O ser humano é a maior falha de segurança

Ontem recebi uma mensagem no meu DM do Instagram, a mensagem era dum jovem que foi vítima de um golpe.

Na mensagem ele perguntava se podia compartilhar comigo o acontecimento, eu respondi que sim.

E então ele disse isso:

Esse jovem sofreu um ataque de engenharia social — uma arma potente para criminosos que procuram coletar informações confidenciais.

Engenharia Social

A engenharia social é definida como qualquer ato que influencia uma pessoa a tomar uma acção que pode ou não ser do seu interesse.

Um tipo de ataque que ocorre devido à interação humana e geralmente envolve a manipulação de pessoas para quebrar os procedimentos normais de segurança para obter acesso não autorizado à informações, sistemas, redes ou mesmo locais físicos.

É basicamente um jogo psicológico, onde um criminoso aproveita a psicologia humana em vez de vulnerabilidades técnicas em sistemas.

É muito mais fácil enganar alguém a dar acesso a um sistema do que dedicar meses tentando identificar e explorar falhas técnicas no sistema — pois o fator humano é o elo mais fraco da segurança.

A engenharia social baseia-se numa pessoa contactando outra pessoa, explorando a ambição, desejo e o medo, através e-mails, SMS, chamadas telefônicas, anúncios ou até mesmo interações presenciais.

Por exemplo, uma pessoa envia um e-mail para ti, utilizando o endereço de e-email [email protected]

E com a seguinte mensagem:

Então, você recebe o e-mail,

Vê que o e-mail parece ser oficial do seu banco (enquanto na verdade só é parecido).

Fica com medo de sua conta ser bloqueada.

Clica no link para fazer actualização de dados, coloca os seus dados, incluindo a senha do seu internet banking.

Mas todos esses dados são enviados para um criminoso sem que você perceba.

A mensagem poderia ser mais convincente, porém já dá para entender o meu ponto.

Nos ataques mais sofisticados, os criminosos já possuem informações prévias sobre as vítimas, para assim conseguir forjar um cenário ou contexto suficientemente convincente, e conseguir às enganar.

Essas informações prévias podem ser encontradas em redes sociais, sites de empresas, registros públicos, e até mesmo na lixeira de uma empresa.

Veja esse exemplo mais aplicável a isso:

Um atacante pretende obter acesso inicial ao sistema de gestão de uma escola de inglês, que possui 5 escolas no país.

Ele pesquisa e coleta informações sobre essa escola, para conseguir forjar um contexto adequado, nessas pesquisas identificou que:

1. O sistema utilizado foi desenvolvido e fornecido pela empresa IT Solutions.

2. O registo de novos alunos é feito na recepção.

3. O sistema está a ser executado em um servidor básico.

Então, ele ligou para a recepção da escola:

Joana (a recepcionista): “Aqui fala Joana da English School, com o que posso ajudar?“

Atacante: “Olá Joana, sou César da equipe técnica da IT Solutions, estamos a fazer actualizações no sistema, e já recebemos reclamações de algumas escolas de que o sistema está a ter interrupções, gostaria de saber se aí na sede o sistema está bem funcional?“

Joana: “Até agora está tudo funcional, espero que isso não interrompa o meu trabalho“

Atacante: “Tudo bem Joana, caso o sistema apresente problemas, ligue para este número, para que eu possa lhe ajudar“

O atacante abordou um problema que ainda não aconteceu, mas que o atacante sabe que acontecerá porque ele vai causá-lo.

Joana: “Está bem, obrigado.“

Atacante: “Tenha continuação de um bom trabalho“

Joana: “Obrigada e Igualmente!“

O atacante aguardou 2 horas, de seguida, iniciou um ataque de negação de serviço (DoS) no servidor do sistema de gestão, de modo que o sistema saísse do ar.

Quando o sistema ficou fora do ar, a Joana rapidamente ligou para o “César” (o atacante):

Joana: “Alô, liguei para informar que o sistema não está a funcionar, você pode me ajudar?“

Atacante: “Claro Joana, eu vou mexer internamente aqui, qual é o seu email?“

Joana: “[email protected]“

Atacante: “Certo, a senha?“

Joana: “Jogo da velha, Joana um dois três“

Atacante: “Aguarde um instante na linha, enquanto realizo o procedimento…“

Depois, o atacante interrompe o ataque de negação de serviço, o sistema volta ao ar.

Atacante: “Alô“

Joana: “Oi“

Atacante: “Já concluí o procedimento, verifique se já consegue aceder ao sistema“

Joana: “Tudo bem!“

A Joana rapidamente tenta aceder ao sistema, e dá certo.

