Engenharia Social

Engenharia social é a manipulação psicológica das pessoas para que elas façam o que o manipulador deseja, seja uma ação, seja a divulgação de alguma informação. É certamente a maneira mais eficaz de se obter acesso a determinada coisa como um sistema ou entrar em algum lugar ou obter algum dado sensível, pois se utilizam de um dos vários “bugs” de nosso cérebro chamado de viés cognitivo que é a tendência de pensar de certas maneiras que podem levar a desvios sistemáticos de lógica e a decisões irracionais, frequentemente estudadas em psicologia e economia comportamental.

Seu firewall não significa muita coisa se seus usuários são iludidos a clicar em links maliciosos que eles acreditam ter vindo de um amigo do Facebook ou de uma instituição bancária como já explicado aqui. Mesmo com todos os sistemas de monitoramento, detecção de intrusão, patches de segurança, catracas eletrônicas, detectores de metal, etc., se um bom engenheiro social estiver disposto a entrar ou burlar, não haverá muito o que fazer, a não ser confiar que seus funcionários serão experientes o bastante para não caírem em suas armadilhas. De acordo com Ellis Talton e Remington Tonar “ter um enorme orçamento destinado a segurança sem as pessoas certas é basicamente um desperdício de dinheiro, e a menos que se cultive uma cultura de cyber segurança consciente, os hackers irão cada vez mais encontrar a porta da frente destrancada e bem aberta”.

Esta é a razão de hackers famosos como Kevin Mitnick e Susan Headley conseguirem suas façanhas. Grande parte de seus feitos foram graças ao seu poder de persuasão, de conseguir invadir os sistemas partindo do elo mais fraco da corrente da segurança, o fator humano. Por exemplo, ao invés de invadir um sistema procurando brechas nos firewalls e vulnerabilidades nos sistemas, um engenheiro social pode se passar por um funcionário do suporte e fazer com que se divulgue uma senha. Chris Nickerson, em um teste de penetração usou notícias e eventos disponíveis em sites de rede social e uma camisa da Cisco comprada em uma loja de roupas usadas para sua entrada ilegal. A camisa ajudou a convencer a recepção e outros funcionários que ele era realmente um funcionário da Cisco em uma visita de suporte. Depois de entrar ele ajudou outros membros do seu time a também entrarem de foram ilegal. Com isso ele conseguiu distribuir vários malwares através de USB e entrar na rede da companhia, tudo sem que qualquer funcionário percebesse.

Segundo Chris Blow, as pessoas inerentemente desejam confiar e é aí que um ataque bem sucedido de engenharia social entra. Se alguém manda a um colaborador um email dizendo que é de outro colaborador, a maioria irá olhar para esse email e irá confiar nele, especialmente se tratar de algum assunto real e específico. Desde que diga que veio de alguém que pareça ser um colaborador, a maioria irá abri-lo e a maior parte desses realmente irá clicar em qualquer coisa que estiver no corpo do email.

Isso também acontecerá em ligações telefônicas ou até pessoalmente como no teste mencionado acima. As pessoas não querem parecer rudes ou antipáticas, a maioria quer ser gentil e são treinadas para serem condescendentes. Elas desejam reciprocidade e tendem a devolver um favor. Da mesma forma desejam fazer o que outras pessoas estão fazendo e isso acontece quando as pessoas não conseguem determinar qual comportamento devem ter e acabam assumindo que o que a pessoa ao seu lado esteja fazendo é o correto, pois ela deve ter mais conhecimento da situação. As pessoas também buscam por autoridade e tendem a obedecer figuras que mostram essa autoridade, mesmo se forem pedidos que possam ser negados. Outro forte fator é a ligação, as pessoas são facilmente persuadidas por pessoas de quem gostam.

A defesa não é fácil, mas é possível e a conscientização é a maior arma contra a engenharia social. Se acalme, os ataques geralmente fazem com que se aja primeiro e pense depois, nunca deixe o senso de urgência e pressão influenciarem a sua revisão. As pessoas devem estar cientes que a engenharia social existe e como pode chegar até elas, promova divulgação e treinamento acerca das diversas formas de se enganar. Pesquise sempre os fatos antes de acreditar neles. Estabeleça procedimentos acerca de quando, onde, como, por quê e por quem informações sensíveis devem ser manipuladas. Os truques utilizados através da engenharia social estão sempre evoluindo e os treinamentos e divulgação devem caminhar no mesmo sentido. Um pouco de paranoia quando se trata de pessoas estranhas, ligações telefônicas e emails é sempre bem vinda e pode te ajudar a se prevenir de um grande estrago. E sempre faça testes periódicos não anunciados para determinar se seus procedimentos estão efetivos e onde estão os pontos falhos.

Possui uma dúvida, dica ou sugestão? Por favor me diga nos comentários.