Engenharia social é fazer uso da fraude, influência e persuasão para enganar pessoas, o que pode ser feito fazendo-se uso ou não de tecnologias. Explorando o elo mais fraco da segurança, o fator humano, o engenheiro social pode conseguir praticamente qualquer informação que deseje.
A ARTE DE MANIPULAR
A maioria das pessoas pressupõe que nunca será enganada, pois acreditam que a probabilidade disso ocorrer é muito baixa, e vivem como se todos fossem confiáveis, quando na verdade não o são. Logo, enganar pessoas é uma tarefa relativamente fácil.
Uma vez que a pessoa foi enganada, o próximo passo é manipulá-la, o que pode ser conseguido explorando uma ou mais das seis tendências básicas da natureza humana:
-
a primeira delas, a autoridade, diz que quando uma solicitação é feita por alguém com autoridade, temos a tendência de atendê-la;
-
a segunda, a afabilidade, diz que tendemos a atender pessoas que sejam agradáveis ou que se pareçam conosco, seja nos interesses ou no comportamento;
-
a terceira, a reciprocidade, diz respeito à natureza humana de atender uma solicitação quando recebemos ou temos a promessa de receber algo de valor em troca;
-
já a quarta, a consistência, explica a tendência de fazermos algo depois de termos nos comprometido publicamente com aquilo ou ter adotado aquela causa;
-
a quinta, a validação social, é a tendência de ajudar quando a solicitação parece estar de acordo com o que as outras pessoas estão fazendo;
-
e a sexta, a escassez, se refere à tendência de se fazer algo quando aquilo se apresenta como oportunidade única, que só estará disponível por pouco tempo e que há muita gente competindo conosco.
Por meio da engenharia social, pode-se fazer com que as pessoas façam coisas que na grande maioria das vezes não fariam para um estranho e, com isso, pode-se burlar qualquer proteção tecnológica existente.
O PERFIL DO ENGENHEIRO SOCIAL
Para ser convincente em sua farsa, o engenheiro social estuda minuciosamente seu alvo, principalmente quando o ataque não puder ser realizado por um computador ou telefone, pois nesse caso os riscos tornam-se muito mais elevados.
Conhece o jargão corporativo, nomes de funcionários e a estrutura da organização, o que cada um faz e que informações tem. Jamais subestima seu adversário: prevê as perguntas do alvo e prepara as respostas que transformarão desconfiança em confiança. Por exemplo, se o atendente falasse algo como “não poderei atendê-lo agora, me passe seu ramal, por favor, que entrarei em contato mais tarde”, a resposta do engenheiro social, que não tem um ramal, provavelmente seria “meu ramal é 3217, mas passarei a tarde numa reunião. Posso ligar para você daqui a duas horas?”.
Para não levantar suspeitas, agem sempre com confiança e naturalidade. Na maioria das vezes, são charmosos, educados, bem vestidos e agradam com incrível facilidade, mas também podem assumir uma postura diferente caso a situação exija, inclusive revirando o lixo da organização em busca de informações.
Frequentemente trabalham o lado psicológico de suas vítimas. Por exemplo, ao dizer “tenho uma pilha de coisas para fazer e preciso disso agora”, o atacante está pressionando o funcionário para que esse se sinta culpado. Já ao falar “preciso ir ao médico. Pode fazer isso por mim?”, joga com a simpatia. E quando diz “vou dizer a ele que você não quis me dar o código”, apela para a intimidação, numa tentativa final de manipular o alvo.
Ao mesmo tempo, o atacante precisa interpretar as respostas não verbais da vítima: se a pessoa fizer uma pausa, é porque ela deve estar pensando se pode ou não fornecer tal informação; se o tom de voz mudar, é porque ela deve estar desconfiada.
O bom engenheiro social nunca divulga suas habilidades e procura não deixar rastros. Após a obtenção das informações-chave, costuma conversar um pouco mais, fazendo algumas perguntas sem importância, pois sabe que as pessoas geralmente se lembram das últimas perguntas e o restante acaba esquecido.
