{"id":2577,"date":"2015-10-08T00:30:09","date_gmt":"2015-10-07T23:30:09","guid":{"rendered":"http:\/\/meiobyte.com\/mb\/?p=2577"},"modified":"2015-10-08T00:58:23","modified_gmt":"2015-10-07T23:58:23","slug":"ameacas-virtuais-engenharia-social","status":"publish","type":"post","link":"https:\/\/meiobyte.com\/mb\/ameacas-virtuais-engenharia-social\/","title":{"rendered":"Amea\u00e7as Virtuais – Engenharia Social"},"content":{"rendered":"

“<\/span>O artigo tem o prop\u00f3sito de apresentar de forma breve e clara as t\u00e9cnicas mais utilizadas em Engenharia Social.<\/span>“<\/span><\/strong><\/em><\/p>\n

\"exploding-brain4-300x224\"<\/a>A Engenharia Social \u00e9 uma das t\u00e9cnicas utilizadas por Crackers para obter acesso n\u00e3o autorizado a sistemas, redes ou informa\u00e7\u00f5es com grande valor estrat\u00e9gico para as organiza\u00e7\u00f5es. Os Crackers que utilizam desta t\u00e9cnica s\u00e3o conhecidos como Engenheiros Sociais.<\/p>\n

Quando abordamos Engenharia Social, Hacker, Cracker, temos que evidenciar Kevin D. Mitnick que foi um dos mais famosos crackers de todos os tempos, e boa parte dos seus ataques foram originados das t\u00e9cnicas de Engenharia Social. Quem tiver interesse em conhecer um pouco mais sobre a hist\u00f3ria do Mitnick existe o livro \u201cA Arte de Enganar<\/span><\/strong><\/em>\u201d escrito por ele, e um filme que retrata muitas t\u00e9cnicas que ele utilizou chamado \u201cOpera\u00e7\u00e3o Takedown<\/span><\/strong><\/em>\u201d.<\/p>\n

A seguir ser\u00e3o apresentadas 6 t\u00e9cnicas<\/span><\/strong><\/em> mais utilizadas pelos Engenheiros Sociais<\/span><\/strong>:<\/p>\n

<\/p>\n

Analise do Lixo<\/strong>: Provavelmente poucas organiza\u00e7\u00f5es tem o cuidado de verificar o que est\u00e1 sendo descartado da empresa e de que forma \u00e9 realizado este descarte. O lixo \u00e9 uma das fontes mais ricas de informa\u00e7\u00f5es para os Engenheiros Sociais. Existem muitos relatos e mat\u00e9rias publicadas na Internet abordando este tipo de ataque, visto que atrav\u00e9s das informa\u00e7\u00f5es coletadas no lixo podem conter nome de funcion\u00e1rios, telefone, e-mail, senhas, contato de clientes, fornecedores, transa\u00e7\u00f5es efetuadas, entre outros, ou seja, este \u00e9 um dos primeiros passos para que se inicie um ataque direcionado \u00e0 empresa.<\/p>\n

Internet e Redes Sociais:\u00a0<\/strong>Atualmente muitas informa\u00e7\u00f5es podem ser coletadas atrav\u00e9s da Internet e Redes Sociais sobre o alvo. Quando um Engenheiro Social precisa conhecer melhor seu alvo, esta t\u00e9cnica \u00e9 utilizada, iniciando um estudo no site da empresa para melhor entendimento, pesquisas na Internet e uma boa consulta nas redes sociais na qual \u00e9 poss\u00edvel encontrar informa\u00e7\u00f5es interessantes de funcion\u00e1rios da empresa, cargos, amizades, perfil pessoal, entre outros.<\/p>\n

Contato Telef\u00f4nico:\u00a0<\/strong>Com as informa\u00e7\u00f5es coletadas nas duas t\u00e9cnicas acima, o Engenheiro Social pode utilizar uma abordagem via telefone para obter acesso n\u00e3o autorizado, seja se passando por um funcion\u00e1rio da empresa, fornecedor ou terceiros. Com certeza neste ponto o Engenheiro Social j\u00e1 conhece o nome da secret\u00e1ria, nome e e-mail de algum gestor, at\u00e9 colaboradores envolvidos na TI. Com um simples telefonema e t\u00e9cnicas de Engenharia Social se passando por outra pessoa, de prefer\u00eancia do elo de confian\u00e7a da v\u00edtima, fica mais f\u00e1cil conseguir um acesso ou coletar informa\u00e7\u00f5es necess\u00e1rias da organiza\u00e7\u00e3o.<\/p>\n

Abordagem Pessoal:\u00a0<\/strong>Est\u00e1 t\u00e9cnica consiste do Engenheiro Social realizar uma visita na empresa alvo, podendo se passar por um fornecedor, terceiro, amigo do diretor, prestador de servi\u00e7o, entre outros, no qual atrav\u00e9s do poder de persuas\u00e3o e falta de treinamento dos funcion\u00e1rios, consegue sem muita dificuldade convencer um seguran\u00e7a, secret\u00e1ria, recepcionista a liberar acesso ao datacenter onde possivelmente conseguir\u00e1 as informa\u00e7\u00f5es que procura. Apesar desta abordagem ser arriscada, muitos Crackers j\u00e1 utilizaram e a utilizam at\u00e9 hoje.<\/p>\n

