CURSO DE FUNDAMENTOS DE CIBERSEGURANÇA

Módulo 3 - Anatomia de um Ciberataque

Unidade didática 3 - Engenharia Social

1. Introdução

Um ciberataque pode ser executado:

(1) explorando as vulnerabilidades na tecnologia (sistemas com vulnerabilidades

ou falhas passíveis de ser exploradas);
(2) explorando as vulnerabilidades nos processos (e.g., não verificação de
identidade, falta de políticas);
(3) explorando as vulnerabilidades das pessoas (e.g., com engenharia
social).

A engenharia social pertence a uma classe de ataques não tecnológicos, uma vez que
se concentra na exploração da natureza humana em vez de um servidor ou rede.
Quando falamos de engenharia social, estamos a referir-nos a uma vasta gama de
atividades maliciosas que podem ser realizadas através de interações humanas.

A engenharia social é qualquer tentativa de manipular os utilizadores para revelar

informações confidenciais ou realizar outras ações que sejam prejudiciais para
esse utilizador ou para a segurança dos seus sistemas. Pode ser combinada e
normalmente é, com ataques tecnológicos, e.g., um email de phishing bem
elaborado (engª social) induz o utilizador a instalar um malware no PC (ataque
tecnológico). A engenharia social está sempre centrada no elemento humano e na
tentativa de encontrar uma forma de contornar os controlos tecnológicos dos sistemas,
simplesmente hackeando o humano em vez de hackear a tecnologia.

Muitas vezes, isto envolve manipulação psicológica para enganar os utilizadores a

cometerem erros de segurança ou a darem informações sensíveis. Embora existam
algumas formas de engenharia social que dependem de métodos técnicos, como o

|Luís Dias| 1/x

 phishing e muitos outros, o verdadeiro foco destas técnicas não é a tecnologia utilizada
pelo atacante, mas sim, os métodos de influência que são utilizados para persuadir um
ser humano a cometer um erro. Por exemplo, para penetrar na rede sem fios de uma
organização que tenha uma palavra-passe longa e forte e utiliza os últimos protocolos
(e.g., WPA3), poderia levar anos a obter essa palavra-passe pela exploração da
tecnologia. Mas e se conseguíssemos descobrir uma forma de enganar os utilizadores
da organização para que partilhassem essa palavra-passe? Seria possível aceder a
essa rede ao fim de poucos dias na maioria dos casos. Essa é a ideia da engenharia
social!

A utilização da engenharia social pode ajudar o atacante a ganhar o acesso inicial à

rede privada da organização, e depois pode escalar os privilégios ou mover-se
lateralmente a partir daí, procurando objetivos mais remuneradores (e.g., acesso a
servidores com bases de dados). A formação em cibersegurança nas organizações é
fundamental (aumentando a cultura de cibersegurança), devendo incluir lições sobre
como evitar tentativas de engenharia social, porque esta é muitas vezes a principal
causa de muitas intrusões.

Vamos falar aqui sobre estes ataques de engenharia social, bem como as tecnologias
e ferramentas que são utilizadas para alavancar estes ataques.

Relembre que o defensor da organização pode instalar todos os controlos técnicos que
quiser (e.g., Firewall, Antivírus, sistemas de deteção e prevenção de intrusões), mas se
os seus colaboradores deixarem-se enganar e forem levados a clicar num link malicioso
num e-mail enviado numa campanha de phishing, todos esses controlos de segurança
vão ser ineficazes pois o malware passa a estar instalado numa máquina de confiança
dentro da rede da organização, estabelecendo uma ligação para o atacante.

|Luís Dias| 1/x

 2. Fatores de motivação e persuasão

A engenharia social visa ser capaz de enganar um utilizador do sistema alvo a fazer
algo por si. Então a questão é: como perceber as motivações do utilizador para ter
vontade de fazer o que eu pretendo?

A engenharia social baseia-se fortemente nos princípios de influência estabelecidos por

Robert Cialdini, um psicólogo comportamental, e autor do livro Influência: A Psicologia
da Persuasão. Estes princípios são usados em diferentes áreas, e.g., marketing, mas
também por atacantes!

O objetivo será fazer com que as pessoas confiem (acreditem) em nós e façam o que
queremos que elas façam. Os 6 fatores de motivação são:

(1) Autoridade; (3) Urgência; (4) Escassez; (2) Prova Social; (5) Gosto; e (6) Medo.

