Engenharia Social

Por que confiar em nós

A seguir, confira uma avaliação completa e saiba o que é engenharia social, com exemplos práticos. – Como funciona Engenharia Social e significado. Continue lendo e saiba mais.

O que é Engenharia Social?

Os seres humanos são predispostos a querer ajudar os outros. Está na nossa natureza.

Se você é recepcionista ou trabalha em um help desk, isso pode até fazer parte da descrição do seu trabalho.

Mesmo assim, cuidado com a engenharia social.

Mas o que é engenharia social? É a manipulação sutil de funcionários para obter acesso ilegal ao seu prédio, sistemas e dados.

Engenharia social é hackear. Mas não é hackear sua rede explorando uma vulnerabilidade técnica.

Engenharia social é hackear sua equipe, a camada orgânica de suas defesas.

Techopedia explica

A maioria de nós compartilha características semelhantes. Ninguém gosta de ter problemas no trabalho, e sentimos pena daqueles que têm.

Assim, temos a tendência de ajudar pessoas que estão lutando com problemas, mesmo que isso signifique burlar as regras ou quebrar o protocolo por um momento.

Temos ainda mais probabilidade de fazer isso se gostamos ou temos empatia pela pessoa que está enfrentando o problema.

Também somos condicionados a obedecer figuras de autoridade. Queremos ser vistos como capazes de ajudar e dispostos a colaborar.

Atores de ameaças habilidosos podem explorar todos esses traços e coagir as pessoas a fazer o que elas querem.

É explorar a psicologia humana para levar os descuidados a realizar alguma ação que beneficie o infrator.

Ataques de engenharia social podem acontecer em uma única ligação telefônica ou podem se estender ao longo de um período de tempo, conquistando lentamente confiança e aceitação.

O objetivo deles é passar por suas medidas de segurança ou contorná-las.

Não é nada novo

A engenharia social existe desde que os fraudadores de confiança existem.

Existem técnicas que funcionam, então era inevitável que elas fossem escolhidas e usadas pelos atores de ameaças cibernéticas.

Eles trabalham nas qualidades admiráveis ​​das pessoas, como sua gentileza e desejo de ajudar, ou em suas qualidades mais fracas, como ganância e medo.

O agente da ameaça pode querer:

  • Obter detalhes de cartão de crédito ou outros detalhes financeiros.
  • Obter credenciais de login para uma conta de usuário.
  • Instalar malwaress , como keyloggers, para que as teclas digitadas pela vítima sejam enviadas ao seu servidor.
  • Instalar um software de acesso remoto que permita que os agentes da ameaça tenham acesso ao computador da vítima .
  • Instalar ransomwares para extorquir dinheiro.
  • Obter acesso físico ao seu prédio para inserir dispositivos secretos para instalar malwares manualmente ou roubar hardwares.

Em contraste com muitos ataques cibernéticos, os ataques de engenharia social são especificamente direcionados às suas vítimas.

Isso contrasta com o tipo de ataque “spray and pray”, como ataques de phishing ou varredura de portas.

Como os infratores usam a engenharia social

Ataques de engenharia social podem envolver conversas telefônicas, e-mail ou comparecimento pessoal às suas instalações.

Muitas vezes, uma mistura dessas técnicas é usada para atender às necessidades do ataque.

Reconhecimento

Os infratores farão uma coleta inteligente sobre o alvo dentro da empresa.

Eles monitoram o X (anteriormente Twitter) e o LinkedIn e procuram informações que lhes dão uma vantagem. 

As mídias sociais são uma faca de dois gumes. O que você transmite para o mundo pode facilmente ser usado contra você.