CONHECENDO O ALVO
Para o engenheiro social, toda informação tem valor. É como se fosse um quebra-cabeças e ele precisasse juntar as peças para alcançar seu objetivo. Logo, pequenas informações podem servir de ponte para um ataque maior à organização e a seus clientes. Em ataques típicos por telefone, o atacante pode adotar diversas estratégias. Ele pode, por exemplo:
-
se passar por alguém de dentro da organização e dizer que está fazendo uma pesquisa interna para melhorar a qualidade dos serviços e por isso tem uma série de perguntas a fazer;
-
se apresentar como um escritor que gostaria de conhecer um pouco dos termos, da terminologia usada dentro da organização, para que possa colocar em seu próximo livro;
-
se passar por um cliente que ficou muito satisfeito com o atendimento e gostaria de poder agradecer ao gerente, solicitando o nome e o telefone dele;
-
contar que está preenchendo um formulário e precisa de ajuda com algumas lacunas;
-
relatar que tinha tal informação mas acabou esquecendo ou perdendo;
-
assumir o papel de um fabricante de um equipamento usado na empresa e precisa de algumas informações para se certificar de que a instalação foi feita corretamente;
-
falar que é de uma empresa contratada para prestar suporte;
-
oferecer algum tipo de serviço ou produto, questionando sobre a necessidade da organização em possuí-lo;
-
passar-se por um cliente que precisa saber quando determinada pessoa estará no escritório (para saber quando ela não vai estar lá);
-
simplesmente perguntar com quem está falando e, em seguida, dizer que ligou para o número errado e se a pessoa não poderia conseguir o número de telefone correto.
Infelizmente, as pessoas desconhecem o valor real das informações. Um número de telefone, um ID de um empregado, uma terminologia da empresa ou outras informações que a princípio parecem inofensivas, podem ser cruciais para que o engenheiro social atinja seu objetivo. É um erro achar que apenas os funcionários de alto escalão detêm as informações que o atacante precisa.
BURLANDO CONTROLES DE SEGURANÇA
Ora, se os dispositivos de segurança são controlados por pessoas e essas pessoas são manipuladas por engenheiros sociais, logo, segurança não existe. O engenheiro social não precisa passar horas tentando invadir um sistema. Bastam algumas ligações telefônicas.
É comum o atacante se apresentar como um funcionário da empresa, uma vez que a maioria das pessoas se sente bem em ajudar um colega de trabalho. Nesse caso, o engenheiro social poderia:
-
mencionar o aparecimento de algum problema em seu computador, que lhe impede de acessar as informações do sistema, pedindo à vítima que realize algumas consultas por ele;
-
apresentar-se como sendo do setor de segurança da informação da empresa e que precisa se certificar de que o funcionário usa uma senha segura;
-
relatar que comprou um computador novo e não sabe configurá-lo para acesso remoto;
-
dizer que é novo na empresa e está precisando de ajuda;
-
fingir ser do suporte e que tem que corrigir um problema no computador da vítima, solicitando o nome de usuário e senha do funcionário para agilizar o trabalho;
-
solicitar os nomes dos servidores, necessários para a realização de uma determinada tarefa;
-
se apresentar como um gerente;
-
iniciar a conversa anunciando que está ligando do escritório do vice-presidente e que esse precisa muito daquela informação;
-
falar que não poderá ir trabalhar e precisa de um favor;
-
pedir que o funcionário execute um certo comando para verificar se o computador está funcionando corretamente;
-
cobrar uma informação (como uma lista com os nomes e telefones dos novos empregados da empresa), como se ela já tivesse sido solicitada há dias;
-
requisitar um código compartilhado;
-
alertar sobre uma possível falha nos computadores deixando seu número de telefone com o funcionário, em caso do problema se concretizar. Após causar a falha, o atacante receberá a ligação do empregado, que será orientado não só a realizar as instruções para a correção do problema, mas também a digitar alguns comandos maliciosos.
