quarta-feira, 1 de abril de 2015

DE VOLTA À ENGENHARIA SOCIAL


CHEGAMOS A TAL PONTO DE IMBECILIDADE QUE CONSIDERAMOS O TRABALHO NÃO SÓ HONROSO, MAS TAMBÉM SAGRADO, QUANDO NA VERDADE ELE NÃO PASSA DE UMA TRISTE NECESSIDADE.  

Muito já se disse aqui no Blog sobre o tema em pauta, mas, dada a sua importância e considerando que hoje é 1º de abril, resolvi revisitá-lo, até porque a audiência deste humilde espaço é rotativa, e os recém-chegados nem sempre se dão conta de que podem acessar, mediante poucos cliques do mouse, qualquer uma das mais de 2200 postagens publicadas.

Passando ao que interessa, chamamos ENGENHARIA SOCIAL a um conjunto de técnicas que exploram a ingenuidade, a confiança, ou, em certos casos, a cobiça das pessoas, visando induzi-las a cometar atos que auxiliem os cybercriminosos em seus propósitos escusos.

As táticas que a bandidagem usa variam, mas as mais comuns consistem na remessa de emails com anexos suspeitos ou links duvidosos, pretensamente oriundos de pessoas de reputação ilibada, empresas idôneas, instituições financeiras ou órgãos públicos. Afinal, pouca gente deixa de seguir as instruções de um email supostamente recebido da Microsoft ou reluta em averiguar uma pretensa pendência com a Receita Federal ou a Justiça Eleitoral, por exemplo, embora seja público e notório que tais órgãos não utilizam o correio eletrônico para convocações que tais.

Observação: É possível separar o joio do trigo (embora nem sempre) salvando os anexos de email e fiscalizando-os com o VIRUSTOTAL, buscando discrepâncias entre os links e os endereços que eles apontam, checando-os com o ONLINE LINK SCAM, e por aí vai, mas o melhor é contatar por telefone a empresa/instituição remetente e conferir a autenticidade da mensagem.

Segundo a INTEL SECURITY (McAfee) os cyberataques baseados em engenharia social se dividem em “caçada” e “cultivo”, e se dividem em quatro etapas:

1.    A pesquisa (opcional) consiste na coleta de informações sobre o alvo que forneçam ao atacante elementos para a construção do anzol, tais como hobbies, endereços de casa e do local de trabalho, Banco em que a vítima mantém conta, e por aí vai.

2.   O anzol tem como objetivo encenar um “enredo” bem-sucedido envolvendo o alvo e proporcionando um pretexto para interação. O psicólogo Robert Cialdini cita seis alavancas de influência que permitem tirar proveito do subconsciente do alvo:

a)   Reciprocidade: as pessoas ganham alguma coisa, ficam agradecidas e sentem-se na obrigação de retribuir o favor.
b)  Escassez: as pessoas tendem a obedecer quando acreditam que algo está em falta.
c)   Consistência: uma vez que os alvos tenham prometido fazer algo, eles cumprem suas promessas por receio de parecerem pouco confiáveis.
d)  Propensão: é mais provável que os alvos obedeçam quando o engenheiro social é alguém de quem eles gostam.
e)   Autoridade: explora a tendência humana de obedecer quando a solicitação vem de alguma autoridade.
f)   Validação social: a tendência de obedecer quando outras pessoas estão fazendo o mesmo.

3.   Enredo: execução da parte principal do ataque, que pode envolver a divulgação de informações, um clique em um link, a transferência de fundos, etc.

4.   Saída: a interação é encerrada. Note que, dependendo do fruto do golpe, pode ser uma vantagem sair antes de despertar suspeitas ou prolongar o ataque para obter vantagens adicionais.


A melhor arma contra a engenharia social é a informação. Mesmo tendo um arsenal de segurança responsável e mantendo o sistema e os programas atualizados, as brechas humanas continuam a existir e como muitos internautas não têm noção do perigo que correm, maravilham-se com a Web e passam a acreditar em tudo aquilo que leem nesse meio.

Barbas de molho, minha gente.

2 comentários:

Martha disse...

Oi Fernando
Estou estupefata ao ler todos os itens dessa Engenharia Social!!!! Impressionante o grau de envolvimento implícito em cada etapa....
Lamentável usar tanta sabedoria para fazer o mal.....pobres almas!!!!
Só para vc saber- fui atualizar o aTubeCatcher e , de maneira bem ladina e astuciosa , pra dizer o mínimo, o Baidu veio a reboque na segunda reinstalação. Na primeira, apesar de desmarcar as opções do Ask , o bicho se instalou mas não me deu trabalho....mas com o Baidu...misericórdia!!!! O que é isso, Fernando? Ele não deixa pedra sobre pedra e só consegui desinstalar usando o painel de controle pois o Comodo e o IobitUninstaler pararam de funcionar. Depois fui ao registro limpar o restante, e me espantei do quanto ainda tinha!!!! Ele é uma praga tenebrosa....consegui reinstalar o programa, novamente, mas agora limpo....espero....
Como vc diz...barbas de molho!!!!
Bjs e obrigada sempre!!!!!

Fernando Melis disse...

Oi, Marta.
É pra você ver (risos). Aliás, é por essas e por outras que eu insisto tanto em falar sobre segurança digital aqui no Blog.
Quanto aos inutilitários que vêm de carona nos arquivos de instalação dos programinhas que descarregamos da Web, é certo que boa parte deles é inócua, mas isso não significa que devemos tê-los no sistema à nossa revelia. E o pior é que eles estão até nas atualizações de plug-ins como os do Java e do Flash.
Aliás, há poucos dias eu desinstalei o Office 2010 Starter Free, que estranhamente passou a demorar para abrir e a travar sempre que eu tentava encerrá-lo. Quando fui reinstalar a suíte, não consegui encontrar os arquivos para download no site da Microsoft, e sempre que eu os baixava de outras fontes, meu antivírus bloqueava a instalação devido a arquivos maliciosos e coisa e tal (esse assunto será objeto de uma postagem a ser publicada mais adiante, na qual eu analiso algumas alternativas ao pacote de aplicativos de escritório da Microsoft, tanto em versões instaláveis quando na nuvem).
Para concluir, o antivírus chinês Baidu vem buscando seu espaço no mercado tupiniquim, mas valendo-se de uma fórmula extremamente invasiva. Caso você não consiga removê-lo da maneira convencional, experimente clicar com o botão direito no atalho criado em Todos os Programas e, no menu suspenso, selecionar a opção Uninstall e seguir as etapas indicadas pelo assistente. Ao final, faça uma faxina em regra com o CCleaner e/ou o Advanced System Care, já que você não renovou sua licença do Tune Up Utilites.
Last but not least, O NINITE e o UNCHECKY podem salvar você dos programinhas potencialmente indesejáveis. O primeiro é um serviço baseado na Web e, portanto, dispensa instalação. Basta acessar o site, marcar as caixas correspondentes aos programas desejados e clicar em Get Installer para baixar os respectivos instaladores livres de penduricalhos indesejáveis. Já o segundo previne instalações casadas desmarcando as caixas respectivas – evitando também que você pule acidentalmente alguma delas. Caso o instalador tente embutir de forma dissimulada quaisquer códigos potencialmente indesejáveis, você será alertada, de maneira que dificilmente irá aceitá-los por engano.
Lembre-se: em rio que tem piranha, jacaré nada de costas.
Beijos, minha cara doutora, e até mais ler.