pontos fracos na organização. Seria fácil treinar e alertar os indivíduos mais fracos. Prontidão é a melhor defesa. O estresse deve ser que as informações de login não devem ser compartilhadas, mesmo com os líderes de equipe - independentemente da pressão. Se um líder de equipe precisar acessar o login de um membro, ele poderá usar uma senha mestra. Essa é apenas uma sugestão para se manter seguro e evitar hacks de engenharia social.
A linha inferior é, além do malware e hackers on-line, o pessoal de TI também precisa cuidar da engenharia social. Ao identificar os métodos de uma violação de dados (como escrever senhas etc.), os administradores também devem garantir que sua equipe seja inteligente o suficiente para identificar uma técnica de engenharia social para evitá-la completamente. Quais você acha que são os melhores métodos para impedir a engenharia social? Se você se deparar com algum caso interessante, por favor, compartilhe conosco.
Baixe este ebook sobre ataques de engenharia social lançado pela Microsoft e saiba como você pode detectar e impedir esses ataques em sua organização.
Referências
[1] Reuters, Snowden persuadiu os funcionários da NSA a obter suas informações de login
[2] Boing Net, Pen Drives usado para espalhar malware.
