Pontos de vista

Engenharia social: não se trata apenas de golpes de phishing

Kevin Townsend, 3 Maio 2019

Quando os cibercriminosos usam fraudes para invadir sua própria mente.

O que significa “engenharia social”?

O termo “engenharia social” pode soar misterioso e intimidador e, de certa forma, o é. Porém, a maioria das pessoas já teve muitos contatos com alguma forma de engenharia social: na internet, nos e-mails, em revistas e jornais. O e-mail com o golpe do adiantamento de dinheiro, que a maioria de nós vai lembrar como o golpe de e-mail do príncipe nigeriano que circulava alguns anos atrás. É uma forma de engenharia social para enganar a vítima e levá-la a acreditar que tem algo a ganhar.

Os e-mails de phishing também são uma forma de engenharia social, onde alguém se apresenta falsamente como uma organização confiável, um amigo ou um colega para nos manipular e entregar informações. No entanto, não se trata de uma equação tão simples quanto “a engenharia social e um golpe são a mesma coisa”. Golpes e fraudes devem empregar técnicas de engenharia social para terem sucesso, mas a engenharia social é frequentemente muito mais complexa. As maneiras de enganar, manipular e pressionar as pessoas são chocantes e muitas vezes sinistras.

Em seu livro Como hackear um ser humano: A segurança cibernética da mente, o especialista em segurança, Raef Meeuwisse, propõe a seguinte definição: “... o ato de construir relacionamentos, amizades ou outras interações humanas com o propósito de incitar o destinatário a realizar uma ação desaconselhável ou revelar informações secretas.” Em termos de segurança cibernética, isso significa aproveitar nossas respostas emocionais para fazer com que nós comprometamos voluntariamente a nossa própria segurança.

Mas a engenharia social está por toda parte e é completamente legalizada, mesmo que seja moralmente duvidosa. O marketing emprega técnicas de engenharia social para melhorar as vendas. Você pode ter encontrado um site que oferece um desconto especial, aparentemente significativo, completo com a contagem regressiva: “A oferta termina em 00:05:00”. Na verdade não há desconto e a “oferta” não termina. Trata-se de uma estratégia de marketing bem eficaz. A ilusão de que você precisa tomar uma decisão rápida e a impressão de que há uma oferta forçam os usuários a fazer uma compra que normalmente não fariam.

E os políticos e os lobistas usam técnicas de engenharia social para ter o nosso apoio o tempo todo.

Exemplos de engenharia social na internet

Furo de reportagem

Um artigo investigativo de 2014 sobre a engenharia social ainda oferece uma das melhores ilustrações de como os invasores podem obter muitas informações sobre suas vítimas e usá-las em ataques. A jornalista do Telegraph, Sophie Curtis, concordou em permitir que o hacker ético, John Yeo, tentasse executar um ataque de engenharia social contra ela. Usando uma mistura de pesquisas nas redes sociais e técnicas de TI sutis, a equipe de John Yeo conseguiu enganar Sophie e convencê-la a baixar e ativar em seu computador um cavalo do Troia com acesso remoto.

Conseguiram fazer isso apesar de Sophie saber que a equipe tentaria hackeá-la e ter desconfiança de que o arquivo continha um cavalo de Troia. A equipe de John Yeo criou uma situação em que Sophie Curtis acreditou que ela não poderia ignorar a possibilidade de que o arquivo seria interessante para ela como jornalista. Isso mostra como os ataques de engenharia social ainda podem ser eficazes, mesmo se acreditarmos que estamos atentos a eles.

Departamento de Justiça dos EUA

Um dos maiores exemplos de engenharia social foi a violação de dados do Departamento de Justiça dos EUA em 2016. Foram expostos 200 GB de dados dos registros do Departamento de Justiça, graças a um hacker que se fez passar por um membro da equipe. A combinação de um endereço de e-mail interno comprometido e alguns truques básicos permitiram que o invasor convencesse outros funcionários a fornecerem acesso total aos arquivos internos. Esse é um excelente exemplo de como é possível causar danos sérios mesmo com as técnicas mais básicas de engenharia social.