  • Um infrator pode ver que um membro sênior da equipe estará fora do escritório em uma conferência. Esse é o tipo de informação que eles podem usar. Isso dá ao agente de ameaça uma “entrada”.
  • Eles vão ligar e pedir para falar com o assistente dessa pessoa. Como estão falando sobre um evento genuíno, o assistente não tem motivos para suspeitar que o interlocutor seja fraudulento.
  • Se o agente da ameaça tiver “falsificado” o ID da linha de chamada, fazendo com que a mesma pareça ter origem no número de telefone genuíno do evento, a ilusão é ainda mais convincente.
  • Eles apresentarão um problema e pedirão ajuda para resolvê-lo. “Temos um registro da reserva dele, mas nenhum registro de depósito ou pagamento. Vou ficar bravo se não conseguir resolver isso antes de sair do turno nos próximos dez minutos. Espero mesmo que você possa me ajudar. Você tem os detalhes do cartão de crédito com o qual a reserva foi feita para que eu possa consultá-lo?

Ataques por telefone

Os ataques mais simples são geralmente os melhores, e o suporte técnico é um alvo comum. O trabalho deles é resolver problemas.

O dia de trabalho deles é dedicado a tentar satisfazer as necessidades do cliente e fazer os problemas desaparecerem.

1. Representando um novo funcionário

  • As empresas costumam fazer postagens como esta no LinkedIn ou no Twitter. “Bem-vindo ao mais novo membro da empresa, o Sr. Nova Pessoa. Ele se juntará à equipe XYZ, etc.
  • Um agente de ameaça pode ligar para sua equipe de suporte técnico fora do horário comercial e fingir que é essa pessoa. Eles dirão que ele começou a trabalhar lá recentemente, “Sim, estou na equipe XYZ“, mas não consegue acessar os sistemas do escritório de casa.
  • Esse cenário geralmente funciona porque novos funcionários geralmente têm problemas iniciais. Não se espera que eles saibam como usar os sistemas ainda, nem será suspeito se eles não puderem responder a uma pergunta que possa ser feita. E como é fora do horário comercial, não há ninguém para fazer uma referência cruzada ou checar.
  • Normalmente, o autor da ameaça desenvolve a conversa até o ponto em que a coisa mais fácil para o pessoal do suporte técnico é redefinir a senha e fornecer ao autor da chamada sua nova senha.

2. Envolvendo o suporte técnico em algo sensível

  • Outro truque é ligar para o suporte técnico e fingir ser alguém da equipe de Investigações Internas de RH, agindo em uma questão de sensibilidade e exigindo a máxima discrição. Eles mencionarão uma pessoa real no negócio tão sênior que o engenheiro de suporte técnico definitivamente já ouviu falar dela.
  • Eles estão sob investigação, não posso dizer o porquê, obviamente, mas precisamos que a conta deles seja bloqueada imediatamente e uma nova senha definida para que auditores externos possam entrar, mas ele não pode. Esta é a senha para usar…
  • Claro, o ator da ameaça simplesmente escolheu um nome da página Meet the Team do site. Essa estratégia funciona fazendo com que a pessoa que está sendo enganada sinta que é parte de algo importante, secreto e “grande”.

3. Construindo um plano de fundo para um anexo malicioso

  • Um truque igualmente simples é ligar para o suporte técnico e descrever um problema com o e-mail do agente da ameaça. Não importa o que eles tentem, o problema continua.
  • O agente da ameaça se oferecerá para enviar uma captura de tela ou um arquivo de log para o engenheiro de suporte a partir de seu e-mail pessoal, que, claro, ainda está funcionando.
  • Preparado e esperando o e-mail, assim que o engenheiro de suporte o recebe, ele abre o anexo malicioso imediatamente. O agente da ameaça instalou um malware com sucesso na rede.

4. Representando o Suporte Técnico

Passar-se por suporte técnico e ligar para outros membros da equipe também é um dos favoritos.

Há muitas variações desse golpe.