Joana: “Está a funcionar, muito obrigado, espero que isso não aconteça novamente”.

Atacante: “De nada, só estou a fazer o meu trabalho rs, continuação de uma boa tarde“.

Joana: “Obrigada e Igualmente“.

Um atacante que consegue fazer o alvo ligar para ele ganha credibilidade constante.

Você percebeu como uma simples conversa por telefone combinada com um ataque simples ao servidor de um sistema pode levar a dados importantes?

Com o isso, o atacante conseguiu as credenciais de acesso ao sistema de gestão da escola de inglês, e podia gerir alunos, visualizar dados importantes, e muito mais.

Adicional a isso, o atacante podia pedir que a Joana instalasse um programa no computador para evitar essas interrupções no sistema.

Esse programa poderia ser um vírus que dá acesso total do computador da recepção ao atacante.

Isso é engenharia social, a arte de enganar pessoas.

Há um ditado popular que diz que um computador seguro é aquele que está desligado — mas um engenheiro social convence alguém a entrar no escritório e ligar aquele computador.

Os ataques de engenharia social nem sempre vão directo para a informação desejada, podem passar por diversas vítimas coletando pequenas informações até chegar ao objectivo final.

Veja esse último exemplo:

(Retirado do livro “A arte de enganar“ do Kevin Mitnick)

Andrea Lopez, funcionária de uma locadora de vídeo, recebeu uma ligação de um atacante fingindo ser cliente.

No final da ligação, o atacante elogiou o atendimento e disse que estava satisfeito, e que queria enviar uma carta para o gerente dizendo isso, então pediu o nome e o endereço de correspondência do gerente.

A Andrea deu essas informações, informando que o nome do gerente é “Tommy Alisson“, mas logo, o cliente disse:

"Eu poderia escrever para a sede da sua empresa também. Qual é o número da sua loja?“

E ela também forneceu essa informação.

De seguida, o atacante ligou para uma outra loja da locadora de vídeo:

Ginny (vítima): “Obrigada por ligar para a Studio Video. Meu nome é Ginny, posso ajudar?“

Atacante: “Oi Ginny, aqui é o Tommy Alisson, gerente da Loja 865, Forest Park, Temos um cliente que quer alugar Rocky 5 e estamos sem nenhuma cópia. Você pode verificar se têm uma?“ (com voz entusiasmada, como se falasse com Ginny todas as semanas).

Após alguns momentos ela voltou ao telefone e confirmou.

Ginny: “Sim, temos três cópias“.

Atacante: “Muito bem, vou ver se ele quer passar aí. Muito obrigado, se precisar de alguma coisa na nossa loja, é só ligar e pedir para falar com Tommy. Vou ficar feliz em ajudar com o que puder“.

Três ou quatro vezes nas próximas semanas Ginny recebeu ligações de Tommy pedindo ajuda com uma ou outra coisa.

As solicitações aparentemente eram legítimas e ele sempre era tão amistoso, sem parecer que estava tentando se aproveitar disso.

Ele começou a bater papo também — "Você ouviu falar do grande incêndio em Oak Park? Várias ruas foram fechadas" e outras coisas do gênero.

As ligações quebravam um pouco a rotina do dia e Ginny sempre gostava de ouvi-lo.

Certo dia Tommy ligou e parecia meio estressado.

Tommy (atacante): “Vocês estão tendo problemas com seus computadores?“

Ginny: “Não, por quê?"

Tommy: “Alguém bateu o carro contra um telefone público e o pessoal da empresa de telefonia disse que grande parte da cidade vai perder seus telefones e conexão com a Internet até eles resolverem o problema.“

Ginny: “Ah, não. O homem se machucou?“

Tommy: “Eles o levaram em uma ambulância. De qualquer maneira, você poderia me ajudar?“

Tommy: “Tenho um cliente seu aqui que queria alugar O poderoso chefão II e está sem o cartão. Você poderia verificar essas informações para mim?“

Ginny: “Sim, é claro“

Tommy deu o nome e endereço do cliente e Ginny o encontrou no computador, Ela deu a Tommy o número da conta.

Tommy: “Ele tem alguma devolução a fazer ou saldo devedor?“

Ginny: “Não consta nada.“

Tommy: “Multo bem, ótimo. Vou abrir uma conta para ele aqui à mão e o coloco no nosso banco de dados mais tarde quando os computadores voltarem a funcionar. Ele quer pagar com o cartão Visa que ele usa na sua loja e também está sem ele. Qual é o número do seu cartão e a data de vencimento?“

Ela também forneceu essas informações.