Portanto, não se pode confiar em estranhos. O fato de alguém conhecer a organização em detalhes não o autentica e nem lhe dá direito às informações.
TREINAMENTO CONTRA ENGENHARIA SOCIAL
Ainda que nenhuma tecnologia do mundo seja capaz de deter o ataque de um engenheiro social, pois se lida com fatores humanos, a partir do momento que as pessoas tomam conhecimento dessa ameaça, procuram ficar mais atentas e, enganá-las, torna-se muito mais difícil. Para evitar esse tipo de ataque, que de longe é o mais perigoso de todos, todos na organização precisam ser treinados.
Como vimos, um funcionário sem treinamento é capaz de atender às mais perigosas solicitações: compartilhar sua senha, digitar no computador comandos que não entende, enviar arquivos para e-mails que não sejam da organização, abrir anexos de e-mails e fazer download de sites, jogar informações sigilosas no lixo etc. Já um funcionário treinado, ao receber uma solicitação desse tipo, negaria educadamente, até que tal solicitação tivesse sido verificada. Todos devem ser ensinados a desafiar autoridades, sem desrespeitá-las.
Para verificar se o interlocutor é quem diz ser, pode-se anotar seu nome e ligar de volta, no número que consta no sistema, que deve ser capaz de dizer se tal pessoa realmente trabalha lá e se está autorizada a receber determinada informação ou serviço. Pode-se ainda ouvir a voz da pessoa gravada no voice mail e compará-la com a da pessoa do outro lado da linha. Se no sistema a pessoa não estiver autorizada, deve-se conseguir a autorização com o gerente ou com proprietário da informação.
É claro que por detalhes práticos do mundo real, como a questão do tempo, raramente uma identidade é verificada. Um grande desafio para qualquer organização é atingir um equilíbrio entre segurança e produtividade: pouca segurança poderá deixar a empresa vulnerável, enquanto exageros poderão atrapalhar a realização dos negócios da organização. É preciso que haja uma paranoia saudável.
No caso do indivíduo estar presente, deve-se exigir o crachá ou algum documento de identificação e anotar a placa do carro. O crachá, aliás, precisa ser usado por todos, inclusive visitantes, que devem receber um crachá temporário. Qualquer um que esteja na empresa sem o crachá precisa ser questionado e o caso deve ser relatado à segurança. Além disso, é preciso definir regras para a entrada na organização fora do expediente. O pessoal da limpeza, por exemplo, não deve ter autorização para abrir a empresa para estranhos.
Logo, a organização precisa fornecer a todos, do pessoal da limpeza e recepção à diretoria, o treinamento de conscientização e apresentar os métodos usados pelos engenheiros sociais. Os procedimentos não podem ser demasiadamente complicados, o que poderia desestimular sua prática, e devem ser relembrados constantemente com avisos espalhados pela organização, como por exemplo, em uma nota de segurança cada vez que o computador é iniciado.
Ainda como parte do treinamento, os funcionários precisam ser orientados para escolher boas senhas e deve haver um telefone para que tentativas de ataques sejam relatadas. Funcionários que adotarem boas práticas de segurança podem ser premiados de alguma forma. Já os que não colaborarem devem ser advertidos e, em caso de reincidência, afastados. Procedimentos de segurança mal utilizados são pior do que procedimento nenhum, porque fica-se com a falsa impressão de segurança.
Outro ponto importante é o da classificação de dados, pois é isso que diferencia as informações que podem ser divulgas livremente das de caráter sigiloso. Sem essa classificação, toda informação deve ser considerada confidencial e, dessa forma, seu envio deverá ser sempre registrado e feito exclusivamente por pessoal autorizado.
Vale dizer que um empregado que não foi treinado não poderá ser responsabilizado.
MACHADO, Marcel Jacques. Segurança da Informação: uma Visão Geral sobre as Soluções Adotadas em Ambientes Organizacionais. Curitiba: UFPR, 2012. Trabalho de Graduação – Bacharelado em Ciência da Computação, Universidade Federal do Paraná, Curitiba, 2012.