  • Uma técnica é ligar para a recepção. Eles então irão pedir um nome o qual foi escolhido no LinkedIn ou em outro lugar. Quando conseguem falar com os infratores, explicam que são do suporte técnico, ou do data center remoto, ou algo parecido.
  • Parece que você está ocupando espaço no disco rígido do servidor, está copiando muitos dados ou algo assim ?”
  • Claro, a pessoa diz que não, não é. Depois de mais algumas perguntas e digitação frenética pelo engenheiro de suporte técnico, eles concluem que a conta do funcionário foi comprometida. Parece que alguém está estocando dados da empresa, pronto para copiá-los da rede. Parecendo cada vez mais animado, ele os faz sair e entrar novamente. “Não, nada mudou. Ainda está acontecendo.”
  • O cara do suporte técnico, esforçando-se audivelmente para manter a calma, diz ao funcionário que vai encerrar à força todos os processos daquela conta.
  • Se eu fizer isso, no entanto, terei que fazer login novamente, você não conseguirá fazer isso. Qual é seu nome de usuário? OK, obrigado. E qual é sua senha atual? Entendi, OK, saia agora.
  • Após uma breve pausa, o engenheiro de suporte diz: “Isso é ótimo. Na verdade, você pode fazer login novamente e continuar normalmente, eu não precisei limpar sua conta, afinal.” Eles ficarão muito gratos e agradecerão ao membro da equipe pela ajuda. Agora eles têm uma conta que podem usar para acessar sua rede.

Estes são exemplos de ataques de engenharia social bem-sucedidos que estão acontecendo hoje.

Ataques físicos

Obter acesso físico às suas instalações permite que o agente da ameaça tenha a oportunidade de executar uma variedade de ações que comprometem ainda mais sua segurança.

1. Túneis SSH reversos

Firewalls geralmente deixam o tráfego sair de uma rede muito mais facilmente do que o tráfego pode entrar. Firewalls são guardas de fronteira, e a maior parte de sua atenção está focada no que entra pela fronteira.

O tráfego que sai geralmente é uma preocupação secundária.

  • O agente da ameaça pode fazer dispositivos a partir de computadores baratos de placa única, como o Raspberry Pi , que, uma vez conectados a uma rede, fazem uma conexão de saída criptografada para o servidor do agente da ameaça. Normalmente, um firewall não é configurado para impedir isso.
  • O agente da ameaça então faz uma conexão criptografada de volta ao dispositivo que ele plantou usando a conexão já estabelecida do Raspberry Pi. Isso dá a ele acesso remoto à sua rede. É uma técnica chamada túnel SSH reverso.

Esses dispositivos secretos podem ser escondidos dentro de fontes de alimentação de laptops antigos ou outros dispositivos inócuos e rapidamente conectados atrás de equipamentos como impressoras grandes.

As impressoras precisam de energia elétrica e um ponto de rede. 

Os pontos de rede geralmente são provisionados em pares, assim como os pontos de energia.

A impressora precisa apenas de um de cada. Atrás da impressora estão as conexões que o dispositivo precisa e um bom esconderijo.

2. Pen drives USB

O agente da ameaça pode simplesmente pegar um laptop e sair. Ele pode infectar a rede com malware de um pendrive USB.

  • Eles podem deixar pendrives USB com malware perto de máquinas de café, em banheiros ou em mesas vazias. Geralmente, há um monte de chaves presas ao pendrive USB.
  • Quando o pendrive é descoberto, a pergunta na mente do funcionário é “ Quem esqueceu as chaves ?” e não “ Hmm – aqui está um pendrive anônimo ”.
  • Essa pequena mudança na postura mental é importante. Perder suas chaves é um grande problema. Quem as encontra quer que as chaves sejam devolvidas ao dono. Como ele pode descobrir? Talvez haja algo no pendrive que identifique o dono.
  • Há arquivos no pendrive. Eles podem parecer um PDF ou um documento do Word , mas são malware disfarçado. Se eles tiverem títulos chamativos como “Planos de Redundância Fase 1”, será quase impossível para o funcionário não clicar neles.
  • É possível executar programas automaticamente assim que as unidades USB são inseridas, o que significa que o membro da equipe nem precisa clicar em nada. Contudo, se a execução automática estiver desligada — o que deveria estar — ter arquivos com títulos irresistíveis é uma estratégia de fallback comum.