Massacre de Christchurch

Recentemente, o Massacre de Christchurch na Nova Zelândia mostrou como os engenheiros sociais podem ser rápidos e sem escrúpulos. Uma semana após o incidente, os cibercriminosos começaram a se movimentar para aproveitar o luto e a confusão dos amigos e familiares das vítimas. E-mails com golpes de phishing começaram a circular, pedindo doações para apoio ou esforços de ajuda. Esses e-mails, na verdade, direcionavam os usuários para falsas páginas bancárias ou formulários mal-intencionados, tudo para que os invasores recebessem dados e fundos pessoais.

Os motivos da engenharia social online

Roubo de dados

O maior e mais comum motivador dos ataques de engenharia social online é obter acesso aos dados confidenciais da vítima. Os dados pessoais são um dos bens mais valiosos na internet e são negociados entre empresas e também no mercado negro. As informações pessoais também permitem que os invasores realizem ataques de engenharia social mais convincentes e eficazes. Se um invasor quiser seus dados bancários, ele poderá primeiro tentar obter o seu endereço e o seu número de telefone, apresentando-se como uma instituição de caridade. Quando conseguir essas informações, eles podem fingir que são seu banco, com as informações que já têm para aumentar as chances de enganá-lo.

Propagação de malware

Se um invasor conseguir convencê-lo de que um link é seguro, ele podem direcioná-lo para qualquer site e fazer qualquer download. Uma quantidade enorme de ransomwares é distribuída por meio de e-mails de phishing e 93% desses e-mails são usados para infectar o computador da vítima. Cavalos de Troia com acesso remoto, keyloggers e redes zumbi de criptojacking podem ser distribuídos desta maneira também. Recentemente, e-mails que supostamente divulgam informações sobre o Brexit foram usados para distribuir o cavalo de Troia chamado Ursnif, um malware agressivo que coleta dados.

Fins políticos

A engenharia social em um contexto político é frequentemente tratada como um conceito distinto da engenharia social na segurança cibernética, mas há uma sobreposição significativa entre as duas esferas. O escândalo com a Cambridge Analytica talvez seja uma das melhores ilustrações disso, quando as informações pessoais de usuários do Facebook foram empregadas para influenciar a opinião pública antes das eleições nos EUA em 2016.

O surgimento de “fake news” e maneiras de distorcer fatos, muitas vezes sem mentir, para servir a alguma agenda política específica é em si um exemplo de engenharia social. Espalhar notícias falsas através de grupos organizados no Twitter e no Facebook é outra forma de engenharia social. A Agência Russa de Pesquisa da Internet (IRA) tentou aplicar engenharia social na opinião pública nos EUA a fim de influenciar a eleição presidencial de 2016.

Em sua análise do relatório de Mueller, o Procurador Geral dos Estados Unidos comenta que o objetivo da IRA era “conduzir operações de desinformação e em redes sociais nos Estados Unidos, destinadas a semear a discórdia, com o objetivo de interferir na eleição”. Isso é engenharia social em grande escala.

Defesa contra engenharia social

O combate à engenharia social é menos óbvio do que outras áreas de segurança cibernética. Quando se trata de golpes tradicionais, o ataque é simples: os invasores aproveitam os erros e vulnerabilidades que podem ser atenuados e corrigidos. Com a engenharia social, as vulnerabilidades estão em nossos processos de pensamento e respostas emocionais. Não podemos baixar uma correção para nossa própria sensação de medo, ganância ou compaixão. Porém, podemos fazer algumas coisas. Leia as dicas detalhadas da Avast sobre como se proteger contra golpes de phishing, e fique melhor informado.

