Escolar Documentos
Profissional Documentos
Cultura Documentos
1. Introdução
A engenharia social pertence a uma classe de ataques não tecnológicos, uma vez que
se concentra na exploração da natureza humana em vez de um servidor ou rede.
Quando falamos de engenharia social, estamos a referir-nos a uma vasta gama de
atividades maliciosas que podem ser realizadas através de interações humanas.
Vamos falar aqui sobre estes ataques de engenharia social, bem como as tecnologias
e ferramentas que são utilizadas para alavancar estes ataques.
Relembre que o defensor da organização pode instalar todos os controlos técnicos que
quiser (e.g., Firewall, Antivírus, sistemas de deteção e prevenção de intrusões), mas se
os seus colaboradores deixarem-se enganar e forem levados a clicar num link malicioso
num e-mail enviado numa campanha de phishing, todos esses controlos de segurança
vão ser ineficazes pois o malware passa a estar instalado numa máquina de confiança
dentro da rede da organização, estabelecendo uma ligação para o atacante.
A engenharia social visa ser capaz de enganar um utilizador do sistema alvo a fazer
algo por si. Então a questão é: como perceber as motivações do utilizador para ter
vontade de fazer o que eu pretendo?
O objetivo será fazer com que as pessoas confiem (acreditem) em nós e façam o que
queremos que elas façam. Os 6 fatores de motivação são:
(1) Autoridade; (3) Urgência; (4) Escassez; (2) Prova Social; (5) Gosto; e (6) Medo.
2.1. Autoridade
Alguém fazer o que queremos por pensar que estamos numa posição de
autoridade. Fingir ser o chefe, o chefe do chefe, um gestor de alto nível na cadeia
hierárquica, um potencial cliente, um agente governamental, e.g., em nome das finanças
ou da polícia, etc.
Alguém querer algo que só está disponível por um tempo limitado. Ou alguém
fazer uma coisa pelo facto de haver pouco tempo para algo. As pessoas estarem
sempre atarefadas e querem ajudar-se umas às outras, por natureza, são fatores
cruciais. Se demonstramos estar com urgência para algo, ou seja, com pressa,
atarefados, com as mãos cheias de pastas, alguém poderá querer ajudar-nos. Quando
as pessoas começam a apressar-se a querer ajudar os outros, por vezes nem pensam
bem e cometem erros.
Exemplo 1: ligo para o helpdesk e digo que "a conta bloqueou e preciso
urgentemente que a desbloqueiem porque vou ter uma reunião dentro de cinco
minutos com o chefe e preciso de um documento muito importante... por favor, ajude-
me agora mesmo!"
Exemplo 2: recebe um email com o texto "aproveita esta promoção pois só é válida
durante este fim de semana, clique aqui para aderir."
2.3. Escassez
Exemplo 2: recebe um email com o texto "aproveita esta promoção pois só restam
3 iPhones de oferta e a data limite é amanhã, clique aqui para aderir."
Alguém fazer algo porque parece bem, é que os outros estão a fazer. As pessoas
são sempre muito mais propensas a clicar em ligações que têm gostos, partilhas e que
outros amigos também clicam (fazer o que os outros fazem). Esta é a ideia da prova
social. Portanto, se o atacante está a visar uma empresa e não é capaz de enganar os
seus utilizadores diretamente, talvez possa ir atrás das suas ligações de segundo nível,
talvez os seus cônjuges ou amigos.
Exemplo 2: conseguir que um website fraudulento pareça legítimo por ter muitas
visualizações, gostos, partilhas. Se houver esta prova social o alvo será propenso a
clicar nesse website.
2.5. Gosto
Alguém fazer algo porque quer agradar ou interagir com alguém de quem gosta.
Usar a simpatia, a beleza ou o charme para fazer uma amizade (ou uma relação) e
depois usar isso como uma forma de persuadir o outro.
Podemos aqui encaixar pessoas bonitas, simpáticas, que pensem como o alvo e que o
façam querer estar com elas e confiar-lhes muitas coisas. Mas esta motivação não tem
de ser baseada na atração, aparência ou ser de natureza sexual. Pode basear-se em
encontrar um interesse comum, e.g., equipa de futebol favorita, jogos de computador,
entre outros.
Exemplo 1: uma mulher ou homem tentar atrair sexualmente alguém para conseguir
o que quer (e.g., obter um cartão de acesso, acesso ao computador).
Exemplo 2: enviar um email a dizer "olá, tenho 4 bilhetes para o Benfica grátis todos
os meses, vou enviar-te dois porque já não consigo ir este mês". O email tem um
ficheiro com o malware para penetrar na rede alvo.
Alguém fazer algo por ter receio das consequências de não o fazer. O medo ou
receio é um grande motivador se usado corretamente. Este é o princípio para os pedidos
de resgate dos ataques de ransomware, o medo de não recuperar informação
importante.
Exemplo 1: recebe uma mensagem no email por ter sido considerado culpado por
consultar sites de software pirateado e terá que pagar multa de 100€ à Polícia.
Exemplo 2: recebe um email do helpdesk que diz que a sua conta foi comprometida
e deve clicar na ligação para redefinir a sua palavra-passe. Quando clica, na
realidade está a deixar alguém entrar no seu sistema.
Falámos dos fatores de motivação individualmente, mas pode ser mais eficaz
combinar múltiplos fatores. Por exemplo, combinar a prova social, com a escassez e
a urgência:
Exemplo: clique nesta ligação até às 16h para conseguir a oportunidade de obter
um dos três que ainda restam. Seja um dos milhares a aderir à campanha.