2.1. Autoridade

Alguém fazer o que queremos por pensar que estamos numa posição de
autoridade. Fingir ser o chefe, o chefe do chefe, um gestor de alto nível na cadeia
hierárquica, um potencial cliente, um agente governamental, e.g., em nome das finanças
ou da polícia, etc.

Exemplo 1: é a secretária de um departamento e recebe um e-mail em nome do

CEO (atacante) a solicitar dados sobre os colaboradores do departamento.

Exemplo 2: recebe um email em nome das finanças para adesão obrigatória a um

novo serviço de vouchers. A autenticação nesse novo serviço (falso) é feita com um
email, provavelmente vai usar o email da organização ou o pessoal, a password
poderá ser a mesma (se for… sucesso total para o atacante!).

|Luís Dias| 1/x

 2.2. Urgência

Alguém querer algo que só está disponível por um tempo limitado. Ou alguém
fazer uma coisa pelo facto de haver pouco tempo para algo. As pessoas estarem
sempre atarefadas e querem ajudar-se umas às outras, por natureza, são fatores
cruciais. Se demonstramos estar com urgência para algo, ou seja, com pressa,
atarefados, com as mãos cheias de pastas, alguém poderá querer ajudar-nos. Quando
as pessoas começam a apressar-se a querer ajudar os outros, por vezes nem pensam
bem e cometem erros.

Exemplo 1: ligo para o helpdesk e digo que "a conta bloqueou e preciso
urgentemente que a desbloqueiem porque vou ter uma reunião dentro de cinco
minutos com o chefe e preciso de um documento muito importante... por favor, ajude-
me agora mesmo!"

Exemplo 2: recebe um email com o texto "aproveita esta promoção pois só é válida
durante este fim de semana, clique aqui para aderir."

2.3. Escassez

Alguém querer aproveitar a oportunidade de obter alguma coisa que existe em

pouca quantidade. Muitas vezes pode ser confundido com urgência, mas é diferente.
Contudo podem ser usadas em conjunto (ver Exemplo 2 abaixo).

A urgência implica um prazo, enquanto a escassez implica quantidade.

Exemplo 1: campanha de phishing contra a organização alvo, em que se alega que

só restam cinco vagas para um evento webinar de interesse para os colaboradores
da organização. O registo é feito com um email que deverá ser o da empresa com a
respetiva password de login.

Exemplo 2: recebe um email com o texto "aproveita esta promoção pois só restam
3 iPhones de oferta e a data limite é amanhã, clique aqui para aderir."

|Luís Dias| 1/x

 2.4. Prova Social

Alguém fazer algo porque parece bem, é que os outros estão a fazer. As pessoas
são sempre muito mais propensas a clicar em ligações que têm gostos, partilhas e que
outros amigos também clicam (fazer o que os outros fazem). Esta é a ideia da prova
social. Portanto, se o atacante está a visar uma empresa e não é capaz de enganar os
seus utilizadores diretamente, talvez possa ir atrás das suas ligações de segundo nível,
talvez os seus cônjuges ou amigos.

Exemplo 1: criar um grupo no Facebook dizendo "Junte-se a este grupo no Facebook

e faça parte desta iniciativa". Construir a confiança com pessoas desse grupo, cujo
tema deve ter afinidade com a empresa alvo.

Exemplo 2: conseguir que um website fraudulento pareça legítimo por ter muitas
visualizações, gostos, partilhas. Se houver esta prova social o alvo será propenso a
clicar nesse website.

2.5. Gosto

Alguém fazer algo porque quer agradar ou interagir com alguém de quem gosta.
Usar a simpatia, a beleza ou o charme para fazer uma amizade (ou uma relação) e
depois usar isso como uma forma de persuadir o outro.
Podemos aqui encaixar pessoas bonitas, simpáticas, que pensem como o alvo e que o
façam querer estar com elas e confiar-lhes muitas coisas. Mas esta motivação não tem
de ser baseada na atração, aparência ou ser de natureza sexual. Pode basear-se em
encontrar um interesse comum, e.g., equipa de futebol favorita, jogos de computador,
entre outros.

Exemplo 1: uma mulher ou homem tentar atrair sexualmente alguém para conseguir
o que quer (e.g., obter um cartão de acesso, acesso ao computador).

Exemplo 2: enviar um email a dizer "olá, tenho 4 bilhetes para o Benfica grátis todos
os meses, vou enviar-te dois porque já não consigo ir este mês". O email tem um
ficheiro com o malware para penetrar na rede alvo.

|Luís Dias| 1/x

 2.6. Intimidação

Alguém fazer algo por ter receio das consequências de não o fazer. O medo ou
receio é um grande motivador se usado corretamente. Este é o princípio para os pedidos
de resgate dos ataques de ransomware, o medo de não recuperar informação
importante.