Uma abordagem semelhante é o agente da ameaça coletar algum material promocional de uma empresa genuína, como uma empresa de entrega.

  • Eles conectam um pendrive USB em cada um. O agente da ameaça aparece na recepção e entrega três ou quatro cópias. Eles perguntam à recepcionista se não se importariam em passá-las para a pessoa responsável pelo envio.
  • É quase certo que a recepcionista separará um para si e, assim que o invasor sair do prédio, tentará usá-lo em seu computador.

3. Obtendo acesso ao edifício

Para passar pela recepção, os agentes de ameaças se passaram por todos os tipos de entregadores.

UPS, United States Postal Servants, entregadores de flores, motoboys, entregadores de pizza e entregadores de donuts, para citar alguns.

Eles se passaram por agentes de controle de pragas, trabalhadores da construção civil e engenheiros de manutenção de elevadores.

  • Obter informações sobre funcionários e suas rotinas através da pesquisa online é uma técnica útil para se infiltrar em um prédio de escritórios.
  • Chegar para uma reunião com alguém sênior que está fora do escritório, usando a desculpa de um telefonema ou mensagem de texto é uma forma eficaz de entrar.
  • Aproveitar a entrada de outra pessoa no prédio é outra estratégia de tailgating que pode ser realizada iniciando uma conversa com alguém do lado de fora e aguardando a chegada de outras pessoas.
  • O agente da ameaça conversa com os recém-chegados no ponto de fumantes, se apresentando e sendo amigável, e assim entrando no prédio junto com eles.
  • Durante a entrada, o agente da ameaça pode fingir estar segurando a porta para os verdadeiros funcionários entrarem e, em seguida, entrar também.

Como se proteger contra a engenharia social

Estamos lidando com pessoas, então, nem é preciso dizer que as defesas giram em torno de treinamento, políticas e procedimentos.

  • Treinamento de sensibilização: ensine sua equipe sobre os perigos da engenharia social e como identificar possíveis ataques.
  • Políticas e procedimentos: estabeleça diretrizes claras para lidar com solicitações e situações incomuns, como as que desrespeitam o protocolo.
  • Dramatizações e ensaios em equipe: pratique com a equipe procedimentos de segurança e envolva especialistas em engenharia social.
  • Testes de segurança e penetração: contrate empresas especializadas em segurança para tentar invadir suas defesas e identificar pontos fracos.
  • Segurança de dispositivos USB: desative a execução automática e trate pendrives anônimos com cautela.
  • Política de solicitação fora do limite: tenha uma política clara para lidar com solicitações incomuns ou de emergência.
  • Verificações de rede e novos dispositivos: faça verificações regulares na rede e identifique dispositivos desconhecidos.
  • Proteção de credenciais de login: nunca forneça suas credenciais de login para suporte técnico ou terceiros.
  • Segurança de chamadas telefônicas: desligue e ligue de volta caso alguém solicite informações confidenciais por telefone.
  • Política de acompanhamento de visitantes: nunca deixe visitantes sozinhos e acompanhe-os durante toda a visita.

Promover uma cultura de segurança em sua empresa renderá dividendos e é a base de uma abordagem de segurança em várias camadas .

O Que É e o Que Significa - Definições Relacionadas

Marshall Gunnell
Technology Writer
Marshall Gunnell
Especialista em TI e Segurança cibernética

Marshall, natural do Mississippi, é um especialista dedicado em TI e segurança cibernética com mais de uma década de experiência. Junto com a Techopedia, seus artigos podem ser encontrados em Business Insider, PCWorld, VGKAMI, How-To Geek, and Zapier. Seus artigos alcançaram um público massivo de mais de 100 milhões de pessoas. Marshall atuou anteriormente como Chief Marketing Officer (CMO) e redator técnico da StorageReview, fornecendo cobertura de notícias abrangente e análises detalhadas de produtos em matrizes de armazenamento, discos rígidos, SSDs e muito mais. Ele também desenvolveu estratégias de vendas com base em pesquisas de mercado regionais e globais para…