Vamos aqui focar alguns tipos diferentes de ataques de engenharia social. O termo mais
popular é o phishing. Um ataque de phishing é um ataque de engenharia social em que
o ator malicioso comunica com a vítima (tipicamente via email) parecendo ser uma fonte
fidedigna (e.g., um banco), a fim de atrair a vítima para a divulgação de informação
sensível (e.g., roubo de credenciais) ou mesmo para instalação de malware no
computador da vítima (e.g., para estabelecer uma ligação remota para o atacante).
Phishing é um termo genérico para este tipo de ataque.
• Relativos ao alvo:
o Spear phishing - emails altamente personalizados para um grupo de
utilizadores (e.g., todos os emails dos colaboradores, colaboradores de
um departamento).
o Whaling - emails altamente personalizados para um número baixo de
utilizadores (e.g., executivos, administradores) que podem ser altamente
remuneradores.
• Relativos ao meio utilizado:
o Smishing - mensagens de texto.
o Vishing - chamada de voz.
Numa tentativa genérica de phishing, o atacante vai enviar um e-mail a uma grande
audiência na esperança de conseguir que alguém clique no link para um website na
posse do atacante. O site deverá ter um conjunto de informação verdadeira (“meia
verdade”) para ter credibilidade, ou deverá mesmo ser uma cópia de um site real. Por
exemplo, um email a simular o PayPal ou o login para o Office365, são bons exemplos
de phishing genérico se forem enviados de forma indiscriminada para vários potenciais
utilizadores.
Numa campanha de phishing genérico, o atacante não está a visar uma pessoa ou
grupo em particular, mas sim a enviar um grande número de emails que são
suscetíveis de capturar a maior quantidade de pessoas.
Outro tipo de phishing é a pesca à baleia (whaling). É ainda mais focado que o spear
phishing, centrando-se em alvos como o CEO, CFO, CSO, CTO, ou seja, os líderes,
executivos, e gestores chave dentro da empresa, quem está no topo da hierarquia.
Este pode ser um método muito eficaz, pois os executivos são muito ocupados, recebem
vários mails e não têm tempo de escrutinar tudo o que recebem antes de clicar num link.
O smishing utiliza mensages SMS (texto) ou MMS (multimédia). Esta técnica envia
o link malicioso integrado nas mensagens.
O smishing (e as outras técnicas anteriores) pode ser combinado com outros ataques
de engenharia social. Por exemplo, pode-se usar o conceito de pretexto. Os pretextos
são histórias fabricadas, podem ser baseadas em meias-verdades, para iniciar uma
conversa com um colaborador da organização. Um exemplo seria falar com algum
colaborador da organização de forma informal (e.g., num bar), estabelecer confiança e
pedir o número de telefone. Posteriormente o envio de um link por SMS poderia ser mais
confiável: "olá, era isto que eu falava quando nos conhecemos httaa://rb.gy/pfc".
quid pro quo - significa trocar algo por algo. Como exemplo, considere que um
atacante liga para números aleatórios numa empresa, alegando estar a devolver
uma chamada (ligar de volta) a um pedido de helpdesk. Eventualmente, atenderá
alguém que apesar de não ter ligado ao helpdesk poderá ter algum tipo de problema,
e assim o atacante vai "ajudar" a resolver esse problema e criar uma ligação remota.
Tailgating - um atacante ultrapassa uma barreira física para entrar numa área restrita
protegida por um controlo de acessos (e.g., por cartão RFID). Uma técnica é
simplesmente ir atrás de uma pessoa que tem acesso legítimo, a cortesia comum
leva a pessoa legítima a manter a porta aberta para o atacante passar.
Shoulder surfing - técnica utilizada para obter informações tais como PINs,
palavras-passe e outros dados confidenciais, olhando por cima do ombro da vítima.
Esta técnica pode permitir também o Eavesdropping , o ato de ouvir secretamente
ou furtivamente as conversas ou comunicações privadas de terceiros sem o seu
consentimento, a fim de recolher informações.
Impersonation - fingir ser alguém que não é, como vimos nos vários exemplos
anteriores. Num teste de penetração física pode tentar fingir ser alguém que não é
(e.g., outro colaborador, alguém da manutenção) a fim de ter acesso às instalações.
As designadas campanhas de phishing para treino, devem ser feitas regularmente nas
organizações para testar e treinar os colaboradores. A ideia é criar um email apelativo
com uma ligação, enviá-lo aos colaboradores dentro da nossa organização, ver (no
servidor que recebe a ligação) se eles clicam na ligação, e se o fizerem, necessitam de
formação corretiva. Não está no âmbito do curso usar estas ferramentas mas deixam-
se as referências de dois programas muito bons para este efeito, o software opensource
https://getgophish.com/ e o Phish Insight da Trend Micro que oferece até 200 emails
para testar pequenas empresas.
Ver vídeo a "anatomia de um ataque" onde se demonstra que na maioria das vezes o
engenheiro social nem tem conhecimentos tecnológicos, essa componente fica para
outros.
Perceber que houve um ataque de Engenharia Social pode ser mais difícil do que
perceber se houve exploração de vulnerabilidades tecnológicas (neste último caso os
vestígios são mais fortes e permitem análise forense digital). Este vídeo promocional da
Toyota é exemplificativo da importância de antecipar (bem como detetar e reportar,
claro!) um ataque de engenharia social.
Para quem gosta do tema, pode ver as fontes relacionadas com o célebre Kevin Mitnick,
mestre na engenharia social.