Limite o que você compartilha

A engenharia social direcionada é o maior risco de segurança que se baseia nos próprios seres humanos. Quanto mais informações sobre nós mesmos colocamos na internet, mais recursos os golpistas e engenheiros sociais têm. Isso vai além das informações pessoais, como endereços e números de telefone e inclui nossos hábitos e rotinas, interesses, problemas médicos e preferência de serviços. Tudo isso pode ser usado como uma arma contra nós em ataques de engenharia social.

Também é importante lembrar que os cibercriminosos podem acessar grandes quantidades de dados pessoais, mesmo se nós não os informamos diretamente. Embora possamos pensar que nossas informações pessoais estão protegidas, um invasor determinado pode encontrar maneiras criativas e surpreendentes de obter dados. John Yeo, quando tentava hackear Sophie Curtis, chegou até a consultar um site da história da família para verificar e ampliar as informações que ele poderia usar. Mesmo que entrem em contato com você usando informações que você deu apenas a organizações legítimas, ainda é possível que sejam golpistas que de alguma encontraram uma maneira de obter essas informações.

Nunca responda a pedidos não solicitados de informações, não importa o quanto o solicitante já saiba sobre você.

Saiba como você pode ser manipulado

As técnicas e variações na engenharia social são tantas, que é muito difícil fornecer uma lista completa. No entanto, podemos nos concentrar na engenharia social baseada em e-mail. Estas são algumas das coisas mais importantes a serem observadas:

  • Pressão do tempo: todos os ataques de engenharia social têm mais sucesso se a vítima acredita que é preciso tomar uma decisão rapidamente
     
  • Medo da perda: o fenômeno “medo da perda” impulsiona o sucesso das redes sociais, mas também se torna uma tática de manipulação avançada se começarmos a acreditar que a inação (como recusar-se a divulgar informações) levará a uma perda pessoal
     
  • Direção errada: nem todas as técnicas de engenharia social são puramente psicológicas. Um invasor pode usar vulnerabilidades em sites para redirecionar você para uma página mal-intencionada, na esperança de que você insira informações pessoais ou financeiras. Consulte as páginas sobre XSS ou sequestro de navegador para conhecer exemplos mais detalhados
     
  • Avaliações falsas: isso não se aplica apenas a empresas que pagam pelas avaliações em lojas de aplicativos, para tornar seu produto mais atraente. Avaliações falsas podem ser usadas para fazer com que um site ou serviço pareça mais confiável, o que incentiva a enviar informações pessoais
     
  • Identidade falsa: este é o elemento fundamental de todos os golpes de phishing. Os invasores se apresentam como uma organização ou pessoa confiável para que você se sinta à vontade e divulgue informações confidenciais
     
  • Informações parciais: para tornar seu pretexto mais convincente, os cibercriminosos costumam usar algumas informações públicas ou facilmente obtidas para encorajá-lo a divulgar ainda mais. Por exemplo, golpistas com seu endereço, número de telefone e quatro dígitos finais do cartão de crédito podem se apresentar como uma loja online. Eles podem solicitar que você “atualize” suas informações de pagamento para o cartão que termina com estes quatro números.

Resumo

Uma coisa que tentamos destacar neste artigo é que a engenharia social está ao nosso redor. Todos que tentam nos vender algo, seja uma marca de comida, uma ideia política, um carro novo ou um golpe na internet, usam, até certo ponto, a engenharia social. Estamos em perigo de sermos insensíveis a isso. Estamos tão acostumados que nem percebemos e essa é uma enorme vantagem para o engenheiro social criminoso.

A consciência é nossa maior defesa. Para que um ataque de engenharia social online falhe, tudo o que precisamos fazer é nos recusar a participar. Mas isso não é tão simples.

Além disso, estar sempre suspeitando, vigilante e cético em relação a tudo que encontramos é emocional e mentalmente desgastante. Ninguém deve se considerar imune à engenharia social e essa é a coisa mais importante de se lembrar.