Phishing<\/strong><\/em>:\u00a0<\/strong>Sem d\u00favidas esta \u00e9 a t\u00e9cnica mais utilizada para conseguir um acesso na rede alvo. O\u00a0Phishing\u00a0<\/em>pode ser traduzido como \u201cpescaria\u201d ou \u201ce-mail falso\u201d, que s\u00e3o e-mails manipulados e enviados a organiza\u00e7\u00f5es e pessoas com o intuito de agu\u00e7ar algum sentimento que fa\u00e7a com que o usu\u00e1rio aceite o e-mail e realize as opera\u00e7\u00f5es solicitadas. Os casos mais comuns de\u00a0Phishing<\/em>\u00a0s\u00e3o e-mails recebidos de supostos bancos, nos quais afirmam que sua conta est\u00e1 irregular, seu cart\u00e3o ultrapassou o limite, ou que existe um novo software de seguran\u00e7a do banco que precisa ser instalado sen\u00e3o ir\u00e1 bloquear o acesso. Outro exemplo de\u00a0phishing<\/em>\u00a0pode ser da Receita Federal informando que seu CPF est\u00e1 irregular ou que o Imposto de Renda apresentou erros e para regularizar consta um link, at\u00e9 as situa\u00e7\u00f5es mais absurdas que muitas pessoas ainda caem por falta de conhecimento, tais como, e-mail informando que voc\u00ea est\u00e1 sendo tra\u00eddo(a) e para ver as fotos consta um link ou anexo, ou que as fotos do churrasco j\u00e1 est\u00e3o dispon\u00edveis no link, entre outros. A maioria dos\u00a0Phishings\u00a0<\/em>possuem algum anexo ou links dentro do e-mail que direcionam para a situa\u00e7\u00e3o que o Cracker deseja.<\/p>\n

Falhas Humanas:\u00a0<\/strong>O Ser Humano possui v\u00e1rias vulnerabilidades que s\u00e3o exploradas pelos Engenheiros Sociais, tais como, confian\u00e7a, medo, curiosidade, instinto de querer ajudar, culpa, ingenuidade, entre outros. \u00a0No livro \u201cSegredos do H4CK3R \u00c9tico\u201d, escrito por Marcos Fl\u00e1vio Ara\u00fajo Assun\u00e7\u00e3o, \u00e9 abordada uma passagem interessante no capitulo \u201cManipulando Sentimentos\u201d no qual, atrav\u00e9s do sentimento de Curiosidade, um Cracker instalou um\u00a0outdoor\u00a0<\/em>na frente da empesa alvo com as palavras \u201cCompre seu celular de \u00faltima gera\u00e7\u00e3o de modo f\u00e1cil: entregue seu aparelho antigo e, com mais um real, escolha aquele que voc\u00ea quiser ter\u201d e, abaixo, o link do site. Claro que este site estava com c\u00f3digos maliciosos no qual foi poss\u00edvel acessar v\u00e1rios computadores da organiza\u00e7\u00e3o atrav\u00e9s de\u00a0vulnerabilidade de softwares\u00a0e sistemas operacionais.<\/p>\n

Este \u00e9 somente um exemplo de como o Engenheiro Social consegue obter \u00eaxito no ataque atrav\u00e9s da falhas humanas. A maioria dos ataques por\u00a0Phishing\u00a0<\/em>visam explorar alguma falha humana para obter sucesso.<\/p>\n

Para finalizar este artigo e gerar um melhor entendimento, seguem algumas frases retiradas do livro de Mitnick sobre\u00a0engenharia social.<\/p>\n

\u201cEngenharia social usa a influ\u00eancia e a persuas\u00e3o para enganar as pessoas e convence-las de que o engenheiro social \u00e9 algu\u00e9m que ele n\u00e3o \u00e9, ou pela manipula\u00e7\u00e3o. Como resultado, o engenheiro social pode aproveitar-se das pessoas para obter as informa\u00e7\u00f5es com ou sem uso da tecnologia.\u201d (MITNICK, 2003, p.6)<\/em><\/p>\n

\u201cOs engenheiros sociais habilidosos s\u00e3o adeptos do desenvolvimento de um truque que estimula emo\u00e7\u00f5es tais como medo, agita\u00e7\u00e3o, ou culpa. Eles fazem isso usando os gatilhos psicol\u00f3gicos \u2013 os mecanismos autom\u00e1ticos que levam as pessoas a responderem as solicita\u00e7\u00f5es sem uma an\u00e1lise cuidadosa das informa\u00e7\u00f5es dispon\u00edveis.\u201d (MITNICK, 2003, p.85)<\/em><\/p>\n

\u201cA prote\u00e7\u00e3o para os ataques envolve o treinamento nas pol\u00edticas e procedimentos, mas tamb\u00e9m \u2013 e provavelmente mais importante \u2013 um programa constante de conscientiza\u00e7\u00e3o. Algumas autoridades recomendam que 40% do or\u00e7amento geral para seguran\u00e7a da empresa seja aplicado no treinamento da conscientiza\u00e7\u00e3o.\u201d (MITNICK, 2003, p.195).<\/em><\/p>\n

Autor<\/span><\/strong>: Gustavo Castro<\/span><\/strong><\/p>\n

https:\/\/br.linkedin.com\/in\/gustavocastrorafael<\/a><\/p>\nPartilhe no Facebook<\/a>\n\t