Tommy agradeceu: "Olha, obrigado pela ajuda. Falo com você depois”, e desligou.

As ligações iniciais de Tommy para Ginny visavam apenas criar confiança. Quando chegou a hora do ataque real, ela baixou a guarda e aceitou que Tommy era quem alegava ser, o gerente de outra loja do grupo.

Fornecendo informações críticas ao atacante.

Abordagens e Técnicas de Engenharia Social

Os ataques de engenharia social podem ser muito simples e também muito complexos.

1. Intimidação

Consiste em fazer com que a vítima se sinta inferior, apresentando autoridade ou uma ameaça.

Por exemplo: Fingir ser o gerente de um outro departamento da empresa, parecendo estar no comando.

2. Persuasão

Uma abordagem fundamental para os engenheiros sociais é ser amável e agradável, apresentando suas demandas de maneira que pareça inteiramente sensata e benigna.

A persuasão consiste em utilizar nomes importantes ou até mesmo dados que parecem confiáveis e convincentes.

Ex. Ligar para um departamento da empresa alvo, fingindo ser um empregado e pedindo algo, pode até ser uma informação minúscula.

3. Bajulação

Consiste em construir um relacionamento em cima de uma vítima a longo prazo, até um dia conseguir alcançar o objectivo principal, que pode ser obter informações importantes.

Pudemos notar essa abordagem no exemplo do ataque à locadora de vídeo.

4. Assistência

Consiste em oferecer ajuda à vítima, e aproveitar a situação para se beneficiar — que foi o que aconteceu no exemplo da escola de inglês.

5. Escassez

Consiste em atrapalhar a tomada de decisões normais, incutindo uma falsa sensação de escassez ou pressão de tempo.

O engenheiro social pode tentar apressar o alvo a tomar uma decisão, insistindo em uma ação imediata — como foi no exemplo da actualização de dados no internet banking.

6. Falsificação de identidade e confiança

Envolve assumir a identidade de outro indivíduo. Pode ser executada usando uma familiaridade ou gosto ou uma estratégia de autoridade e intimidação.

Tipos de engenharia social

1. Phishing

É a forma mais comum, e envolve o envio de e-mails, mensagens ou até mesmo telefonemas fraudulentos para enganar pessoas a revelar informações confidenciais.

Foi o que aconteceu com o caso do iPhone roubado.

Os atacantes muitas vezes se disfarçam de entidades confiáveis, como bancos, clientes, colegas ou prestadores de serviço.

Estes ataques podem ser mais complexos, utilizando sites e e-mails falsos e idênticos aos originais, ou então combinando-os com falhas de segurança para assim conseguir convencer as vítimas.

2. Pretexto

Os atacantes criam um cenário para obter informações da vítima, isso pode envolver se passar por um colega de trabalho ou suporte de TI.

3. Baiting

Envolve tentar vítimas com algo atraente, como downloads de software gratuito ou ofertas exclusivas.

4. Tailgating

Esta técnica envolve o acesso físico a áreas restritas dentro de uma organização.

O invasor pode se passar por um funcionário ou entregador para obter entrada e acessar informações críticas.

Ataques avançados

A interseção entre a tecnologia e a engenharia social pode resultar em ataques altamente sofisticados, utilizando tecnologias como a Inteligência artificial.

Tecnologias parecidas com o ChatGPT têm sido utilizadas criar bots de phishing direcionados que superam os humanos.

Estes bots podem realizar ataques de forma totalmente automatizada e gerar mensagens interessantes, que enganam usuários para que cliquem nelas.

E também temos as Deep Fakes!

Utilizando Deep Fake é possível criar vídeos e imagens com o rosto de uma pessoa ou vítima, e também criar mensagens de voz falsas, super idênticas à voz de uma vítima.

Hoje em dia, você pode receber áudio com a voz do seu chefe pedindo que você lhe envie uma informação confidencial, independentemente do número que enviou o áudio, você vai confiar, porque você conhece a voz do seu chefe.

Além disso, existem técnicas que já são muito conhecidas na área, que é a combinação de spoofing com engenharia social.

Permitindo forjar e-mails e até mesmo números de telefone totalmente “iguais” ao de uma vítima.

Você pode receber um e-mail vindo, do endereço e-mail do seu chefe, e você tem a certeza que aquele é o endereço dele, porém, o criminoso pode ter utilizado uma técnica para falsificar o endereço de e-mail, geralmente é chamada de Email Spoofing.

