Engenharia Social
Existe algum método mais rápido e eficiente de se
descobrir uma senha? Que tal simplesmente perguntar?
Por mais extraordinário que possa parecer, o método mais simples,
mais usado e talvez mais eficiente de se recolher informações é simplesmente chegar
e perguntar.
Você também poderia subornar, mas dependendo da situação,
isto pode lhe custar muito caro, então porquê não tentar enganar e obter tais
informações? De fato, este método é bastante utilizado, e existem hackers que
sabem usá-lo com grande destreza, um exemplo é o famoso hacker Kevin Mitnick
que era um expert em fazer tais “vigarices”.
Essa tática de ataque é conhecida como “Engenharia Social”.
Basicamente, esta é a arte de fazer com que outras
pessoas concordem com você e atendam aos seus pedidos ou desejos, mesmo que
você não tenha autoridade para tal.
Popularmente, pode-se dizer que engenharia social é
simplesmente a arte de se contar uma mentira bastante convincente.
Dentro da área de segurança podemos definir engenharia
social como a aquisição de informações preciosas ou privilégios de acesso por “alguém
de fora”, baseado em uma relação de confiança estabelecida, inapropriadamente,
com “alguém de dentro”.
Profissionais utilizam este tipo de aproximação para
adquirir informações
confidenciais, como organogramas de organizações, números
de cartões de crédito e telefone, senhas de acesso, diagrama da rede, etc.
com o objetivo de
avaliar as vulnerabilidades de uma organização para futuros ataques.
Geralmente este tipo de aproximação envolve muito mais do
que simples raciocínio rápido e uma variedade de frases na ponta da língua.
Engenharia social pode envolver muito trabalho de aquisição de informação antes
de uma real ação de qualquer tipo.
Para se iniciar um ataque, a maior parte do trabalho está
na preparação, muito mais que no próprio ataque.
Dizem que o único computador totalmente seguro é aquele
desligado da tomada. A arte da engenharia social concentra-se no elo mais fraco
da corrente da segurança de computadores: os seres humanos. O simples fato de
que se pode facilmente convencer uma pessoa a ligar o computador, torna
vulnerável, até mesmo, os computadores desligados.
Na medida em que a parte humana de um sistema de
segurança é a mais essencial,
não existe computador na face da Terra que não necessite
de seres humanos. Isso significa que essa é uma fraqueza universal,
independente de plataforma, software, tipo de conexão de rede ou idade do
equipamento.
Qualquer pessoa com acesso à qualquer parte do sistema,
física ou remota, pode ser uma falha de segurança em potencial.
Qualquer informação adquirida pode ser utilizada para um
outro ataque de
engenharia social.
Isso significa que
qualquer pessoa, mesmo que não seja considerada integrante da política de
segurança pode servir como uma porta de entrada.
O primeiro método é também o mais óbvio. Um pedido
simples e direto, onde se solicita ao indivíduo alvo que se execute uma determinada
tarefa.
Embora este método seja o menos provável a trazer um
resultado positivo, é com certeza o mais simples, onde o indivíduo sabe
exatamente o que você quer que ele faça.
O segundo é criar uma situação onde o indivíduo é apenas
uma parte dela.
Com muito mais fatores que um simples pedido, o indivíduo
preocupado estará bem mais predisposto a ser persuadido. Isso não significa que
as situações propostas devam ser fictícias.
Quanto menos você faltar com a verdade melhor.
Isso requer muito mais trabalho por parte de quem faz o
ataque e com certeza envolve um recolhimento de informação e conhecimento
prévio do alvo.
Se a situação proposta, real ou imaginária possuir certas
características, o indivíduo alvo estará mais propenso a concordar com o seu pedido.
Estas características incluem:
> Difusão da responsabilidade. Fazer com que o
alvo acredite que ele não é o único responsável por suas ações e pelas
informações que ele possa divulgar. Mantém a responsabilidade longe do alvo.
> Troca de favores. Permitir que o alvo acredite
que esta prestando um favor a você e que você é extremamente grato. As pessoas
geralmente mostram-se mais dispostas a cooperar quando acreditam que poderão
obter alguma vantagem no futuro.
> Dever moral. É quando o alvo coopera, pois
acha que é a coisa certa a fazer. É seu dever moral. Parte disso é culpa. As
pessoas procuram evitar o sentimento de culpa e farão o possível para evitar
esse sentimento.
>Procuram escolher seu alvo levando em
consideração seu envolvimento
sua experiência e tempo de trabalho junto ao
sistema alvo.
Alunos, estagiários, secretarias e profissionais
iniciantes mostram-se sempre mais dispostos a cooperar. Isto se deve ao fato de
que estes indivíduos possuem ainda pouco conhecimento e pouca experiência a
respeito do sistema alvo e desejam mostrar-se úteis. Eles querem “mostrar
serviço”.
Quanto menos conflito com o alvo melhor.
É muito mais fácil ganhar a confiança do alvo sendo
gentil. Utilizar um tom de voz calmo (se ao telefone) e ser gentil, é umbom
começo para que o alvo coopere.
Como uma ataque de engenharia social pode revelar muitas
informações, como se pode tornar um sistema de computadores mais seguro? A
resposta é educação e difusão da informação, explicando aos empregados e
pessoas ligadas direta ou indiretamente ao sistema a importância de uma
política de segurança, evitando assim o ataque de pessoas que poderão tentar
manipulá-los para ganhar acesso a informações privadas. Isto já é um excelente
começo para tornar segura sua rede ou sistema.
.png)
fonte:COPPE/UFRJ