Exemplo 1: recebe uma mensagem no email por ter sido considerado culpado por
consultar sites de software pirateado e terá que pagar multa de 100€ à Polícia.

Exemplo 2: recebe um email do helpdesk que diz que a sua conta foi comprometida
e deve clicar na ligação para redefinir a sua palavra-passe. Quando clica, na
realidade está a deixar alguém entrar no seu sistema.

Falámos dos fatores de motivação individualmente, mas pode ser mais eficaz
combinar múltiplos fatores. Por exemplo, combinar a prova social, com a escassez e
a urgência:

Exemplo: clique nesta ligação até às 16h para conseguir a oportunidade de obter
um dos três que ainda restam. Seja um dos milhares a aderir à campanha.

|Luís Dias| 1/x

 3. Tipos de Ataques e Conceitos de Engenharia
Social

Vamos aqui focar alguns tipos diferentes de ataques de engenharia social. O termo mais
popular é o phishing. Um ataque de phishing é um ataque de engenharia social em que
o ator malicioso comunica com a vítima (tipicamente via email) parecendo ser uma fonte
fidedigna (e.g., um banco), a fim de atrair a vítima para a divulgação de informação
sensível (e.g., roubo de credenciais) ou mesmo para instalação de malware no
computador da vítima (e.g., para estabelecer uma ligação remota para o atacante).
Phishing é um termo genérico para este tipo de ataque.

O phishing pode assumir diferentes tipos específicos:

• Relativos ao alvo:
o Spear phishing - emails altamente personalizados para um grupo de
utilizadores (e.g., todos os emails dos colaboradores, colaboradores de
um departamento).
o Whaling - emails altamente personalizados para um número baixo de
utilizadores (e.g., executivos, administradores) que podem ser altamente
remuneradores.
• Relativos ao meio utilizado:
o Smishing - mensagens de texto.
o Vishing - chamada de voz.

Numa tentativa genérica de phishing, o atacante vai enviar um e-mail a uma grande
audiência na esperança de conseguir que alguém clique no link para um website na
posse do atacante. O site deverá ter um conjunto de informação verdadeira (“meia
verdade”) para ter credibilidade, ou deverá mesmo ser uma cópia de um site real. Por
exemplo, um email a simular o PayPal ou o login para o Office365, são bons exemplos
de phishing genérico se forem enviados de forma indiscriminada para vários potenciais
utilizadores.

Numa campanha de phishing genérico, o atacante não está a visar uma pessoa ou
grupo em particular, mas sim a enviar um grande número de emails que são
suscetíveis de capturar a maior quantidade de pessoas.

|Luís Dias| 1/x

 A segunda forma de phishing é conhecida como spear phishing, uma versão mais
direcionada do phishing, mas em geral utiliza a mesma tecnologia e técnicas. O mais
provável é um atacante usar uma campanha de spear phishing e não uma
campanha de phishing genérico. Por exemplo, pode enviar um e-mail para as várias
contas de correio da organização que obteve com o reconhecimento passivo. Pode
distribuir um ficheiro malicioso alegando um assunto que seja do interesse geral dos
colaboradores, e.g., regras novas para os prémios de desempenho na organização, ou
algo mais genérico como as novas taxas de retenção na fonte do IRS. Pode também
capturar credenciais, através de um site falso produzido para o efeito. Pode focar-se
num determinado subgrupo, por exemplo, colaboradores do departamento de
informática, ou do departamento de recursos humanos.

Outro tipo de phishing é a pesca à baleia (whaling). É ainda mais focado que o spear
phishing, centrando-se em alvos como o CEO, CFO, CSO, CTO, ou seja, os líderes,
executivos, e gestores chave dentro da empresa, quem está no topo da hierarquia.
Este pode ser um método muito eficaz, pois os executivos são muito ocupados, recebem
vários mails e não têm tempo de escrutinar tudo o que recebem antes de clicar num link.

O smishing utiliza mensages SMS (texto) ou MMS (multimédia). Esta técnica envia
o link malicioso integrado nas mensagens.

O smishing (e as outras técnicas anteriores) pode ser combinado com outros ataques
de engenharia social. Por exemplo, pode-se usar o conceito de pretexto. Os pretextos
são histórias fabricadas, podem ser baseadas em meias-verdades, para iniciar uma
conversa com um colaborador da organização. Um exemplo seria falar com algum
colaborador da organização de forma informal (e.g., num bar), estabelecer confiança e
pedir o número de telefone. Posteriormente o envio de um link por SMS poderia ser mais
confiável: "olá, era isto que eu falava quando nos conhecemos httaa://rb.gy/pfc".