O mesmo se aplica com SMS — SMS Spoofing

Como se prevenir

A invasão da segurança de uma empresa quase sempre começa com criminoso obtendo alguma informação ou algum documento que parece ser muito inocente, tão comum e sem importância que a maioria das pessoas da organização não vê nenhum motivo pelo qual ele deva ser protegido e restrito.

Um criminoso convence às vítimas lhe fornecerem informações que não deviam, sem que elas percebam.

Assim como as peças de um quebra-cabeça, cada informação parece irrelevante sozinha. Porém, quando as peças são juntadas, uma figura aparece.

Para evitar tamanha dose de realidade precisamos nos conscientizar, educar, vigiar e proteger os nossos ativos de informações.

Aqui estão algumas dicas para se prevenir contra ataques de engenharia social:

1. Educação e Conscientização: Capacite-se e capacite sua equipe sobre o que é engenharia social e os tipos comuns de ataques. Reconhecer o risco é o primeiro passo para se proteger.

2. Desconfie Sempre: Seja cético em relação a solicitações inesperadas, especialmente aquelas que pedem informações sensíveis ou pressionam por ações imediatas.

3. Verifique a Identidade: Se alguém entrar em contato pedindo informações ou acesso, certifique-se de verificar sua identidade antes de prosseguir. Isso pode ser feito ligando de volta para um número conhecido (não o número fornecido pelo chamador) ou verificando com outra fonte confiável.

4. Proteja suas Informações Pessoais: Nunca compartilhe informações pessoais, financeiras ou de negócios, a menos que tenha certeza da identidade da pessoa e da necessidade dessa informação.

5. Use Autenticação de Dois Fatores: Sempre que possível, habilite a autenticação de dois fatores para suas contas online. Isso adiciona uma camada adicional de segurança.

6. Seja Cauteloso com Links e Anexos: Não clique em links ou baixe anexos de fontes desconhecidas ou suspeitas.

7. Utilize Ferramentas de Segurança: Utilize soluções de segurança, como antivírus, filtros de spam e firewalls, para proteger contra ameaças.

Lembrando que a engenharia social se baseia na manipulação humana, então o fator mais importante é a educação e a conscientização contínua.

O que me faz escrever sobre isso, é o facto de que até os dias de hoje, esse tipo de ataque apesar de ser simples na maioria dos casos, continua sendo um dos ataques cibernéticos mais comuns.

Inclusive, nesse ano, a Uber foi hackeada através da engenharia social.

Um hacker de 18 anos utilizou técnicas de engenharia social para conseguir credenciais de login de um funcionário para acessar a plataforma de comunicação utilizada internamente na empresa.

Através das informações que ele conseguiu dentro dessa plataforma, conseguiu obter acesso à rede privada virtual da uber e navegou pela rede, encontrando diversos arquivos confidenciais.

As pessoas continuam a cair nesses ataques de forma bem simples, e ainda não existem soluções super eficazes para isso.

Tivemos diversos avanços tecnológicos, mas até hoje, esses ataques continuam, várias pessoas têm perdido contas, dinheiro, entre outros.

Esses ataques continuam a ter sucesso porque dependem mais das vítimas em si, do que dos sistemas — O ser humano é vulnerável.

A forma de reduzir isso, é conscientizar as pessoas, ensinando sobre esses ataques e como se prevenir, mas cá entre nós, a maioria das pessoas não se dá o tempo de estudar um pouquinho sobre isso.

Então não vai funcionar muito bem.

O ideal é as empresas desenvolverem tecnologias melhores para prevenir esses ataques, implementando-as em serviços de e-mail, redes sociais, entre outros.

A inteligência artificial e aprendizado de máquina com certeza podem ajudar com isso.

Vimos que esses ataques podem ser muito complexos e quase que irreconhecíveis, existem mais técnicas e até ferramentas que facilitam essas actividades maliciosas, como serviços para falsificar chamadas telefônicas, clonagem de voz, endereços de e-email e sites, entre outros.

Já que os ataques estão cada vez mais avançados, as medidas de protecção devem avançar ainda mais, utilizando recursos avançados.

Você, provavelmente lida diariamente com vários cenários de engenharia social, só não percebe.

Então, espero que essa newsletter tenha te despertado o suficiente.

Compartilhe a minha newsletter com pessoas próximas, para que esse tipo de mensagem chegue à mais pessoas.

Eu sou Américo,

e juntos continuaremos a escrever a história de uma nova geração.

Abraços, e até a próxima!