O vishing envolve chamadas telefónicas a fingir que se é outra pessoa. Convém

neste caso haver um pretexto também, com algum conhecimento prévio de alguma
coisa (e.g., ligar para o helpdesk fazendo-se passar por um colaborador). Um exemplo
muito popular de vishing é aquele em que os atacantes fazem-se passar por
colaboradores do Microsoft Defender para persuadir potenciais vítimas a conceder-lhes
acesso remoto (ver link).

Outros conceitos interessantes e relacionados com engenharia social são:

|Luís Dias| 1/x

 Baiting - deixar um dispositivo de armazenamento (e.g., pen USB) com malware, à
mercê de um utilizador curioso. Por exemplo, o atacante pode criar uma pen
maliciosa com o logo da organização alvo e deixá-la num local (de preferência no
interior da organização) apropriado.

quid pro quo - significa trocar algo por algo. Como exemplo, considere que um
atacante liga para números aleatórios numa empresa, alegando estar a devolver
uma chamada (ligar de volta) a um pedido de helpdesk. Eventualmente, atenderá
alguém que apesar de não ter ligado ao helpdesk poderá ter algum tipo de problema,
e assim o atacante vai "ajudar" a resolver esse problema e criar uma ligação remota.

Tailgating - um atacante ultrapassa uma barreira física para entrar numa área restrita
protegida por um controlo de acessos (e.g., por cartão RFID). Uma técnica é
simplesmente ir atrás de uma pessoa que tem acesso legítimo, a cortesia comum
leva a pessoa legítima a manter a porta aberta para o atacante passar.

Shoulder surfing - técnica utilizada para obter informações tais como PINs,
palavras-passe e outros dados confidenciais, olhando por cima do ombro da vítima.
Esta técnica pode permitir também o Eavesdropping , o ato de ouvir secretamente
ou furtivamente as conversas ou comunicações privadas de terceiros sem o seu
consentimento, a fim de recolher informações.

Impersonation - fingir ser alguém que não é, como vimos nos vários exemplos
anteriores. Num teste de penetração física pode tentar fingir ser alguém que não é
(e.g., outro colaborador, alguém da manutenção) a fim de ter acesso às instalações.

Pharming - da junção das palavras phishing e farming, é o ato (criminoso) de

produzir um site falso e depois redirecionar (e.g., via ataques a um serviço de
resolução de nomas de DNS) os utilizadores para esse mesmo site falso e
malicioso, no âmbito do phishing.

|Luís Dias| 1/x

 4. Recomendações e Campanhas de Phishing

A formação dos colaboradores é fundamental para criar/aumentar a cultura de

segurança na organização. Treinar não apenas as ameaças de phishing, mas também
as restantes tal como especificar e treinar o tratamento de informação sensível, respeitar
os protocolos de segurança e impedir o tailgating se a identidade de uma pessoa não
puder ser verificada, entre outros.

As designadas campanhas de phishing para treino, devem ser feitas regularmente nas
organizações para testar e treinar os colaboradores. A ideia é criar um email apelativo
com uma ligação, enviá-lo aos colaboradores dentro da nossa organização, ver (no
servidor que recebe a ligação) se eles clicam na ligação, e se o fizerem, necessitam de
formação corretiva. Não está no âmbito do curso usar estas ferramentas mas deixam-
se as referências de dois programas muito bons para este efeito, o software opensource
https://getgophish.com/ e o Phish Insight da Trend Micro que oferece até 200 emails
para testar pequenas empresas.

Outros Recursos Interessantes

Ver vídeo a "anatomia de um ataque" onde se demonstra que na maioria das vezes o
engenheiro social nem tem conhecimentos tecnológicos, essa componente fica para
outros.

Perceber que houve um ataque de Engenharia Social pode ser mais difícil do que
perceber se houve exploração de vulnerabilidades tecnológicas (neste último caso os
vestígios são mais fortes e permitem análise forense digital). Este vídeo promocional da
Toyota é exemplificativo da importância de antecipar (bem como detetar e reportar,
claro!) um ataque de engenharia social.

Para quem gosta do tema, pode ver as fontes relacionadas com o célebre Kevin Mitnick,
mestre na engenharia social.

"Apenas amadores atacam máquinas; profissionais atacam pessoas” (Schneier, 2000)

|Luís Dias| 1/x